Seguro que ya conoce el ransomware, pero ¿está al tanto de las últimas tácticas que emplean los ciberdelincuentes para presionar a la víctima y conseguir que pague?
Los ataques en los que se cifraban los archivos y se enviaba un aviso exigiendo el pago de un rescate en criptomoneda para obtener la clave de cifrado y poder desbloquearlos han pasado a la historia. Ahora los ciberdelincuentes emplean nuevas tácticas para aumentar la presión sobre la víctima y asegurarse de que, incluso aunque pueda recuperarse del ataque de cifrado de datos, haya fuertes incentivos que le obliguen a pagar el rescate.
Este artículo analiza el enorme peligro de estas nuevas tácticas y explica cómo proteger su empresa frente a ellas.
La evolución de los ataques de ransomware
Los ataques de las bandas de ransomware han evolucionado y ahora son más sofisticados y devastadores para las organizaciones. Han surgido los términos extorsión doble, triple y cuádruple que describen las nuevas tácticas que emplean los ciberdelincuentes para seguir extorsionando a sus víctimas, incluso si consiguen restaurar los datos críticos y reanudar la actividad tras el ataque inicial de cifrado de datos. La primera de estas tres tácticas es ya muy habitual y hay numerosos casos conocidos que ilustran su uso.
- Ransomware de una extorsión: es el ransomware tradicional. Cifra los archivos de la víctima y exige el pago de un rescate para descifrarlos. Normalmente las víctimas no consiguen descifrar los datos y se ven obligadas a pagar un rescate para obtener la clave de descifrado. Esta táctica ha perdido efectividad últimamente, debido al uso eficaz de la protección de los datos mediante tecnología y procesos de copia de seguridad bien implementados y verificados, para recuperar los sistemas y datos cifrados. Además, gracias a una mayor cooperación entre las fuerzas de seguridad, los proveedores de tecnología y la comunidad de usuarios para compartir las claves de descifrado descubiertas al responder a ataques anteriores, algunas víctimas pueden descifrar sus archivos sin necesidad de pagar el rescate.
- Ransomware de doble extorsión: estos ataques están aumentando como respuesta al éxito de la restauración de los datos cifrados a partir de las copias de seguridad y la reanudación de las operaciones empresariales sin pagar un rescate. En este caso, antes de comenzar a cifrar los datos, el atacante filtra sin que nadie los advierta una gran cantidad de información de la víctima. Al solicitar el pago de un rescate, amenaza con divulgar públicamente estos datos si la víctima se niega a pagar. Esta táctica puede ser extremadamente eficaz, ya que la divulgación de los datos acarrea numerosas consecuencias para la víctima: pérdida de la confianza de clientes y partners, efectos sobre el precio de cotización en bolsa de la empresa, exposición de información competitiva confidencial, como planes de lanzamiento de productos, ventas y marketing no anunciados, así como divulgación de información embarazosa, como la que contienen determinados mensajes privados de correo electrónico. Las empresas que pertenecen a sectores muy regulados, además, se pueden enfrentar a sanciones por incumplimiento de normativas; por ejemplo, el RGPD de la Unión Europea exige que toda empresa con clientes residentes en la UE proteja la privacidad y el acceso a los datos de los clientes. La ley HIPAA impone multas a los proveedores de servicios de atención sanitaria con sede en Estados Unidos que no protejan la privacidad de los datos de los pacientes.
- Ransomware de triple extorsión: en estos ataques la amenaza de doble extorsión se eleva a un nivel superior. El atacante contacta con los clientes y partners de la víctima y les notifica que la víctima tiene datos confidenciales suyos que están bajo amenaza de divulgación pública. Los ciberdelincuentes indican a estos clientes y partners que se pongan en contacto con la víctima y le animen a pagar el rescate, para evitar así sufrir las consecuencias descritas si se hacen públicos sus propios datos.
Descripción de las fases de las extorsiones
Para resumir estas tácticas por orden:
Ataque de una extorsión
- Para acceder, los ciberdelincuentes comprometen las defensas externas de la víctima e instalan el malware de cifrado. Normalmente se valen de un mensaje de correo electrónico con un enlace malicioso o un archivo adjunto en los que el usuario desprevenido hace clic. Este malware cifra discretamente los archivos del sistema de la víctima antes de presentarle la petición de rescate en criptomoneda (o en otros casos menos habituales, en otro medio de pago difícil de rastrear, como las tarjetas regalo de comercios) a cambio de la clave de descifrado.
