Ransomware: un clásico que se reinventa y cada vez más peligroso

Los tiempos contemporáneos se caracterizan por el constante uso de la tecnología y automatización: hoy en día no se conciben las tareas diarias tanto personales como corporativas, sin la tecnología. En paralelo con este crecimiento exponencial, también existe el aumento constante de las ciber amenazas.

Una de estas es el ransomware, un tipo de ciberataque por el cual los cibercriminales extraen y secuestran la información de sus víctimas. El objetivo de estos ataques es pedir un rescate (ransom, en inglés) a cambio de liberar la información secuestrada o para extorsionar a las víctimas con la amenaza de hacer públicos los datos extraídos.

Los atacantes actuales aprovechan las técnicas de evasión sofisticadas, como la ejecución en la memoria y la carga de malware desde máquinas virtuales para eludir las defensas de los endpoints. La seguridad tradicional de redes y endpoints simplemente no se ha mantenido al día con las amenazas que evolucionan rápidamente, lo que no ayuda a bloquear ransomware nuevo y evasivo.

Ryuk, WastedLocker, REvil y otros grupos de ransomware utilizan técnicas de ataque dirigidas y capacidades similares a las de los gusanos para infectar hosts rápidamente. Debe bloquear cada paso del ataque, desde la entrega hasta los movimientos difíciles de detectar, y restaurar rápidamente los hosts comprometidos si es necesario.

Los ataques de ransomware son cada vez más comunes, y ningún sector está exento de ser objetivo de algún grupo. En México, los sectores de Manufactura, Educación, Servicios Profesionales y Legales fueron los principales receptores de estos incidentes, con cuatro registrados cada uno, seguido de las Bienes Raíces, Alta Tecnología, Salud, Entretenimiento, Construcción y Servicios Financieros, con dos ataques cada uno. El Gobierno Federal y Gobierno Local, así como el sector de Transporte y Logística redujeron sus incidentes a uno.

El Informe de ransomware y extorsión de Unit 42 de 2023 clasifica a Brasil como el país con más ataques de ransomware en Latinoamérica, con 59 incidentes reportados. México tuvo 26, dos más que el año anterior, representando casi el 1% de ataques en el mundo, seguido de Argentina con 23 y Colombia con 19. Si bien en muchos casos la motivación es financiera, Unit 42 también ha visto indicios de que la extorsión puede ocurrir al servicio de los objetivos más grandes de un grupo, a veces simplemente para financiar otras actividades, pero otras para distraerse de ellas.

Para este fin los actores de ransomware a menudo usan una variedad de técnicas de extorsión (llamadas multiextorsión) para presionar a las organizaciones para que tomen la difícil decisión de pagar el rescate. Unit 42 ha observado las siguientes tácticas de extorsión empleadas y amenazadas por los actores de amenazas de ransomware:

• Cifrado: los datos y archivos de una organización están encriptados, y el actor de amenazas exige un pago para restaurar el acceso a ellos. Esta ha sido durante mucho tiempo la principal táctica de extorsión del ransomware.
• Robo de datos: los actores de amenazas adquieren los datos de una organización y amenazan con difundirlos a menos que se les pague. Esto a menudo involucra sitios de fugas en la dark web. Los actores de amenazas apuntan cada vez más a la información que puede ser particularmente sensible, como archivos que contienen información de identificación personal (PII), datos financieros del cliente, información de salud protegida (PHI), etc.
• Denegación de servicio distribuida (DDoS, Distributed Denial of Service): los sitios web u otros recursos son objeto de un ataque DDoS para interrumpir las operaciones y llamar la atención de una organización.
• Acoso: los actores de amenazas pueden llamar, enviar correos electrónicos o comunicarse de otra manera con los empleados o clientes de una organización. También pueden publicar en las redes sociales sobre el incidente o contactar a los periodistas.

Incluso tener respaldos de información no es suficiente, Unit 42 vio incidentes en los que las organizaciones decidieron no pagar el rescate porque tenían fuertes respaldos, pero los actores de amenazas continuaron con campañas de acoso tan intensas que los costos resultantes excedieron el rescate exigido, así como un precio más allá del dinero, pues un ataque de ransomware puede repercutir en la reputación de las empresas al reconocer que fueran afectadas o que no tuvieron los medios para contrarrestarlos.

La ciberseguridad ya no es una opción, sino una necesidad para todas las organizaciones, pues ninguna es la excepción a poder sufrir un ataque de ransomware; estas tienen la oportunidad de preparar y reforzar su protección, ahora es el momento de que las organizaciones implementen las mejores prácticas de administración de identidades y accesos (IAM, Identity and Access Management) para proteger sus API en la nube, así como fortalecer sus protocolos de ciberseguridad para mejorar su resistencia al ransomware.