El ransomware es una forma de malware particularmente desagradable y aterradora que bloquea y encripta los datos del usuario, que luego se retienen para su rescate. Puede bloquear el acceso a información personal o amenazar con deshabilitar los dispositivos, a menos que pague por la contraseña para descifrar y desbloquear los datos. Esto puede ser muy rentable para los hackers, y no hay garantía de que los usuarios que pagan un rescate tengan acceso completo a sus sistemas nuevamente. Además, si el pago se solicita con tarjeta de crédito, los delincuentes pueden tener acceso a los datos de su tarjeta, lo que les permite cometer más robos y fraudes.
El Panorama de Amenazas en América Latina 2021 revela un aumento del 24% en ciberataques en la región durante los primeros ocho meses del año, en comparación con el mismo periodo en 2020. El informe toma en cuenta los 20 programas maliciosos más populares, los cuales representan más de 33 millones de intentos de infección en Perú—un promedio de 35 ataques por segundo. Además, los ataques de ransomware, uno de los más realizados en el mundo, durante junio incrementaron su actividad semanal a 10 veces más que el mes anterior.
“El motivo principal para la generación de malware es el rédito económico. Por ello, los atacantes suelen generar mayor cantidad de códigos maliciosos para las plataformas más utilizadas y con mayor cantidad de potenciales víctimas”, manifiesta Barry Spielman, Director for the Product Marketing de Allot.
No obstante, en los últimos años los ataques de ransomware dejaron de concentrarse en afectar a la mayor cantidad posible de usuarios para centrarse en un menor grupo de víctimas a las cuales demandar mayores sumas de dinero por el rescate de su información. De hecho, en el último tiempo aumentaron considerablemente los montos que solicitan los atacantes a las víctimas.
Una amenaza en constante evolución
Además del cambio de enfoque que han tenido en los últimos años, pasando de los ataques masivos a los ataques dirigidos, con el paso del tiempo los atacantes también fueron añadiendo más características para aumentar la peligrosidad y efectividad de sus creaciones. Un ejemplo de ello es el infame WannaCry que en 2017 paralizó centenas de sistemas a nivel mundial en un ataque sin precedentes y fue definido como el primer “ransomworm”; es decir, un tipo de ransomware con propiedades de gusano capaz de propagarse a sí mismo sin la ayuda del usuario, sacando provecho de fallas de seguridad presentes en otros equipos de la misma red. En el caso de WannaCry, aprovechando una vulnerabilidad conocida como EternalBlue que afectaba al servicio de archivos compartidos de Windows.
A fines de ese mismo año, también se identificó otro tipo de ransomware, denominado Wiperware, un tipo de malware que se asemeja a los criptoransomware, pero que además de cifrar la información también intenta cifrar -generalmente con éxito- el registro principal de arranque o MBR (Master Boot Record), dejando inutilizable el sistema operativo.
Hacia fines del 2019 comenzó a observarse una tendencia en los ataques de ransomware que hoy es una realidad: esta nueva modalidad hace uso de una técnica conocida como doxing, que consiste en obtener datos confidenciales de las víctimas y amenazar con hacerlos públicos, a menos que se pague la extorsión. Esto sin duda aumenta la presión sobre los afectados, ya que no sólo se trata de recuperar la información cifrada, sino también evitar que los datos robados se hagan públicos. Los operadores detrás de este ransomware fueron los primeros en adoptar la práctica de doxing en sus ataques. Si bien sus campañas comenzaron a detectarse desde mayo de 2019, a partir de octubre comenzaron a incluir la filtración de información de la víctima como parte de la amenaza. Poco tiempo después, esta modalidad extorsiva fue adoptada por una gran cantidad de grupos de ransomware que a su vez sumaron otras modalidades extorsivas para aquellas víctimas que no estén interesadas en llegar a un acuerdo, como son las llamadas en frío y los ataques de DDoS.
Por otra parte, la direccionalidad de los ataques llevó a los cibercriminales a evolucionar hacia una mayor sofisticación y planificación. Ahora necesitan estudiar en profundidad a los blancos a los que apuntan, lo que implica en muchos casos un período en el que los atacantes, luego del compromiso inicial, exploran la red con el objetivo de recopilar información de interés y conocer los recursos de la víctima para luego en un momento liberar el ransomware en el sistema. Esto les permite, entre otras cosas, determinar el monto máximo que una víctima podría pagar por el rescate.
Otro aspecto que vale la pena señalar como parte de esta evolución es el Ransomware as a Service (RaaS), un modelo que permite que actores maliciosos sin grandes conocimientos técnicos puedan iniciar una campaña de ransomware al contratar la creación de malware como un servicio o sumarse como afiliados para distribuir la amenaza a cambio de un porcentaje de las ganancias. Este modelo, de gran auge en la actualidad, se descubrió tiempo atrás a través de una herramienta denominada Tox, la cual permitía la creación de este tipo de malware de manera automática, independientemente de los conocimientos técnicos de quien la utiliza.
¿Cómo podemos proteger nuestro hogar de los ataques Ransomware?
La forma más sencilla de poder asegurar un equipo sin tener los conocimientos técnicos es mediante la instalación de una solución de seguridad que nos permita bloquear intentos de explotación de vulnerabilidades, ejecución de malware o acceso a sitios peligrosos.
“Es importante actualizar todas las apps y sistemas operativos para asegurarnos de instalar los últimos parches de seguridad. Además, tener un backup de la información al día es crucial para poder hacer frente al ransomware”, aconseja el ejecutivo de Allot.
También se recomienda tener cuidado con los adjuntos en correos electrónicos y demás enlaces que podamos encontrar durante la navegación en Internet. Los sitios fraudulentos intentarán apelar a ganarse la confianza del usuario haciéndose pasar por entidades de renombre, ofreciendo premios y promociones, o atendiendo al miedo en los usuarios. Por ejemplo, campañas de propagación de malware utilizaron la pandemia para difundir troyanos haciéndolos pasar por autoridades sanitarias locales.
Como consejo final, utilizar herramientas de cifrado de archivos sensibles, como fotos, videos y documentos personales, puede ayudar a evadir la presión extra si los atacantes deciden extorsionar a las víctimas con la publicación en línea de los archivos.
