Puestos

¿Te has preguntado alguna vez qué es el ransomware o cómo puede afectarte? El objetivo del ransomware es cifrar sus archivos importantes mediante un software malicioso. A continuación, los delincuentes te exigen un pago a cambio de la clave de descifrado, retándote a demostrar que has pagado el rescate antes de que te proporcionen las instrucciones para recuperar tus archivos. Es el equivalente a pagar a un secuestrador por la liberación de su ser querido.

"Hubo 236,1 millones de asaltos de ransomware en todo el mundo en la primera mitad de 2022. Entre el segundo y el cuarto trimestre de 2021, se produjeron 133 millones de ataques de ransomware menos, lo que supone un fuerte descenso de los aproximadamente 189 millones de casos." ~Statista

El ransomware ha estado en las noticias, y probablemente has visto informes sobre ordenadores que se bloquean hasta que la gente paga por una clave para escapar. Pero ¿qué es exactamente el ransomware, cómo funciona y cómo podemos defendernos de él?

¿Qué es el trabajo del ransomware?

El ransomware suele instalarse como un archivo adjunto en correos electrónicos de spam o explotando vulnerabilidades de software en el ordenador de la víctima.

La infección puede estar oculta en un archivo que el usuario descarga de Internet o ser instalada manualmente por un atacante, a menudo a través de software empaquetado con productos comerciales.

Una vez instalado, el ransomware espera una condición desencadenante (como la conexión a Internet) antes de bloquear el sistema y exigir un rescate para su liberación. El rescate puede pagarse utilizando criptomonedas o tarjetas de crédito.

Tipos de ransomware

"A partir de 2021, el coste medio de una brecha de ransomware fue de 4,62 millones de dólares, sin incluir el rescate".~IBM

Estos son algunos tipos comunes de ataques de ransomware:

WannaCry

En 2017el ataque de ransomware conocido como WannaCry afectó a más de 150 países. Al infectar una máquina Windows, WannaCry encripta los archivos del usuario y exige un rescate en bitcoins para desbloquearlos.

Locky

Locky es una de las formas más antiguas de ransomware y fue descubierto por primera vez en febrero de 2016. El malware cifra los archivos rápidamente y se propaga a través de correos electrónicos de phishing con archivos adjuntos que parecen facturas u otros documentos comerciales.

Laberinto

Maze es un ransomware más reciente que se descubrió por primera vez en mayo de 2019. Funciona de manera similar a Locky, excepto que termina los nombres de los archivos cifrados con .maze en lugar de locky. Los correos electrónicos de spam también propagan Maze, pero infecta su computadora al abrir un archivo adjunto.

NotPetya

Según los primeros informes, NotPetya es una variación de ransomware de Petya, una cepa descubierta inicialmente en 2016. Ahora, NotPetya es un tipo de malware llamado wiper, que destruye los datos en lugar de pedir un rescate.

Scareware

El scareware es un software falso que exige un pago para solucionar los problemas que dice haber encontrado en los ordenadores, como virus u otros problemas. Mientras que algunos scareware bloquean el ordenador, otros saturan la pantalla con notificaciones emergentes sin causar ningún daño a los archivos.

Doxware

Como resultado del doxware o leakware, la gente se alarma y paga un rescate para evitar que su información confidencial se filtre en línea. Una variante es el ransomware con temática policial. Se puede pagar una multa para evitar la cárcel, y la empresa se hace pasar por las fuerzas del orden.

Petya

El ransomware Petya cifra ordenadores enteros, a diferencia de otras variantes. Petya sobrescribe el registro de arranque maestro, lo que impide el arranque del sistema operativo.

Ryuk

Ryuk infecta los ordenadores mediante la descarga de malware o el envío de correos electrónicos de phishing. Utiliza un dropper para instalar un troyano y establecer una conexión de red permanente en el ordenador de la víctima. Las APT se crean con herramientas como los keyloggers, la escalada de privilegios y el movimiento lateral, todo lo cual comienza con Ryuk. El atacante instala Ryuk en todos los sistemas a los que tiene acceso.

¿Cuál es el impacto del ransomware en las empresas?

