Los ataques de ransomware tuvieron su protagonismo a partir del primer gran ataque en 2013, sin embargo, en los últimos años y tras la pandemia, este tipo de ataque cibernético ha aumentado fuertemente. Conoce qué son los ataques de ransomware, cómo funciona, los tipos que existen y cómo prevenirlos.
¿Qué es ransomware?
Para comenzar a hablar de los tipos de ataques ransomware, primero explicaremos lo que es el ransomware. Es un tipo de malware, software malicioso, que puede cifrar desde archivos hasta sistemas informáticos completos con el fin de amenazar o extorsionar a las víctimas.
El primer ataque de ransomware fue en 1989, conocido como el troyano AIDS y lanzado por el biólogo evolutivo de Harvard, Dr. Joseph Popp, consistió en almacenar un virus en disquetes que supuestamente contenía un programa educativo sobre el SIDA; este disquete el virus troyano que cifraba los archivos de las victimas y pedía un rescate a cambio de estos.
Por lo tanto, el ransomware no es un virus, sin embargo, suele propagarse en los equipos a través de un virus o gusano informático. Es un malware que secuestra archivos o equipos enteros mediante el cifrado de éstos, y mostrando una “nota de rescate” en la que se pide un pago (con tarjetas de crédito o criptomonedas) a cambio de la clave para desencriptarlos y se pueda recuperar el acceso.
¿Cómo funciona un ataque de ransomware?
Un ataque de ransomware inicia con su infiltración en un dispositivo sin que los usuarios se den cuenta o tengan tiempo de detenerlo, y esto es posible con cuatro métodos:
El software malicioso crea kits de explotis para aprovechar vulnerabilidades en aplicaciones, redes y dispositivos que no se encuentran actualizados.
Un ataque de phishing consiste en que los hackers se hacen pasar por personas u organizaciones, que envían al correo electrónico enlaces o documentos que parecen auténticos (como extensiones .xls, .docx, etc.), y una vez descargados y abiertos el malware comienza el ataque.
Este método consiste en la incrustación del malware en anuncios en línea falsos, sin embargo, la instalación de éste en el dispositivo puede darse al hacer clic en el anuncio o simplemente con la permanencia en la página.
El ataque se prepara en un sitio web con el malware cargado para que, al momento de visitarlo, la instalación comience, este método se suele dar si se utilizan aplicaciones y navegadores viejos.
Cuando una empresa realiza trabajo remoto y los miembros se conectan a una red corporativa, los usuarios no suelen tener VPNs y por lo tanto se encuentran más expuestos a estos ataques.
Una vez el ransomware está instalado en el dispositivo el ataque comienza con el cifrado de los archivos o con el bloqueo total del dispositivo, y posteriormente se muestra la nota de rescate, entonces el ataque se da en dos fases:
El malware realiza un análisis del dispositivo para identificar los archivos importantes y comienza a codificarlos para cifrarlos y hacerlos inutilizables.
Una vez el hacker tiene todos los archivos o el dispositivo bloqueado, en la pantalla aparece un mensaje en el que se dice cuánto, cómo y cuándo se debe hacer el pago para la recuperación de los archivos o el dispositivo.
Tipos de ransomware
Aunque los ataques de ransomware tienen como objetivo pedir un rescate que los beneficie económicamente, se pueden catalogar en cinco tipologías, las dos primeras suelen ser más empleadas para atacar empresas, mientras que la última ha ido en crecimiento los últimos años:
Este ransomware escanea el dispositivo y selecciona los archivos que secuestra para bloquear su acceso y encriptarlos.
En este malware no se encriptan los archivos, sin embargo, el dispositivo completo es bloqueado, impidiendo el inicio de sesión a los usuarios.
Aunque este ransomware también es criptográfico, lo que lo diferencia es la amenaza debido a que no solo se secuestran archivos sino también datos privados que, en caso de no pagarse el rescate, serán publicados en internet.
Este tipo de ransomware funciona haciéndose pasar por algún software que promete proteger a los dispositivos de cualquier amenaza y eliminar las existentes.
El RaaS funciona como un servicio contratado a través de una plataforma ransomware que funciona mediante el pago por la creación de estos malwares y distribuidos a hackers para su aplicación.
Brindamos soluciones tecnológicas para más de 15 industrias
¿Cómo prevenir un ataque de ransomware?
Un ataque de ransomware causa grandes daños y pérdidas, tanto económicas (en caso de pagar el rescate) como de data, por lo que recuperarse de estos ataques para las compañías se vuelve un gran problema, sin embargo, existen métodos para defenderse y prevenir de los ataques de ransomware.
- Actualización de softwares y sistema
- Evitar solicitudes de instalación emergentes
- Prevenir los ataques de phishing
- Realizar copias de seguridad, respaldos, backups
- Utilizar antivirus
Ejemplos de ransomware
Es otro de los recientes, que funcionaba como un scareware, que supuestamente brindaba soluciones de seguridad, pero robaba la información y posteriormente amenazaba con publicarla.
En 2019 y 2020 fue uno de los ransomware más activos, siendo una versión modificada de Hermes; este malware funciona desplegando bots para robar información y luego amenazar.
En mayo de 2017 la cepa WannaCry de tipo troyano, aprovecha la vulnerabilidad EternalBlue de Microsoft, en la que los archivos encriptados cambian su extensión a .wcry. Este ha sido uno de los ataques más peligrosos, afectando aproximadamente a unos 200,000 usuarios en 150 países.
En 2020 atacó a empresas de logística, industriales y compañías energéticas; su gran dispersión tuvo que ver con que se trato de un servicio RaaS, que se detuvo hasta 2021 cuando se lograron obtener sus recursos y detener al responsable.
En Asia de 2019 se detectó el primer ataque de este ransomware también conocido como REvil, que consiste en ofrecerse como alquiler cuestionable a los usuarios, utilizando funciones lícitas del CPU, afectando a industrias desde las finanzas hasta la ingeniería. En 2021 pidieron el rescate más alto a Hacer, por 50 millones de dólares
Este ransomware se infiltra a través de ataques de phishing aprovechando una botnet. Tuvo su auge en 2013 y 2014 infectando más de 500,000 equipos, siendo el primer ataque a gran escala, en el que tuvieron que intervenir el FBI, la Interpol y empresas de seguridad.
