Por Luis R Castellanos
¿Qué es Malware?
Antes de empezar, se debe decir que el Ransomware es un tipo de Malware.
Malware es un tĂ©rmino general para cualquier tipo de software malicioso diseñado para dañar o explotar cualquier dispositivo, servicio o red programable. Los ciberdelincuentes generalmente lo usan para extraer datos que pueden aprovechar sobre las vĂctimas para obtener ganancias financieras.
De acuerdo a McAfee
Existen varias maneras de que nuestros dispositivos electrĂłnicos sean infectados por algĂşn tipo de Malware. Veamos algunas de ellas:
1. Correos electrĂłnicos de phishing y malspam
Por lo general, el objetivo principal de los correos electrĂłnicos de phishing es sacarle informaciĂłn confidencial, como sus credenciales de acceso a varios servicios, el cĂłdigo de verificaciĂłn de su tarjeta (los Ăşltimos tres dĂgitos en la parte posterior de su tarjeta de pago), el cĂłdigo PIN u otra informaciĂłn de identificaciĂłn personal ( PII). Pero al hacerse pasar por correo de una instituciĂłn de confianza, pueden contener archivos adjuntos o enlaces que harán que su dispositivo se infecte con malware.
2. Sitios web fraudulentos
Para engañar a las vĂctimas para que descarguen aplicaciones maliciosas, a los ciberdelincuentes les gusta falsificar sitios web de marcas u organizaciones famosas. Los estafadores crean páginas web fraudulentas que se hacen pasar por el negocio real, y el nombre de dominio se asemeja al dominio de la organizaciĂłn lo más parecido posible, con algunas diferencias sutiles aquĂ y allá, como agregar una letra o sĂmbolo o incluso una palabra completa. Los sitios web estarán atados con malware e intentarán engañar al objetivo para que haga clic en enlaces que descargarán malware en sus dispositivos.
3. Unidades flash USB
Los dispositivos de almacenamiento externo son una forma popular de almacenar y transferir archivos; sin embargo, conllevan una serie de riesgos. Por ejemplo, a los actores de amenazas les gusta usar la estrategia de ingenierĂa social de la unidad flash «perdida» para engañar a los buenos samaritanos involuntarios para que conecten una memoria USB comprometida en sus computadoras. Una vez que una unidad afectada está conectada y abierta, su dispositivo puede infectarse con un keylogger o ransomware.
4. Compartir P2P y torrents
Si bien a lo largo de los años, el intercambio entre pares y los torrents se han ganado la reputaciĂłn de ser un lugar para descargar software, juegos y medios de manera ilegal, los desarrolladores los han utilizado como una forma fácil de difundir su software de cĂłdigo abierto o los mĂşsicos para difundir sus canciones. Sin embargo, tambiĂ©n son famosos por ser abusados ​​por los sombreros negros que inyectan cĂłdigos maliciosos en los archivos compartidos. Más recientemente, los investigadores de ESET descubrieron que los ciberdelincuentes hacĂan mal uso del protocolo BitTorrent y la red Tor para difundir KryptoCibule, un ladrĂłn de criptomonedas multitarea.
5. Software comprometido
Aunque puede que no suceda con frecuencia, el software que se ve comprometido directamente por los actores de amenazas no es algo raro. Un ejemplo destacado de la seguridad de una aplicaciĂłn comprometida fue el caso de CCleaner. En estos ataques, los hackers sombreros negros (maliciosos) inyectan el malware directamente en la aplicaciĂłn, que luego se utiliza para propagar el malware cuando los usuarios desprevenidos descargan la aplicaciĂłn.
6. Adware
Algunos sitios web están plagados de varios anuncios que aparecen cada vez que hace clic en cualquier sección de la página web o incluso pueden aparecer inmediatamente cada vez que accede a ciertos sitios web. Si bien el objetivo de estos anuncios es generalmente generar ingresos para estos sitios, a veces están vinculados con varios tipos de malware y, al hacer clic en estos anuncios o adware, puede descargarlos involuntariamente en su dispositivo. Algunos anuncios incluso utilizan tácticas atemorizantes que les dicen a los usuarios que sus dispositivos se han visto comprometidos y que solo la solución ofrecida en el anuncio puede solucionar el problema; sin embargo, ese casi nunca es el caso.