El ransomware es una de las ciberamenazas de mayor crecimiento en la actualidad. 

Estas son algunas de las formas en que el ransomware puede afectar a su negocio:

  • El ransomware puede poner en peligro sus datos, que pueden ser costosos de recuperar o reemplazar.
  • Sus sistemas pueden sufrir daños irreparables, ya que algunos ataques de ransomware sobrescriben los archivos con caracteres aleatorios hasta dejarlos inservibles.
  • Puede sufrir tiempos de inactividad y pérdida de productividad, lo que podría suponer una pérdida de ingresos o de fidelidad de los clientes.
  • El hacker podría robar los datos de su empresa y venderlos en el mercado negro o utilizarlos contra otras empresas en futuros ataques.

¿Cómo proteger su empresa de los ataques de ransomware?

"Instale software de seguridad y manténgalo actualizado con parches de seguridad. Muchos ataques de ransomware emplean versiones anteriores para las que existen contramedidas de software de seguridad". ~Steven Weisman, profesor de la Universidad de Bentley. 

Para proteger su empresa del ransomware, puede tomar las siguientes medidas:

Segmentación de la red

La segmentación de la red es el proceso de aislar una red de otra. Aislando las redes, puede proteger su negocio y sus datos. 

Debe crear segmentos separados para la Wi-Fi pública, los dispositivos de los empleados y el tráfico de la red interna. De este modo, si se produce un ataque en un segmento, no afectará a los demás.

Copias de seguridad de AirGap

Las copias de seguridad AirGap son un tipo de copia de seguridad que está completamente desconectada y a la que no se puede acceder sin retirar físicamente el dispositivo de almacenamiento del ordenador al que está conectado. La idea es que si no hay forma de acceder a los archivos de ese dispositivo, tampoco hay forma de que un atacante pueda acceder a ellos. Un buen ejemplo de esto sería el uso de un disco duro externo que ha sido completamente desconectado de cualquier conexión a Internet u otros dispositivos con acceso a él.

Autenticación de mensajes basada en el dominio, informes y conformidad

La mayoría de las veces, el ransomware se distribuye a través de correos electrónicos. Los correos electrónicos fraudulentos vienen con enlaces de phishing que pueden iniciar la instalación de ransomware en su ordenador. Para evitarlo, DMARC actúa como primera línea de defensa contra el ransomware.

DMARC evita que los correos electrónicos de phishing lleguen a sus clientes en primer lugar. Esto ayuda a detener el ransomware distribuido a través de los correos electrónicos en la raíz de su creación. Para saber más, lea nuestra guía detallada sobre DMARC y el ransomware.

Mínimo privilegio (confianza cero para los permisos de los usuarios)

El mínimo privilegio se refiere a conceder a los usuarios sólo los permisos mínimos necesarios para sus funciones dentro de su organización. Cuando se contrata a alguien nuevo o se le reasigna una función dentro de la empresa, sólo se le conceden los permisos necesarios para su función específica, ni más ni menos que los necesarios para que haga su trabajo de forma eficiente y eficaz.

Proteja su red

Los cortafuegos son la primera línea de defensa de las redes. Supervisa el tráfico entrante y saliente de la red y bloquea las conexiones no deseadas. El cortafuegos también puede supervisar el tráfico de determinadas aplicaciones, como el correo electrónico, para garantizar su seguridad.

Formación del personal y pruebas de phishing

La formación de sus empleados sobre los ataques de phishing es esencial. Esto les ayudará a identificar los correos electrónicos de phishing antes de que se conviertan en un problema importante para la empresa. Una prueba de phishing también puede ayudar a identificar a los empleados que pueden ser más susceptibles a los ataques de phishing porque no saben cómo identificarlos correctamente.

Mantenimiento y actualizaciones

El mantenimiento regular de sus ordenadores ayudará a evitar que el malware los infecte en primer lugar. También debes actualizar todo el software con regularidad para asegurarte de que los errores se solucionan lo antes posible y de que se publican nuevas versiones de software con nuevas funciones de seguridad incorporadas.

Lectura relacionada: ¿Cómo recuperarse de un ataque de ransomware?

