¿Qué permite hacer el ransomware a los hackers?

¿Qué permite hacer el ransomware a los hackers?

En un ataque de ransomware, los hackers emplean malware para cifrar, eliminar o manipular datos, propiedad intelectual o información personal. Esto permite a los ciberdelincuentes retener digitalmente la información, el dispositivo o el sistema hasta que la víctima cumpla con sus exigencias de rescate, que generalmente implican un pago seguro e imposible de rastrear.

El ransomware sigue siendo una de las tácticas más rentables para los ciberdelincuentes; las solicitudes de rescate suelen seer de 1 a 10 millones de dólares. Es importante tener en cuenta que pagar el rescate exigido por el hacker no garantiza que el sistema se vaya a restablecer ni que los datos robados no se compartan o se vendan en la dark web.

Técnicas de hackers de ransomware

El ransomware permite a los hackers persuadir a las víctimas para que les paguen a través de dos métodos:

1. Cifrado de datos
2. Robo de datos

1. Cifrado de datos

Los ataques de ransomware se centran en que el hacker cifre los archivos de la víctima para poder recibir el pago del rescate y descifrar dichos archivos. La forma en que se cifran los archivos cambia según la variante de ransomware, pero normalmente acceden a un sistema y buscan archivos de tipos específicos. Para recuperar los archivos, la víctima debe pagar un rescate a fin de obtener una clave de descifrado, la cual no siempre funciona.

Muchas variantes de ransomware ahora tienen capacidades de autopropagación, lo que significa que pueden penetrar a otros dispositivos de la red y explotar sus vulnerabilidades.

2. Robo de datos

El cifrado de datos ya no es suficiente para que el hacker del ransomware obtenga beneficios. A las víctimas de ataques de ransomware se les indica que no paguen el rescate, sino que denuncien el ataque a las autoridades y acepten sus pérdidas. Esto llevó a los hackers a añadir el robo de datos al cifrado de los mismos.

Antes de cifrar los datos de la víctima, el hacker explora el dispositivo infectado en busca de documentos o datos valiosos y confidenciales para enviarse una copia. Después, utiliza los datos robados como extorsión adicional para que la victima pague un rescate, lo que puede ser perjudicial para la empresa o los clientes de la víctima dependiendo de cuáles sean los datos.

Tipos de ransomware y lo que hacen

Como se mencionó anteriormente, las variantes de ransomware tienen muchas formas. Aquí revisamos algunos de los tipos más comunes de ransomware y las diferentes formas en que cifran o roban datos:

1. El ransomware cifrador o cryptoware cifra los archivos y datos de un sistema para que no se pueda acceder al contenido sin una clave de descifrado.
2. Los bloqueadores impiden completamente el acceso al sistema, por lo que no se puede acceder a los archivos y aplicaciones. Una pantalla de bloqueo muestra la solicitud del rescate.
3. El scareware es un software falso que afirma haber detectado un virus u otro problema en el ordenador o dispositivo móvil e indica al usuario que pague para resolver dicho problema. El scareware también puede bloquear el ordenador o inundar la pantalla de alertas emergentes sin dañar los archivos realmente.
4. El doxware o leakware amenaza con distribuir online información confidencial personal o de la empresa, y de esta forma, animan a las víctimas a pagar el rescate para evitar que los datos privados caigan en manos equivocadas o sean de dominio público. Una variación es el ransomware con temática policial, en el que los cibercriminales se hacen pasar por las fuerzas policiales y advierten que se ha detectado actividad ilegal online, pero que se puede evitar la cárcel pagando una multa.
5. El ransomware como servicio (RaaS) es un malware alojado de forma anónima por un hacker "profesional" que maneja todos los aspectos del ataque, desde la distribución del ransomware hasta la obtención de pagos y la restauración del acceso.
6. Los ataques sin archivos o ransomware sin archivos son ataques en los que la táctica inicial no consiste en escribir un archivo ejecutable en el disco. El ransomware sin archivos utiliza herramientas preinstaladas del sistema operativo, como PowerShell o WMI, que permiten al agresor realizar tareas sin necesidad de instalar un archivo ejecutable malicioso en el sistema comprometido.

Cómo protegerse de un ataque de ransomware

Una vez que se produce el cifrado del ransomware, suele ser demasiado tarde para recuperar esos datos. Por eso, la mejor defensa ante el ransomware es la prevención proactiva.

El ransomware está en constante evolución, por lo que la protección es un desafío para muchas organizaciones. Sigue estas prácticas recomendadas para mantener tus operaciones siempre seguras:

1. Formar a todos los empleados en prácticas recomendadas de ciberseguridad.
2. Mantener el sistema operativo y el resto de software parcheado y actualizado.
3. Implementar y mejorar la seguridad del correo electrónico.
4. Monitorizar continuamente el entorno en busca de actividades maliciosas e indicadores de ataque (IOA).
5. Integrar inteligencia sobre amenazas en la estrategia de seguridad.
6. Desarrollar copias de seguridad offline a prueba de ransomware.
7. Implementar un programa de gestión de identidades y accesos (IAM).

Evitar los ataques de ransomware con CrowdStrike

CrowdStrike Falcon® ofrece protección contra el ransomware. Esta función es cada vez más valiosa, ya que la popularidad del ransomware sigue aumentando. Nuestro enfoque con esta función es evitar que el ransomware infecte un sistema y cifre sus archivos. Creemos que es absolutamente necesario adoptar un enfoque de prevención porque a menudo el descifrado es imposible y porque nadie desea pagar un rescate ni restaurar sus datos desde las copias de seguridad.

CrowdStrike utiliza su sensor de endpoint para detectar comportamientos de ransomware y erradicar el proceso del atacante antes de que logre su objetivo de cifrar archivos. Esto se consigue utilizando los patrones del indicador de ataque (IOA) de CrowdStrike en el endpoint. Estos funcionan tanto online como offline y son efectivos contra nuevas variantes de ransomware y variantes polimórficas que a menudo eluden las firmas de antivirus tradicionales.