7. Aplicaciones falsas
El Ăşltimo elemento de esta lista trata sobre aplicaciones mĂłviles falsas. Estas aplicaciones generalmente se hacen pasar por algo real e intentan engañar a los usuarios para que las descarguen en los dispositivos de las vĂctimas, comprometiendo asĂ los dispositivos. Pueden disfrazarse de cualquier cosa, haciĂ©ndose pasar por herramientas de seguimiento del estado fĂsico, aplicaciones de criptomonedas o incluso aplicaciones de seguimiento COVID-19. Sin embargo, en realidad, en lugar de recibir los servicios anunciados, los dispositivos se infestarán con varios tipos de malware, como ransomware, spyware o keyloggers.
Cuidados y prevenciĂłn
Si bien la lista de estrategias utilizadas por los ciberdelincuentes para atacar a ciudadanos desprevenidos es larga y puede ser más larga (después de todo, los sombreros negros siguen ideando nuevas tácticas maliciosas), hay formas de mantener sus datos seguros y sus dispositivos protegidos. Estas amenazas se pueden contrarrestar siguiendo las mejores prácticas de seguridad cibernética, que incluyen el uso de soluciones de seguridad acreditadas y mantener sus sistemas actualizados y actualizados.
¿Qué es el Ransomware?
TrendMicro presenta una definiciĂłn simple y sencilla acerca de Ransomware.
Señala que es un tipo de malware que impide o limita que los usuarios accedan a su sistema, ya sea bloqueando la pantalla del sistema o bloqueando los archivos de los usuarios hasta que se pague un rescate. Las familias de ransomware más modernas, categorizadas colectivamente como criptoransomware, cifran ciertos tipos de archivos en los sistemas infectados y obligan a los usuarios a pagar el rescate a travĂ©s de ciertos mĂ©todos de pago en lĂnea para obtener una clave de descifrado.
Tarifas y formas de pago
Los precios de los rescates varĂan segĂşn la variante del ransomware y el precio o los tipos de cambio de las monedas digitales. Gracias al anonimato percibido que ofrecen las criptomonedas, los operadores de ransomware comĂşnmente especifican los pagos de rescate en bitcoin. Las variantes recientes de ransomware tambiĂ©n han incluido opciones de pago alternativas como iTunes y tarjetas de regalo de Amazon. Sin embargo, debe tenerse en cuenta que el pago del rescate no garantiza que los usuarios obtengan la clave de descifrado o la herramienta de desbloqueo necesaria para recuperar el acceso al sistema infectado o los archivos alojados.
CĂłmo se infecta de Ransomware
Los usuarios pueden encontrar esta amenaza a través de una variedad de medios. El ransomware se puede descargar en los sistemas cuando usuarios involuntarios visitan sitios web maliciosos o comprometidos. También puede llegar como una carga útil que se cae o se descarga por otro malware. Algunos ransomware se entregan como archivos adjuntos de correos electrónicos no deseados, se descargan de páginas maliciosas a través de publicidad maliciosa o se colocan mediante kits de explotación en sistemas vulnerables.
Una vez ejecutado en el sistema, el ransomware puede bloquear la pantalla de la computadora o, en el caso del criptoransomware, cifrar archivos predeterminados. En el primer escenario, se muestra una imagen de pantalla completa o una notificaciĂłn en la pantalla de un sistema infectado, lo que evita que la vĂctima use su sistema. Esta notificaciĂłn tambiĂ©n detalla las instrucciones sobre cĂłmo un usuario puede pagar el rescate. En el segundo escenario, el ransomware evita el acceso a archivos potencialmente crĂticos o valiosos como documentos y hojas de cálculo.
Ăšltimos ataques de Ransomware ocurridos
Normalmente, a las empresas que han sido vĂctimas de algĂşn tipo de ciberataque no les gusta difundir ese tipo de noticia. PodrĂa ser equivalente a la persona que es violada, que no sale a decir pĂşblicamente lo ocurrido.
En el caso de las empresas, más que pena o vergĂĽenza, podrĂan perder la confianza de sus clientes. Sin embargo, hay muchos de estos ciberataques que han salido a la luz pĂşblica. Parece mentira que el pĂşblico en general sĂłlo se ha enterado de los 2 ataques más difundidos, pero han habido muchos más.
Veamos los ataques de ransomware ocurridos sólo en la primera mitad del año 2021:
Oleoducto Colonial
De todos los ataques cibernĂ©ticos y de ransomware en 2021 hasta ahora, la violaciĂłn del Oleoducto Colonial a fines de abril tuvo la mayor cobertura de noticias. El ataque al Oleoducto Colonial tuvo un gran impacto porque es una parte importante del sistema nacional de infraestructura crĂtica. La caĂda del sistema interrumpiĂł el suministro de gas a lo largo de la costa este de los Estados Unidos, provocando caos y pánico.