Conclusión

El ransomware no es un error. Es un método de ataque deliberado, con implementaciones maliciosas que van desde lo ligeramente molesto hasta lo francamente destructivo. No hay señales de que el ransomware vaya a disminuir, y su impacto es significativo y creciente. Todas las empresas y organizaciones deben estar preparadas para ello.

Debe estar al tanto de la seguridad para que usted y su empresa estén seguros. Utiliza las herramientas y guías proporcionadas por PowerDMARC si quieres mantenerte a salvo de estas vulnerabilidades.

En los últimos años han aumentado los ataques de ransomware, que infectan los ordenadores y obligan a los usuarios a pagar multas para recuperar sus datos. A medida que las nuevas tácticas de ransomware, como la doble extorsión, tienen éxito, los delincuentes exigen mayores pagos de rescate. Las peticiones de rescate ascienden a una media de 5,3 millones de dólares en la primera mitad de 2021, un 518% más respecto al mismo periodo de 2020. Desde 2020, el precio medio del rescate ha subido un 82%, alcanzando 570.000 dólares en la primera mitad de 2021 solo.

RaaS, o Ransomware-as-a-Service, hace que este ataque sea aún más peligroso al permitir que cualquiera pueda lanzar ataques de ransomware en cualquier ordenador o dispositivo móvil con unos pocos clics. Siempre que tengan una conexión a Internet, pueden tomar el control de otro ordenador, ¡incluso uno utilizado por su jefe o empleador! Pero, ¿qué significa exactamente RaaS? 

¿Qué es el ransomware como servicio (RaaS)?

El ransomware como servicio (RaaS) se ha convertido en un modelo de negocio muy popular en el ecosistema de la ciberdelincuencia. El ransomware como servicio permite a los ciberdelincuentes desplegar fácilmente ataques de ransomware sin necesidad de tener conocimientos de codificación o hacking.

Una plataforma RaaS ofrece una serie de características que facilitan a los delincuentes el lanzamiento de un ataque con poca o ninguna experiencia. El proveedor de RaaS proporcionará el código del malware, que el cliente (atacante) puede personalizar para adaptarlo a sus necesidades. Tras la personalización, el atacante puede desplegarlo instantáneamente a través del servidor de comando y control (C&C) de la plataforma. A menudo, no es necesario un servidor de C&C; un criminal puede almacenar los archivos del ataque en un servicio en la nube como Dropbox o Google Drive.

El proveedor de RaaS también ofrece servicios de apoyo que incluyen asistencia técnica para el procesamiento de pagos y apoyo para el descifrado después de un ataque.

El ransomware como servicio explicado de forma sencilla

Si ha oído hablar de Sofware-as-a-Service y sabe cómo funciona, entender el RaaS debería ser una obviedad, ya que funciona a un nivel similar. PowerDMARC también es una plataforma SaaS, ya que asumimos el papel de solucionadores de problemas para las empresas globales ayudándoles a autenticar sus dominios sin poner el esfuerzo manual o el trabajo humano. 

 

Esto es exactamente lo que es RaaS. Actores de amenazas maliciosas técnicamente dotados a través de Internet forman un conglomerado que opera en forma de negocio ilegal (normalmente vendiendo sus servicios a través de la dark web), vendiendo códigos maliciosos y archivos adjuntos que pueden ayudar a cualquier persona a través de Internet a infectar cualquier sistema con ransomware. Venden estos códigos a atacantes que no quieren hacer la parte más difícil y técnica del trabajo por sí mismos y, en cambio, buscan a terceros que puedan ayudarles. Una vez que el atacante realiza la compra puede pasar a infectar cualquier sistema. 

¿Cómo funciona el ransomware como servicio?

Esta forma de modelo de ingresos ha ganado recientemente mucha popularidad entre los ciberdelincuentes. Los hackers despliegan un ransomware en una red o sistema, cifran los datos, bloquean el acceso a los archivos y exigen el pago de un rescate por las claves de descifrado. El pago suele ser en bitcoin u otras formas de criptomoneda. Muchas familias de ransomware pueden cifrar los datos de forma gratuita, lo que hace que su desarrollo y despliegue sean rentables. El atacante sólo cobra si las víctimas pagan; de lo contrario, no gana dinero con ello. 

