Pasar al contenido principal

Ransomware

El término viene de la combinación de las palabras inglesas ransom (rescate) y malware, así que su traducción sería malware de rescate. Su nombre hace referencia al ámbito de los secuestros, donde el secuestrador pide un rescate por su víctima. En este caso la víctima o víctimas son los dispositivos ya que son secuestradas sus funcionalidades y contenido.

Este secuestro no se trata de algo físico (ya que es realizado por un software), sino de un secuestro práctico de la información y software de los equipos, impidiendo el uso habitual de los mismos. En la mayoría de casos lo que sucede es que la información de los equipos es cifrada por una clave y todos los archivos se encuentran codificados excepto los que crea el malware para indicar los pasos necesarios para pagar el rescate. El pago suele realizarse con criptomonedas como Bitcoin.

El alcance de estos ataques varía enormemente al igual que sus vectores de infección.

Históricamente estos ataques se han producido mediante campañas de ransomware distribuidas, haciendo uso de vulnerabilidades de día 0 (vulnerabilidades no reparadas o desconocidas de un sistema) impidiendo así la detección por los habituales antivirus de firmas. La complejidad de estos ataques ha ido aumentando a lo largo del tiempo. El punto de inflexión tuvo lugar en 2017 con WannaCry, el primer virus de esta categoría en poder propagarse de forma autónoma por la red infectada, que se convirtió en el primer ransomware-gusano de la historia. Desde 2019 la tendencia ha evolucionado hacia la extorsión. Ya no se cifra únicamente el equipo de la víctima, sino que el atacante exige un rescate para no hacer pública la información obtenida.

Los vectores de infección pueden ser diversos, algunos más habituales que otros:

  • Ingeniería social: El vector de entrada más habitual. Consiste en, mediante el uso de técnicas de persuasión, lograr que un usuario descargue y ejecute un archivo malicioso en su equipo. Estos ataques tienen una alta variabilidad, pueden ir desde los clásicos mensajes distribuidos de mensajes del banco o de marcas con reputación a mensajes mucho más específicos y dirigidos en los que el supuesto remitente del mensaje es tu superior directo. En este tipo de ataques destaca históricamente “la estafa del jefe” y “la herencia”.
  • Fuerza bruta a través de RDP: RDP (Remote Desktop Protocol) es un protocolo que permite a los administradores de sistemas realizar tareas de administración en los equipos de la red. Sin embargo, este protocolo puede ser explotado por un atacante y convertirse en el vector de entrada de un ataque tipo ransomware, entre otros.
  • Archivos infectados y descargas de aplicaciones: los típicos archivos, gratuitos o copiados ilegalmente, de productos de pago pueden contener archivos maliciosos en su interior. De manera que, si se tratan de instalar, pueden alojar y ejecutar cualquier otro tipo de malware en el equipo.

Kits de exploits: Angler, Neutrino y Nuclear son kits de exploits usados  de forma generalizada en ataques de ransomware. Son un tipo de kit de herramientas maliciosas con exploits prediseñados que aprovechan vulnerabilidades en complementos del navegador, como Java y Adobe Flash.