Por Luis R Castellanos
¿Qué es Malware?
Antes de empezar, se debe decir que el Ransomware es un tipo de Malware.
Malware es un término general para cualquier tipo de software malicioso diseñado para dañar o explotar cualquier dispositivo, servicio o red programable. Los ciberdelincuentes generalmente lo usan para extraer datos que pueden aprovechar sobre las víctimas para obtener ganancias financieras.
De acuerdo a McAfee
Existen varias maneras de que nuestros dispositivos electrónicos sean infectados por algún tipo de Malware. Veamos algunas de ellas:
1. Correos electrónicos de phishing y malspam
Por lo general, el objetivo principal de los correos electrónicos de phishing es sacarle información confidencial, como sus credenciales de acceso a varios servicios, el código de verificación de su tarjeta (los últimos tres dígitos en la parte posterior de su tarjeta de pago), el código PIN u otra información de identificación personal ( PII). Pero al hacerse pasar por correo de una institución de confianza, pueden contener archivos adjuntos o enlaces que harán que su dispositivo se infecte con malware.
2. Sitios web fraudulentos
Para engañar a las víctimas para que descarguen aplicaciones maliciosas, a los ciberdelincuentes les gusta falsificar sitios web de marcas u organizaciones famosas. Los estafadores crean páginas web fraudulentas que se hacen pasar por el negocio real, y el nombre de dominio se asemeja al dominio de la organización lo más parecido posible, con algunas diferencias sutiles aquí y allá, como agregar una letra o símbolo o incluso una palabra completa. Los sitios web estarán atados con malware e intentarán engañar al objetivo para que haga clic en enlaces que descargarán malware en sus dispositivos.
3. Unidades flash USB
Los dispositivos de almacenamiento externo son una forma popular de almacenar y transferir archivos; sin embargo, conllevan una serie de riesgos. Por ejemplo, a los actores de amenazas les gusta usar la estrategia de ingeniería social de la unidad flash «perdida» para engañar a los buenos samaritanos involuntarios para que conecten una memoria USB comprometida en sus computadoras. Una vez que una unidad afectada está conectada y abierta, su dispositivo puede infectarse con un keylogger o ransomware.
4. Compartir P2P y torrents
Si bien a lo largo de los años, el intercambio entre pares y los torrents se han ganado la reputación de ser un lugar para descargar software, juegos y medios de manera ilegal, los desarrolladores los han utilizado como una forma fácil de difundir su software de código abierto o los músicos para difundir sus canciones. Sin embargo, también son famosos por ser abusados por los sombreros negros que inyectan códigos maliciosos en los archivos compartidos. Más recientemente, los investigadores de ESET descubrieron que los ciberdelincuentes hacían mal uso del protocolo BitTorrent y la red Tor para difundir KryptoCibule, un ladrón de criptomonedas multitarea.
5. Software comprometido
Aunque puede que no suceda con frecuencia, el software que se ve comprometido directamente por los actores de amenazas no es algo raro. Un ejemplo destacado de la seguridad de una aplicación comprometida fue el caso de CCleaner. En estos ataques, los hackers sombreros negros (maliciosos) inyectan el malware directamente en la aplicación, que luego se utiliza para propagar el malware cuando los usuarios desprevenidos descargan la aplicación.
6. Adware
Algunos sitios web están plagados de varios anuncios que aparecen cada vez que hace clic en cualquier sección de la página web o incluso pueden aparecer inmediatamente cada vez que accede a ciertos sitios web. Si bien el objetivo de estos anuncios es generalmente generar ingresos para estos sitios, a veces están vinculados con varios tipos de malware y, al hacer clic en estos anuncios o adware, puede descargarlos involuntariamente en su dispositivo. Algunos anuncios incluso utilizan tácticas atemorizantes que les dicen a los usuarios que sus dispositivos se han visto comprometidos y que solo la solución ofrecida en el anuncio puede solucionar el problema; sin embargo, ese casi nunca es el caso.