Los cuatro modelos de ingresos de RaaS:

Aunque es posible crear un ransomware desde cero utilizando una red de bots y otras herramientas de libre acceso, los ciberdelincuentes tienen una opción más fácil. En lugar de arriesgarse a ser descubiertos construyendo su herramienta desde cero, los delincuentes pueden suscribirse a uno de los cuatro modelos básicos de ingresos de RaaS: 

  • Programas de afiliación
  • Suscripciones mensuales
  • Ventas a granel
  • Ventas híbridas a granel y por suscripción

El más común es un programa de afiliación modificado, ya que los afiliados tienen menos gastos generales que los ciberdelincuentes profesionales, que suelen vender servicios de malware en foros clandestinos. Los afiliados pueden inscribirse para ganar dinero promocionando sitios web comprometidos con enlaces en correos electrónicos de spam enviados a millones de víctimas a lo largo del tiempo. Después, sólo tienen que pagar cuando reciben el rescate de sus víctimas.

¿Por qué es peligroso el RaaS?

RaaS permite a los ciberdelincuentes aprovechar sus limitadas capacidades técnicas para sacar provecho de los ataques. Si un ciberdelincuente tiene problemas para encontrar una víctima, puede venderla a una empresa (o a varias).

Si a un ciberdelincuente le resulta difícil atacar objetivos en línea, ahora hay organizaciones que le venden objetivos vulnerables para explotar. Esencialmente, cualquier persona puede lanzar un ataque de ransomware desde cualquier dispositivo sin utilizar métodos sofisticados, subcontratando sus esfuerzos a través de un proveedor de servicios de terceros, lo que hace que todo el proceso sea accesible y sin esfuerzo.

¿Cómo prevenir los ataques de ransomware como servicio?

En un ataque de ransomware como servicio, los hackers alquilan sus herramientas a otros delincuentes, que pagan por el acceso al código que les ayuda a infectar los ordenadores de las víctimas con ransomware. Los vendedores que utilizan estas herramientas cobran cuando sus clientes generan ingresos de las víctimas infectadas.

Seguir estos pasos puede ayudarle a prevenir los ataques de ransomware como servicio:

1. Conocer los métodos de ataque

Hay varias formas diferentes en que el ransomware puede infectar su organización. Conocer cómo se realizan los ataques es la mejor manera de protegerse de ellos. Sabiendo cómo le atacarán puede centrarse en los sistemas de seguridad y las protecciones que necesita, en lugar de limitarse a instalar un software antivirus y cruzar los dedos. 

Los correos electrónicos de suplantación de identidad son una vía común para muchos ciberataques. Por ello, los empleados deben ser conscientes de que no deben hacer clic en los enlaces incrustados ni abrir los archivos adjuntos de remitentes desconocidos. La revisión periódica de las políticas de la empresa en relación con los archivos adjuntos al correo electrónico puede ayudar a prevenir la infección por estafas de phishing y otros métodos de entrega de malware, como los macrovirus y los troyanos.

2. Utilice una suite de seguridad del sistema fiable

Asegúrese de que su ordenador tiene instalado un software de seguridad actualizado en todo momento. Si no tiene un software antivirus, considere la posibilidad de instalar uno de inmediato. El software antivirus puede detectar los archivos maliciosos antes de que lleguen a sus máquinas de destino, evitando que se produzca cualquier daño.

3. Haz copias de seguridad de todo con regularidad

Tener una copia de seguridad de toda tu información te ayudará a prevenir la pérdida de información importante si tu sistema se infecta con malware o ransomware. Sin embargo, si sufres ataques de virus o malware, lo más probable es que no se realicen copias de seguridad periódicas de todos tus archivos, así que asegúrate de tener varias copias de seguridad en diferentes ubicaciones por si acaso una falla.

4. Opte por la protección contra el phishing con la autenticación del correo electrónico

Los correos electrónicos de phishing son vectores de ataque extremadamente comunes y potentes en los exploits de ransomware. La mayoría de las veces, los hackers utilizan los correos electrónicos para intentar que las víctimas hagan clic en enlaces o archivos adjuntos maliciosos que luego pueden infectar sus ordenadores con ransomware. 