- Las versiones de ransomware más sofisticadas se pueden propagar por la red local de la víctima, cifrando otros ordenadores de sobremesa, portátiles y servidores. Muchas versiones buscan y cifran los archivos de copias de seguridad, instantáneas y otros recursos que puedan servir para restaurar los archivos cifrados.
Ataque de doble extorsión
- Antes de lanzar el ataque de cifrado, el ransomware filtra en silencio una gran cantidad de datos confidenciales, normalmente copiándolos en un servidor externo en la nube bajo el control del ciberdelincuente. Es posible que este ataque incluya el aprovechamiento de los recursos existentes, lo que se conoce como "living-off-the-land", que consiste en usar una herramienta tecnológica que normalmente sirve para fines legítimos (copia de seguridad) para facilitar la fuga de datos de una forma que sea difícil de detectar. A continuación, pasa a la fase de cifrado.
- La nota de rescate, que se presenta una vez que los archivos de la víctima se han bloqueado, incluye en este caso una amenaza de hacer públicos sus datos confidenciales si no paga el rescate.
Ataque de triple extorsión
- Tras ejecutar las fases del ataque de doble extorsión, el ciberdelincuente se pone en contacto con los clientes y partners de la víctima y les avisa de que tiene en su poder datos confidenciales relacionados con ellos que también se divulgarían si la víctima se niega a pagar el rescate. Además, anima a estas "víctimas colaterales" a presionar a la organización para que pague el rescate y proteja así su información.
Ataque de cuádruple extorsión
- Además de las tácticas que se describen en los tres tipos de ataques anteriores, en este caso la nota de rescate amenaza con dejar fuera de servicio los servidores públicos de la víctima mediante un ataque de denegación de servicio distribuido (DDoS) si no accede a pagar.
Los ataques de una y de doble extorsión son los más habituales actualmente, los de triple extorsión van en aumento. Los ataques de cuádruple extorsión son los menos frecuentes, aunque según los análisis de ciberseguridad recientes, está aumentando su popularidad como nuevas formas de garantizar a los ciberdelincuentes el pago rápido del rescate.
Los ataques de ransomware más allá del cifrado
Ante el aumento de nuevas tácticas de extorsión con ransomware, cada vez es más urgente que las empresas refuercen las defensas para prevenir los ataques de ransomware y mejoren su capacidad para recuperarse en caso de que los ciberdelincuentes consigan eludir dichas defensas.
Hay que destacar que las bandas de ransomware son muy oportunistas, atacan a empresas de todo tamaño, de cualquier región y de todos los sectores. Sin embargo, los hay particularmente atractivos, por ejemplo, para las instituciones sanitarias las consecuencias son de vida o muerte en caso de que los sistemas críticos queden fuera de servicio; las instituciones financieras están sujetas al cumplimiento de multitud de normativas oficiales y del sector; los centros educativos se enfrentan a presupuestos ajustados y sufren la falta de concienciación de los estudiantes en materia de ciberseguridad; y el daño para la reputación en el caso de las empresas tecnológicas sería mayor si se hace público que han sido víctimas de un ataque de ransomware. Pero hay ataques que consiguen su objetivo en todos los sectores y las pequeñas y medianas empresas representan el 75 % de estos ataques, ya que habitualmente carecen de los recursos y el personal necesario para contar con defensas de ciberseguridad y operaciones de recuperación eficaces.
Algunas investigaciones y artículos recientes destacan el aumento de frecuencia, el nivel de sofisticación y la escala de los ataques de ransomware:
- Según un informe de Cloudflare publicado en enero, los ataques DDoS asociados al ransomware aumentaron un 29 % en el cuarto trimestre de 2021.
- Bandwidth.com, una empresa de comunicaciones en la nube internacional, comunicó pérdidas de entre 9 y 12 millones de dólares debido a un ataque de DDoS. Este es solo uno de los numerosos ataques que sufren las empresas y en algunos de ellos el rescate exigido es de varios millones de dólares.