7. Aplicaciones falsas
El último elemento de esta lista trata sobre aplicaciones móviles falsas. Estas aplicaciones generalmente se hacen pasar por algo real e intentan engañar a los usuarios para que las descarguen en los dispositivos de las víctimas, comprometiendo así los dispositivos. Pueden disfrazarse de cualquier cosa, haciéndose pasar por herramientas de seguimiento del estado físico, aplicaciones de criptomonedas o incluso aplicaciones de seguimiento COVID-19. Sin embargo, en realidad, en lugar de recibir los servicios anunciados, los dispositivos se infestarán con varios tipos de malware, como ransomware, spyware o keyloggers.
Cuidados y prevención
Si bien la lista de estrategias utilizadas por los ciberdelincuentes para atacar a ciudadanos desprevenidos es larga y puede ser más larga (después de todo, los sombreros negros siguen ideando nuevas tácticas maliciosas), hay formas de mantener sus datos seguros y sus dispositivos protegidos. Estas amenazas se pueden contrarrestar siguiendo las mejores prácticas de seguridad cibernética, que incluyen el uso de soluciones de seguridad acreditadas y mantener sus sistemas actualizados y actualizados.
¿Qué es el Ransomware?
TrendMicro presenta una definición simple y sencilla acerca de Ransomware.
Señala que es un tipo de malware que impide o limita que los usuarios accedan a su sistema, ya sea bloqueando la pantalla del sistema o bloqueando los archivos de los usuarios hasta que se pague un rescate. Las familias de ransomware más modernas, categorizadas colectivamente como criptoransomware, cifran ciertos tipos de archivos en los sistemas infectados y obligan a los usuarios a pagar el rescate a través de ciertos métodos de pago en línea para obtener una clave de descifrado.
Tarifas y formas de pago
Los precios de los rescates varían según la variante del ransomware y el precio o los tipos de cambio de las monedas digitales. Gracias al anonimato percibido que ofrecen las criptomonedas, los operadores de ransomware comúnmente especifican los pagos de rescate en bitcoin. Las variantes recientes de ransomware también han incluido opciones de pago alternativas como iTunes y tarjetas de regalo de Amazon. Sin embargo, debe tenerse en cuenta que el pago del rescate no garantiza que los usuarios obtengan la clave de descifrado o la herramienta de desbloqueo necesaria para recuperar el acceso al sistema infectado o los archivos alojados.
Cómo se infecta de Ransomware
Los usuarios pueden encontrar esta amenaza a través de una variedad de medios. El ransomware se puede descargar en los sistemas cuando usuarios involuntarios visitan sitios web maliciosos o comprometidos. También puede llegar como una carga útil que se cae o se descarga por otro malware. Algunos ransomware se entregan como archivos adjuntos de correos electrónicos no deseados, se descargan de páginas maliciosas a través de publicidad maliciosa o se colocan mediante kits de explotación en sistemas vulnerables.
Una vez ejecutado en el sistema, el ransomware puede bloquear la pantalla de la computadora o, en el caso del criptoransomware, cifrar archivos predeterminados. En el primer escenario, se muestra una imagen de pantalla completa o una notificación en la pantalla de un sistema infectado, lo que evita que la víctima use su sistema. Esta notificación también detalla las instrucciones sobre cómo un usuario puede pagar el rescate. En el segundo escenario, el ransomware evita el acceso a archivos potencialmente críticos o valiosos como documentos y hojas de cálculo.
Últimos ataques de Ransomware ocurridos
Normalmente, a las empresas que han sido víctimas de algún tipo de ciberataque no les gusta difundir ese tipo de noticia. Podría ser equivalente a la persona que es violada, que no sale a decir públicamente lo ocurrido.
En el caso de las empresas, más que pena o vergüenza, podrían perder la confianza de sus clientes. Sin embargo, hay muchos de estos ciberataques que han salido a la luz pública. Parece mentira que el público en general sólo se ha enterado de los 2 ataques más difundidos, pero han habido muchos más.
Veamos los ataques de ransomware ocurridos sólo en la primera mitad del año 2021:
Oleoducto Colonial
De todos los ataques cibernéticos y de ransomware en 2021 hasta ahora, la violación del Oleoducto Colonial a fines de abril tuvo la mayor cobertura de noticias. El ataque al Oleoducto Colonial tuvo un gran impacto porque es una parte importante del sistema nacional de infraestructura crítica. La caída del sistema interrumpió el suministro de gas a lo largo de la costa este de los Estados Unidos, provocando caos y pánico.