Lo ideal es seguir siempre las prácticas de seguridad más actualizadas del mercado y descargar únicamente software de fuentes de confianza para evitar estas estafas de phishing. Pero seamos sinceros, cuando se forma parte de una organización con varios empleados, es una tontería esperar esto de cada uno de sus trabajadores. Además, es un reto y una pérdida de tiempo mantener un control de sus actividades en todo momento. Por eso, implementar una política DMARC es una buena manera de proteger sus correos electrónicos de los ataques de phishing.

Comprobemos en qué punto del ciclo de vida de la infección de RaaS se encuentra el DMARC: 

  • El atacante compra un archivo adjunto malicioso que contiene un ransomware a un operador de RaaS 
  • El atacante envía un correo electrónico de phishing haciéndose pasar por la empresa XYZ con el archivo adjunto comprado a una víctima desprevenida 
  • El dominio suplantado (XYZ inc.) tiene DMARC activado, lo que inicia un proceso de autenticación verificando la identidad del remitente 
  • Al fallar la verificación, el servidor de la víctima considera el correo electrónico como malicioso y lo rechaza según la política DMARC configurada por el propietario del dominio

Más información sobre DMARC como primera línea de defensa contra el ransomware aquí.

  • Filtrado DNS

El ransomware utiliza servidores de comando y control (C2) para comunicarse con la plataforma de los operadores de RaaS. A menudo se comunica una consulta DNS desde un sistema infectado al servidor C2. Las organizaciones pueden utilizar una solución de seguridad de filtrado de DNS para detectar cuando el ransomware intenta comunicarse con el C2 de RaaS y bloquear la transmisión. Esto puede actuar como un mecanismo de prevención de infecciones. 

Conclusión

Aunque el ransomware como servicio (RaaS) es una de las amenazas más recientes que se ceban con los usuarios digitales, es fundamental adoptar ciertas medidas preventivas para combatir esta amenaza. Para protegerse de este ataque, se pueden utilizar potentes herramientas antimalware y protocolos de seguridad del correo electrónico como una combinación de DMARC, SPF y DKIM para asegurar adecuadamente cada salida.

Uno de los mayores focos de atención para la seguridad del correo electrónico en el último año ha sido el DMARC y el ransomware ha surgido como uno de los ciberdelitos más dañinos económicamente de este año. ¿Qué es DMARC? Domain-Based Message Authentication, Reporting and Conformance es un protocolo de autenticación de correo electrónico utilizado por los propietarios de dominios de organizaciones grandes y pequeñas, para proteger su dominio de Business Email Compromise (BEC), suplantación directa de dominio, ataques de phishing y otras formas de fraude por correo electrónico.

DMARC le ayuda a disfrutar de múltiples beneficios a lo largo del tiempo, como un aumento considerable de la entregabilidad de su correo electrónico y de la reputación del dominio. Sin embargo, un hecho menos conocido es que DMARC también sirve como primera línea de defensa contra el ransomware. Vamos a enunciar cómo DMARC puede proteger contra el Ransomware y cómo el ransomware puede afectarle.

¿Qué es el ransomware?

El ransomware es un tipo de software malicioso(malware) que se instala en un ordenador, normalmente mediante el uso de programas maliciosos. El objetivo del código malicioso es cifrar los archivos del ordenador, tras lo cual suele exigir un pago para descifrarlos.

Una vez instalado el malware, el delincuente exige el pago de un rescate por parte de la víctima para restaurar el acceso a los datos. Permite a los ciberdelincuentes cifrar los datos sensibles de los sistemas informáticos, protegiéndolos de forma efectiva del acceso. A continuación, los ciberdelincuentes exigen a la víctima el pago de una suma de rescate para eliminar el cifrado y restablecer el acceso. Las víctimas suelen encontrarse con un mensaje que les dice que sus documentos, fotos y archivos de música han sido cifrados y que deben pagar un rescate para supuestamente "restaurar" los datos. Normalmente, piden a los usuarios que paguen en Bitcoin y les informan del tiempo que tienen que pagar para no perderlo todo.