Como la mayorĂa de los estadounidenses se ven directamente afectados por la escasez de gasolina, este ataque golpeĂł de cerca a muchos consumidores. La pandilla DarkSide estuvo detrás del ataque y apuntĂł al sistema de facturaciĂłn de la empresa y la red comercial interna, lo que provocĂł una escasez generalizada en varios estados. Para evitar más interrupciones, el Oleoducto Colonial finalmente cediĂł a las demandas y pagĂł al grupo $ 4.4 millones de dĂłlares en bitcoins.
BRENNTAG
Aproximadamente al mismo tiempo, a principios de mayo de 2021, el mismo notorio grupo de piratas informáticos que apuntĂł al Oleoducto Colonial, DarkSide, tambiĂ©n apuntĂł a Brenntag, una empresa de distribuciĂłn de productos quĂmicos. DespuĂ©s de robar 150 GB de datos, DarkSide exigiĂł el equivalente a $ 7.5 millones de dĂłlares en bitcoins. Brenntag pronto cediĂł a las demandas y terminĂł pagando $ 4.4 millones.
ACER
También en mayo de este año, el fabricante de computadoras Acer fue atacado por el grupo de hackers REvil, el mismo grupo responsable de un ataque a la firma londinense de divisas Travelex. El rescate de 50 millones de dólares se destacó como el más grande conocido hasta la fecha. Los piratas informáticos REvil explotaron una vulnerabilidad en un servidor de Microsoft Exchange para obtener acceso a los archivos de Acer y filtraron imágenes de documentos financieros confidenciales y hojas de cálculo.
ALIMENTOS JBS
Aunque la primavera de 2021 trajo noticias esperanzadoras para el fin de la pandemia, la tendencia creciente de ataques cibernĂ©ticos que comenzĂł en 2020 no mostrĂł signos de desaceleraciĂłn. Otro ataque de ransomware de alto perfil tuvo lugar en mayo en Alimentos JBS, una de las empresas de procesamiento de carne más grandes del mundo. Se cree que el mismo grupo de piraterĂa con sede en Rusia que atacĂł a Acer, REvil, está detrás del ataque. El 10 de junio, se confirmĂł que JBS pagĂł la demanda de rescate de $11 millones despuĂ©s de consultar con expertos en ciberseguridad.
QUANTA
Al igual que con el ataque de Acer, la banda REvil también exigió un rescate de 50 millones de dólares al fabricante de computadoras Quanta en abril. Aunque Quanta puede no ser un nombre familiar, la empresa es uno de los principales socios comerciales de Apple. Después de que la empresa rechazó las negociaciones con el grupo de hackers, REvil apuntó a Apple en su lugar. Después de filtrar los planos de productos de Apple obtenidos de Quanta, amenazaron con publicar documentos y datos más confidenciales. Sin embargo, en mayo, REvil parece haber cancelado el ataque y Apple no ha mencionado el ciberataque.
AXA
Este mes de mayo, la compañĂa de seguros europea AXA fue atacada por la banda Avaddon. El ataque ocurriĂł poco despuĂ©s de que la empresa anunciara cambios importantes en su pĂłliza de seguro. Básicamente, AXA declarĂł que dejarĂan de reembolsar a muchos de sus clientes los pagos de ransomware. Este ataque Ăşnico (y algo irĂłnico) a una empresa de seguros cibernĂ©ticos llegĂł a los titulares y el grupo de piratas informáticos obtuvo acceso a 3 TB masivos de datos.
CNA
A principios de este año, en marzo, otra gran empresa de seguros fue vĂctima de un ataque de ransomware. La red de CNA fue atacada el 21 de marzo y el grupo de piratas informáticos cifrĂł 15.000 dispositivos, incluidas muchas computadoras de empleados que trabajaban de forma remota. El ataque está supuestamente vinculado al grupo de hackers Evil Corp y utiliza un nuevo tipo de malware llamado Phoenix CryptoLocker.
Kaseya
Un ataque de ransomware paralizó las redes de al menos 200 empresas estadounidenses a principios de julio. La banda REvil parece estar detrás del ataque. Los ciberdelincuentes atacaron a un proveedor de software llamado Kaseya, utilizando su paquete de administración de red como un conducto para difundir el ransomware a través de proveedores de servicios en la nube. Estos ataques cibernéticos suelen infiltrarse en software ampliamente utilizado y propagar malware a medida que se actualiza automáticamente.
