¿Qué es el ransomware y cómo se puede detener?

El ransomware  es un monstruo debajo de la cama para los equipos de ciberseguridad. El ransomware, una herramienta favorita de los ciberdelincuentes, es empleada por los  actores de amenazas del estado-nación, así como  por las pandillas de poca monta . Esta versátil arma se puede utilizar para interrumpir la infraestructura como vimos recientemente con  Colonial Pipeline  , así como para detener la producción de fábrica, cifrar sistemas y robar datos. Se estima que el  61% de las organizaciones en  todo el mundo experimentaron un incidente de ransomware dañino en 2020, un  aumento del 20% con  respecto al mismo período en 2019. Un ataque de ransomware exitoso es inevitablemente  un desastre costoso y disruptivo, y el ritmo no se ralentiza. Las pérdidas de ransomware en 2021 ya han aumentado más del 300% durante el mismo período del año pasado, batiendo el ritmo récord de 2020.

Esta forma increíblemente devastadora de malware es el arma preferida de los ciberdelincuentes actuales, incluidos los actores estatales. El ransomware está destinado a cifrar datos y / o sistemas para evitar que la víctima acceda a esos recursos. En el tipo de ataque de ransomware más comúnmente utilizado, los delincuentes cifran los archivos de la víctima y solicitan que se pague un rescate para descifrarlos o recuperarlos. Las bandas de ransomware generalmente exigen un pago en forma de Bitcoin (una moneda digital imposible de rastrear). El ransomware también se puede utilizar para cerrar fábricas, enredar o detener servicios públicos, interferir con el envío y el transporte, robar investigaciones y fórmulas y causar otros daños.

El ransomware viene en una cantidad infinita de variedades para adaptarse al sueño de todo ciberdelincuente, pero generalmente se ajusta a uno de estos dos perfiles básicos para hacer el trabajo sucio:

Crypto ransomware 

Crypto ransomware cifra datos como archivos en una computadora, lo que hace que no se pueda acceder a ellos. Luego, los ciberdelincuentes ofrecen vender a la víctima su clave de descifrado. Este tipo de ransomware no afecta las máquinas en las que se utiliza, solo los datos.  

Locker ransomware 

Locker ransomware inutiliza dispositivos, como computadoras o maquinaria. Los ciberdelincuentes ofrecerán desbloquear los dispositivos afectados tras el pago del rescate. Este es el tipo de ransomware que se usa normalmente en ataques a la infraestructura o ataques contra objetivos de fabricación. 

El ransomware generalmente comienza como un correo electrónico, cuidadosamente diseñado para engañar al objetivo para que interactúe con él. Una vez que ese objetivo se traga el anzuelo al descargar un archivo o hacer clic en un enlace a un sitio web, infecta sus sistemas y comienza a hacer su trabajo desagradable. Este es el ciclo de vida típico de un ataque de ransomware: 

• Los ciberdelincuentes deciden apuntar a su empresa y planean tomar sus datos y sistemas como rehenes.  
• Usan información recopilada de muchas fuentes (incluida la Dark Web) para crear cuidadosamente un correo electrónico de phishing que será especialmente atractivo para su personal. 
• El correo electrónico pasa por su seguridad y llega a las bandejas de entrada de sus empleados. 
• Uno de sus empleados muerde el anzuelo, abre el correo electrónico e interactúa con él visitando un sitio web envenenado o descargando un archivo adjunto contaminado. 
• La carga útil maliciosa infecta esa computadora con un cliente de ransomware que toma el control de ella. 
• Luego, la computadora infectada establece una conexión con la red de los ciberdelincuentes para comenzar a congelar sus sistemas o cifrar sus datos.  
• Los ciberdelincuentes se ponen en contacto con usted para ofrecerle la clave de cifrado que desbloquea sus sistemas y datos, por un precio pagadero en criptomonedas. 
• Tiene dos opciones: pagar el rescate o restaurar sus datos y sistemas de otra manera.  

¿Cuál es el mecanismo más probable de ransomware?

Cada banda de delitos informáticos tiene su propia salsa secreta: su variedad exclusiva de ransomware. Ese es un fuerte punto de venta para las grandes organizaciones de delitos cibernéticos al reclutar afiliados; por lo general, los afiliados tienen acceso a la tecnología de la banda del jefe. Pero la forma en que ese ransomware hace su trabajo sucio puede tener muchas variaciones. 

Doble extorsión 

El ransomware de doble extorsión es una estrella en ascenso, ya que los ciberdelincuentes duplican sus ataques para duplicar sus ganancias al exigir a sus víctimas que paguen dos veces: una por el código de descifrado habitual y una tarifa separada para que la pandilla no copie los datos cifrados. Los practicantes de esta táctica fueron responsables de más del  50%  de todos los ataques de ransomware en 2020 

Triple extorsión 

El ransomware de triple extorsión está comenzando a ganar popularidad. Agregando un paso más al tradicional baile de la doble extorsión, el ransomware de triple extorsión no solo requiere que las empresas paguen por una clave de descifrado y la devolución de sus datos no copiados, sino que también incluye un pago para evitar otro efecto dañino como un ataque DDoS. 

Ransomware dirigido

El ransomware dirigido está de moda y está explotando. En este estilo de ataque, los malos actores no crean un correo electrónico de spear phishing diseñado para atraer a muchos objetivos; en su lugar, diseñan un correo electrónico de spear phishing diseñado para atraer a unos pocos objetivos muy específicos, a menudo ejecutivos o personas con administración de TI o poder adquisitivo en una organización para aumentar la probabilidad de que el mensaje pase a través de la seguridad y no levante sospechas, incluso en el objetivo. 

Fuente: Agent ID