¿Cómo funciona el ransomware?

El ransomware ha demostrado que las malas medidas de seguridad ponen a las empresas en gran riesgo. Uno de los mecanismos de distribución más eficaces del ransomware es el phishing por correo electrónico. El ransomware se distribuye a menudo a través del phishing. Una forma común de que esto ocurra es cuando un individuo recibe un correo electrónico malicioso que le convence de abrir un archivo adjunto que contiene un archivo en el que debería confiar, como una factura, que en cambio contiene malware y comienza el proceso de infección.

El correo electrónico afirmará ser algo oficial de una empresa conocida y contiene un archivo adjunto que pretende ser un software legítimo, por lo que es muy probable que clientes, socios o empleados desprevenidos que conozcan sus servicios sean presa de ellos.

Los investigadores de seguridad han llegado a la conclusión de que para que una organización se convierta en objetivo de ataques de phishing con enlaces maliciosos a descargas de malware, la elección es "oportunista". Gran parte del ransomware no tiene ninguna orientación externa sobre a quién dirigirse, y a menudo lo único que le guía es la pura oportunidad. Esto significa que cualquier organización, ya sea un pequeño negocio o una gran empresa, puede ser el próximo objetivo si tiene lagunas en la seguridad de su correo electrónico.

2021 informe reciente sobre tendencias de seguridad han hecho los siguientes descubrimientos angustiosos:

  • Desde 2018, se ha producido un aumento del 350% en los ataques de ransomware, lo que lo convierte en uno de los vectores de ataque más populares de los últimos tiempos.
  • Los expertos en ciberseguridad creen que en 2021 habrá más ataques de ransomware que nunca.
  • Más del 60% de todos los ataques de ransomware en 2020 implicaron acciones sociales, como el phishing.
  • Las nuevas variantes de ransomware han aumentado un 46% en los últimos dos años
  • Se han detectado 68.000 nuevos troyanos ransomware para móviles
  • Los investigadores de seguridad han calculado que cada 14 segundos una empresa es víctima de un ataque de ransomware

¿Protege DMARC contra el ransomware? DMARC y el ransomware

DMARC es la primera línea de defensa contra los ataques de ransomware. Dado que el ransomware suele llegar a las víctimas en forma de correos electrónicos de phishing maliciosos procedentes de dominios de empresa falsificados o suplantados, DMARC ayuda a proteger su marca de la suplantación de identidad, lo que significa que esos correos electrónicos falsos se marcarán como spam o no se entregarán cuando tenga el protocolo correctamente configurado. DMARC y el ransomware: ¿cómo ayuda DMARC?

  • DMARC autentifica sus correos electrónicos según los estándares de autenticación SPF y DKIM que ayudan a filtrar las direcciones IP maliciosas, la falsificación y la suplantación de dominios.
  • Cuando un correo electrónico de phishing curado por un atacante con un enlace malicioso para instalar un ransomware que surge de su nombre de dominio llega a un servidor de cliente/empleado, si tiene
  • DMARC implementado el correo electrónico se autentifica contra SPF y DKIM.
  • El servidor receptor intenta verificar la fuente de envío y la firma DKIM
  • El correo electrónico malicioso no superará las comprobaciones de verificación y, en última instancia, no superará la autenticación DMARC debido a la desalineación del dominio
  • Ahora, si ha implementado DMARC en un modo de política forzada (p=rechazo/cuarentena) el correo electrónico después de fallar DMARC será marcado como spam, o rechazado, anulando las posibilidades de que sus receptores sean presa del ataque de ransomware
  • Por último, evite errores SPF adicionales como demasiadas búsquedas de DNS, errores sintácticos y errores de implementación, para evitar que su protocolo de autenticación de correo electrónico sea invalidado
  • Esto, en última instancia, salvaguarda la reputación de su marca, la información sensible y los activos monetarios

El primer paso para obtener protección contra los ataques de ransomware es registrarse en DMARC analyzer hoy mismo. Le ayudamos a implantar DMARC y a pasar a la aplicación de DMARC fácilmente y en el menor tiempo posible. Comience hoy mismo su viaje de autenticación de correo electrónico con DMARC.