Como la mayoría de los estadounidenses se ven directamente afectados por la escasez de gasolina, este ataque golpeó de cerca a muchos consumidores. La pandilla DarkSide estuvo detrás del ataque y apuntó al sistema de facturación de la empresa y la red comercial interna, lo que provocó una escasez generalizada en varios estados. Para evitar más interrupciones, el Oleoducto Colonial finalmente cedió a las demandas y pagó al grupo $ 4.4 millones de dólares en bitcoins.
BRENNTAG
Aproximadamente al mismo tiempo, a principios de mayo de 2021, el mismo notorio grupo de piratas informáticos que apuntó al Oleoducto Colonial, DarkSide, también apuntó a Brenntag, una empresa de distribución de productos químicos. Después de robar 150 GB de datos, DarkSide exigió el equivalente a $ 7.5 millones de dólares en bitcoins. Brenntag pronto cedió a las demandas y terminó pagando $ 4.4 millones.
ACER
También en mayo de este año, el fabricante de computadoras Acer fue atacado por el grupo de hackers REvil, el mismo grupo responsable de un ataque a la firma londinense de divisas Travelex. El rescate de 50 millones de dólares se destacó como el más grande conocido hasta la fecha. Los piratas informáticos REvil explotaron una vulnerabilidad en un servidor de Microsoft Exchange para obtener acceso a los archivos de Acer y filtraron imágenes de documentos financieros confidenciales y hojas de cálculo.
ALIMENTOS JBS
Aunque la primavera de 2021 trajo noticias esperanzadoras para el fin de la pandemia, la tendencia creciente de ataques cibernéticos que comenzó en 2020 no mostró signos de desaceleración. Otro ataque de ransomware de alto perfil tuvo lugar en mayo en Alimentos JBS, una de las empresas de procesamiento de carne más grandes del mundo. Se cree que el mismo grupo de piratería con sede en Rusia que atacó a Acer, REvil, está detrás del ataque. El 10 de junio, se confirmó que JBS pagó la demanda de rescate de $11 millones después de consultar con expertos en ciberseguridad.
QUANTA
Al igual que con el ataque de Acer, la banda REvil también exigió un rescate de 50 millones de dólares al fabricante de computadoras Quanta en abril. Aunque Quanta puede no ser un nombre familiar, la empresa es uno de los principales socios comerciales de Apple. Después de que la empresa rechazó las negociaciones con el grupo de hackers, REvil apuntó a Apple en su lugar. Después de filtrar los planos de productos de Apple obtenidos de Quanta, amenazaron con publicar documentos y datos más confidenciales. Sin embargo, en mayo, REvil parece haber cancelado el ataque y Apple no ha mencionado el ciberataque.
AXA
Este mes de mayo, la compañía de seguros europea AXA fue atacada por la banda Avaddon. El ataque ocurrió poco después de que la empresa anunciara cambios importantes en su póliza de seguro. Básicamente, AXA declaró que dejarían de reembolsar a muchos de sus clientes los pagos de ransomware. Este ataque único (y algo irónico) a una empresa de seguros cibernéticos llegó a los titulares y el grupo de piratas informáticos obtuvo acceso a 3 TB masivos de datos.
CNA
A principios de este año, en marzo, otra gran empresa de seguros fue víctima de un ataque de ransomware. La red de CNA fue atacada el 21 de marzo y el grupo de piratas informáticos cifró 15.000 dispositivos, incluidas muchas computadoras de empleados que trabajaban de forma remota. El ataque está supuestamente vinculado al grupo de hackers Evil Corp y utiliza un nuevo tipo de malware llamado Phoenix CryptoLocker.
Kaseya
Un ataque de ransomware paralizó las redes de al menos 200 empresas estadounidenses a principios de julio. La banda REvil parece estar detrás del ataque. Los ciberdelincuentes atacaron a un proveedor de software llamado Kaseya, utilizando su paquete de administración de red como un conducto para difundir el ransomware a través de proveedores de servicios en la nube. Estos ataques cibernéticos suelen infiltrarse en software ampliamente utilizado y propagar malware a medida que se actualiza automáticamente.
