Pasar al contenido principal

Familias de ransomware más activas

¿Qué es el ransomware?

El ransomware es un tipo de malware diseñado para el secuestro de información. La forma de proceder suele consistir en infectar un equipo para cifrar su información y solicitar a continuación el pago de un rescate a cambio de la clave de descifrado de la información secuestrada.

Ransomware

Inicios y evolución 

El ransomware, es una de las amenazas más presentes en los últimos años. Los ataques ransomware comenzaron en la década del 2010, desde entonces se han extendido a nivel internacional, destacando la evolución y aparición de nuevos ransomwares como Conti, Egregor o Mountlocker que han comenzado a ser desarrollados, puestos a la venta como servicio e incluso han abierto sus propios blogs en la Deep Web. En estos blogs, los grupos de criminales llevan a cabo la técnica de la doble extorsión a sus víctimas, que consiste en solicitar el pago de un rescate, tanto para proceder al descifrado de la información, como para evitar que esta información sea publicada.

Sector objetivo 

Los incidentes de seguridad relacionados con el ransomware se dirigen contra usuarios individuales y organizaciones de todos los sectores, como el financiero, gubernamental, educativo, turístico, la industria química, hospitales, industria de videojuegos, etc. Un ataque de ransomware puede ocasionar la pérdida de datos personales y/o corporativos importantes y críticos para una empresa.

¿Cómo funciona?

Normalmente el ransomware requiere de la interacción del usuario para ejecutar un fichero o acceder a un enlace malicioso, aunque también puede ser ejecutado por parte de un atacante tras acceder a servicios expuestos en Internet. Una vez que el ransomware ha infectado un sistema, cifra la información y muestra una nota de rescate que contiene indicaciones para proceder al pago del rescate para la recuperación de la información. Esta recuperación se realiza a través de la clave de descifrado con la cual se restauran los archivos. 

Nota de rescate

La nota de rescate contiene información acerca de la cantidad a pagar, principalmente en criptomonedas como Bitcoin, indicaciones acerca de dónde y cómo ha de realizarse la transferencia del rescate, o la fecha límite, que en la mayoría de los casos, va acompañada de una hora determinada. En caso de no cumplir con la exigencia, los ciberdelincuentes suelen amenazar a las víctimas con el incremento de la cantidad inicial solicitada, no llegar nunca a obtener la clave de descifrado, o la publicación de la información filtrada.

Técnicas o vectores de acceso

Las principales técnicas utilizadas por los cibercriminales para proceder a la infección de los equipos son:

  • Ingeniería social para hacer que las víctimas descarguen un archivo o accedan a un enlace, aparentemente legítimo, pero que contiene el software malicioso.
  • Phishing a través de correos electrónicos
  • Explotación de vulnerabilidades en los sistemas de la empresa víctima, como vulnerabilidades en servidores web mal protegidos o vulnerabilidades del protocolo de escritorio remoto.
  • Malvertising o publicidad maliciosa en línea, a través de la cual, los ciberdelincuentes incrustan malware en anuncios de sitios web y al interactuar con ellos se procede a la descarga de ransomware en los dispositivos. 
  • La utilización de técnicas de Black SEO para posicionar páginas web para la descarga de archivos maliciosos.

Análisis de actividad 

Entre las principales familias de ransomware más activas destacan:

  • Mount Locker: Observado por vez primera a mediados de 2020. Se ha vuelto notorio en los medios de comunicación tras pedir rescates de hasta 2 millones de dólares y amenazar con filtrar cientos de gigabytes de datos a sus víctimas en su blog de la deep web. Utiliza como extensión de los archivos cifrados “.ReadManual.+ 8 caracteres hexadecimales” y su nota de rescate se denomina RecoveryManual.html. En dicha nota, los operadores del ransomware aportan instrucciones sobre cómo acceder a su blog a través de Tor para comenzar las negociaciones con los atacantes. Mount Locker parece ser un ransomware bastante pobre en cuanto a sus cualidades técnicas, careciendo de mecanismos antianálisis o de propagación.
  • Prolock: Antes conocido como PwndLocker, apareció por primera vez a finales de 2019. En 2020 cambió algunos aspectos corrigiendo bugs en su proceso de cifrado, además del nombre, pasando a llamarse Prolock. El método de distribución más empleado es accediendo a ordenadores infectados previamente por el malware Qbot, sin embargo, también utiliza diversas técnicas para distribuirse, tales como el envío de campañas de correo con contenido malicioso, o el uso de fuerza bruta contra sesiones RDP (Remote Desktop Protocol), usado para establecer conexiones remotas entre dos máquinas.
  • Conti: Descubierto en diciembre del 2019 y observado en ataques aislados, aunque los ataques han ido aumentando poco a poco. Conti tiene la gran mayoría de las cadenas del binario cifradas para dificultar el análisis, utilizando una rutina diferente para descifrar cada una de las cadenas. El código malicioso crea un mutex con el nombre "_CONTI_" y en caso de que no pueda crearlo o acceder a él, termina la ejecución. Con esta técnica el malware evita dobles ejecuciones. Antes de empezar a cifrar el sistema, Conti eliminará las copias instantáneas de Windows mediante la herramienta vssadmin.exe. Tras esto, finaliza los servicios que puedan tener ficheros abiertos y que puedan bloquear su acceso. También procede a la finalización de todos los procesos que contengan “sql” en el nombre para liberar los ficheros que dichos procesos pudieran tener abiertos y que puedan ser cifrados por el ransomware sin errores de acceso.
  • Maze: A finales de 2020 los operadores del ransomware Maze anunciaron la retirada de sus operaciones a través de un “comunicado de prensa” en su blog de la deep web. Según el comunicado, toda empresa que desee que su información privada sea eliminada de su blog disponía de un mes para ponerse en contacto con el soporte de Maze y los datos serían eliminados. Maze fue uno de los primeros ransomwares en utilizar la técnica de doble extorsión, y en su blog figuraban decenas de empresas afectadas que habían sido víctimas de esta amenaza, como Cognizant, Visser, etc.

Evolución del ransomware al RaaS

Dado el éxito que ha supuesto para los ciberdelincuentes el uso del ransomware con fines lucrativos, el negocio ha pasado a ofrecerse como servicio conociéndose como “RaaS” (Ransomware as a Service) a través del cual, los desarrolladores ofrecen sus kits de malware a otros ciberdelincuentes para llevar a cabo ataques de ransomware, de manera que cualquier actor de amenazas puede adquirirlo en la darkweb a cambio de una cuota mensual o comisión tras el ataque exitoso y cobro del rescate. Principalmente el RasS se lleva a cabo a través de programas de afiliación anunciados por los grupos o bandas de ciberdelincuentes, quienes ofrecen mediante suscripción, el acceso al ransomware.

¿Cómo evitar ser víctimas del ransomware?

Para evitar ser víctimas del ransomware tanto a nivel de usuario como empresarial, es necesario adoptar prácticas seguras a la hora de navegar, abrir correos electrónicos o descargar cualquier tipo de archivo a través de enlaces desconocidos que puedan instalar programas maliciosos y comprometer los dispositivos. Asimismo, es necesario mantener los equipos correctamente actualizados y protegidos para evitar que sean vulnerables.

Compartir

Compartir en Linkedin