Bogdan Botezatu, Director de Investigación e Informes de Amenazas en Bitdefender
Bogdan Botezatu Director de Investigación e Informes de Amenazas Bitdefender

Los ataques de ‘ransomware’ no son tan nuevos como pensamos

Ransomware red button on keyboard, 3D rendering

Las técnicas de ransomware comenzaron hace, al menos, 30 años; aunque su éxito comercial se inició en 2014. Desde entonces, han evolucionado continuamente aprovechando las vulnerabilidades, moviéndose de un ordenador a otro a través de gusanos informáticos y, últimamente, robando archivos para chantajear a sus propietarios. Hoy en día, distintos grupos de ciberdelincuentes han optado por implantar un modelo de negocio basado en el ransomware como servicio, trabajando a las órdenes de unos clientes que, a su vez, tienen como objetivo final empresas con un alto valor de mercado y altos ingresos, a las que amenazan con publicar información robada si optan por no pagar el rescate solicitado. Sanidad, Transporte, Educación e Infraestructuras Críticas son algunos de los sectores a los que se ataca con mayor frecuencia.

El ransomware puede adoptar múltiples formas y se puede distribuir a través de varias vías. El dirigido a usuarios domésticos se envía, a menudo, a través de mensajes de spam manipulados con archivos adjuntos infectados o a través de aplicaciones comprometidas que se hacen pasar por cracks desoftware. Los ataques contra las compañías, sin embargo, son más complejos. En ellos, los piratas informáticos pueden:

  • Comprar credenciales robadas de la compañía, conectarse de forma remota a los ordenadores corporativos e infectar los sistemas manualmente. A partir de ahí, el malware puede viajar lateralmente a través de la red empresarial y comprometer un sistema tras otro hasta que toda la organización se vea afectada.
  • Buscar vulnerabilidades en equipos de acceso o servidores mal configurados e implementar ransomware.
  • Utilizar exploits de N-day (exploits contra vulnerabilidades conocidas, pero sin parchear), de modo que cuando los empleados visiten páginas específicas o accedan a algunos documentos, instalen automáticamente el ransomware en sus ordenadores.

No es raro que los ciberdelincuentes tengan también como objetivo a los contratistas que tienen acceso a la infraestructura corporativa de la empresa víctima, ya que estos pueden ser más fáciles de explotar que la propia corporación. Una vez que se obtiene acceso a la red del contratista, los atacantes pueden cambiar a la infraestructura de destino.

Prevención

Dada la desenfrenada evolución de este tipo de ataques, la prevención es un aspecto crucial. Aunque resulte obvio, la mejor forma de evitar los ataques de ransomware es no infectarse. No hay que olvidar que los ciberdelincuentes recurren al robo de datos (ya sea propiedad intelectual, correspondencia interna, listas de clientes) y amenazan con divulgarlos o venderlos a otros grupos de atacantes si no se paga el rescate. Aunque las copias de seguridad puedan resolver la pérdida de datos, la publicación de información interna puede acarrear graves consecuencias para la marca y provocar pérdidas económicas, de reputación o acciones legales por parte de clientes que puedan verse afectados.

Las empresas deberían invertir en soluciones de seguridad integrales que utilicen el aprendizaje automático para detectar muestras de ransomware emergentes nunca antes vistas. También tendrían que realizar auditorías de seguridad periódicas y pruebas de penetración externas para identificar configuraciones incorrectas o sistemas sin parchear, así como cubrir esos huecos antes de que los delincuentes puedan utilizarlos.

Por último, pero no menos importante, la monitorización constante a nivel de red y la formación continua sobre concienciación en seguridad también deberían formar parte de las medidas básicas de ciberseguridad.