- The Register informó de que la empresa de telecomunicaciones VoIP Unlimited de Reino Unido había recibido una "petición de rescate descomunal" tras un ataque DDoS, mientras que al proveedor canadiense VOIP.MS se le exigieron 4,2 millones de dólares de rescate después de un ataque DDoS. La empresa tardó casi dos semanas en restaurar el servicio de atención al cliente.
- La banda de ransomware BlackCat emplea técnicas de cuádruple extorsión para presionar a las víctimas y conseguir que paguen el rescate. Últimamente, este grupo ha subido el rescate a 2,5 millones de dólares.
No todos los ataques de ransomware se denuncian, por lo que es difícil calcular cuánto se paga de media. El coste varía enormemente dependiendo del tamaño y el tipo de organización, la cantidad de datos que se cifran y el rescate que se exige. Pero en la actualidad el total asciende a miles de millones de dólares al año.
Estrategias para protegerse frente al ransomware de cuádruple extorsión
Para mitigar el riesgo de ser víctima de ataques de ransomware de todo tipo, las empresas deben invertir en ciberseguridad y en protección de datos de manera que puedan garantizar no solo que pueden repeler los ataques, sino también recuperarse rápidamente si alguno prosperara.
Estos son los pasos que debe incluir todo plan integral de defensa en profundidad para minimizar el riesgo de pérdida de datos y el tiempo de inactividad tras un ataque de ransomware:
- Crear regularmente copias de seguridad de los datos. Las copias de seguridad deben estar en una ubicación segura, que no esté conectada a la red. De esta forma, podrá restaurar los datos incluso si la red sufre un ataque.
- Implementar medidas de seguridad, como el filtrado del correo electrónico, el bloqueo de spam, la autenticación multifactor y el uso de claves de descifrado universales, para reducir las posibilidades de que los mensajes de correo electrónico lleguen a las bandejas de entrada de los empleados.
- Asegurarse de que todo su software —incluidos los sistemas operativos, navegadores web y aplicaciones— está actualizado con los últimos parches de seguridad. De esta forma, evitará que los ciberdelincuentes puedan aprovechar vulnerabilidades conocidas para obtener acceso a sus sistemas.
- Usar software antivirus y antimalware para detectar y prevenir ataques de ransomware. Mantenga el software antivirus y antimalware actualizado con las últimas definiciones de virus.
- Implementar medidas de seguridad de red, como firewalls, sistemas de detección y prevención de intrusiones y segmentación de la red, para impedir que los atacantes puedan acceder a los sistemas.
- Desplegar medidas contra los ataques DDoS para reducir el riesgo en los servidores con acceso público.
- Concienciar a los empleados sobre el riesgo de los ataques de ransomware y mostrarles cómo evitarlos. Deben aprender a reconocer los ataques de phishing y los enlaces sospechosos y denunciar posibles ataques.
- Tener un plan de respuesta a incidentes por si se produce un ataque de ransomware. Este plan debe incluir pasos para aislar los sistemas infectados, desconectarlos de la red y avisar a las fuerzas de seguridad. Además, es importante contar con un plan para restaurar los datos a partir de una copia de seguridad.
Protéjase frente a los ataques de ransomware con Acronis Cyber Protect
Acronis Cyber Protect es una solución de ciberprotección integrada que ayuda a proteger a las empresas contra todo tipo de ransomware. Emplea una combinación de aprendizaje automático e inteligencia artificial para detectar y bloquear los ataques de ransomware, además de opciones de recuperación en caso de que un ataque tenga éxito.
Acronis Cyber Protect detecta y neutraliza los ataques de ransomware utilizando un enfoque multicapa. Las amenazas de ransomware conocidas se identifican mediante detección heurística y basada en firmas y para las amenazas totalmente nuevas se emplea análisis de comportamientos y tecnologías de aprendizaje automático. La solución utiliza inteligencia artificial para controlar cambios de comportamiento que pudieran ser indicio de un ataque inminente.
En caso de ataque, Acronis Cyber Protect ofrece varias opciones para la recuperación. Por ejemplo, puede restaurar archivos o carpetas individuales que hayan sido cifradas o bien sistemas completos. Además, ofrece la opción de revertir los cambios que realiza el ransomware de manera que pueda recuperarse una versión de los datos anterior al ataque.
¿Preparado para mejorar su seguridad contra las amenazas modernas y al mismo tiempo optimizar la gestión?
