¿Qué es el ransomware?
El ransomware es un tipo de malware específico y extremadamente dañino que los ciberdelincuentes utilizan para extorsionar a individuos, organizaciones y empresas. Una infección bloquea el acceso a los datos hasta que se realiza un pago como rescate, tras lo que se supone que se recupera el acceso.
En realidad, casi el 40 % de las víctimas que pagan un rescate no recuperan nunca sus datos, y el 73 % de las que pagan vuelven a ser atacadas más tarde: por eso todo el mundo debe protegerse del ransomware.
Ataques notorios de ransomware
- Dharma
- Ryuk
- Sodinokibi
- Netwalker
- Maze
Impacto:ElevadoEstado:ActivoDharma
Dharma evolucionó desde el ransomware CrySis en 2016 y se distribuye principalmente en archivos adjuntos maliciosos en mensajes de spam. Para ello, emplea diferentes trucos, como usar extensiones de archivo dobles o esconderse en archivos de instalación para paquetes de software legítimos. Últimamente, esta variante de ransomware se ha distribuido también a través de servidores RDP expuestos con contraseñas no seguras o filtradas. El rescate exigido suele ser de 1 bitcoin por infección y muchas de las víctimas pertenecen al sector de pymes y particulares. El FBI calcula que con todas las versiones se han obtenido más de 8 millones de dólares en ganancias en 2019. En marzo de 2020, se puso a la venta el código fuente de Dharma en varios foros clandestinos, lo que permitió que se crearan todavía más variantes.
En las noticias
Impacto:ModerateEstado:ActivoRyuk Ransomware
Supuestamente Ryuk está vinculado al grupo de hackers patrocinado por un estado Lazarus y a la anterior variante de ransomware Hermes. A diferencia de las cepas de ransomware habituales, que se distribuyen a través de campañas masivas de spam y kits de exploits, esta variante se utiliza principalmente en ataques selectivos. Ryuk emplea un modelo de tres niveles en el que las claves de cifrado se cifran mediante RSA y AES para encriptar los archivos de los usuarios y se emplean técnicas de inyección de procesos para ocultarse ante las soluciones antivirus. Ryuk ha infectado a objetivos muy preeminentes y ha solicitado rescates del orden de millones de dólares. Según estimaciones del FBI, los ingresos de Ryuk deben aproximarse a los 3 millones de dólares al mes, lo que es muestra del nivel de éxito de su estrategia.
En las noticias- El ransomware Ryuk golpea a la empresa del Fortune 500 EMCOR
- TDos ataques de ransomware "ruso" dejan fuera de servicio los sistemas del ayuntamiento de una ciudad y un condado de Carolina del Norte
- El ransomware Ryuk afecta a varias instalaciones de petróleo y gas, declara un experto en seguridad de ICS
Impact:Impacto:Estado:ActivoSodinokibi Ransomware
Sodinokibi es supuestamente distribuido por atacantes afiliados a los mismos que distribuyeron el infame ransomware GandCrab. Sodinokibi evita la infección de ordenadores de Irán, Rusia y otros países que formaron parte de la URSS. Sodinokibi utiliza un Esquema de cifrado integrado de curva elíptica (ECIES) para la generación e intercambio de claves (algoritmo de intercambio de claves Diffie-Hellman de curva elíptica). Este ransomware utiliza los algoritmos AES y Salsa20 para cifrar las claves de sesión y los archivos del usuario respectivamente; AES se utiliza también para cifrar los datos de red que se envían al servidor de control. Por lo general, el ransomware exige aproximadamente 0,32806964 BTC (≈ 2500 USD) para recuperar el acceso a los archivos cifrados.
En las noticias- El ransomware Sodinokibi paraliza la red de TI de Gedia Automotive Group
- El ransomware Sodinokibi paraliza la red de TI de Gedia Automotive Group
- El ataque a Travelex tiene implicaciones alarmantes
Obtenga más información sobre Sodinokibi en Acronis
Impacto:ElevadoEstado:ActivoNetwalker
Descubierto por GrujaRS, NetWalker (también conocido como Mailto) es una versión actualizada del ransomware Kokoklock. Solicita rescates elevados tras atacar las redes y cifrar todos los dispositivos Windows conectados. Los ciberdelincuentes han comenzado recientemente una campaña de spam por correo electrónico relacionada con el coronavirus, con el fin de propagar el ransomware NetWalker. A finales de marzo de 2020, el grupo lanzó una campaña de afiliación para ofrecer NetWalker como ransomware como servicio (RaaS).
En las noticias- Hospitales españoles víctimas de estafas con el tema del coronavirus en ataques del ransomware Netwalker
- Empleados sanitarios víctimas de un ataque en una peligrosa nueva campaña de ransomware para Windows que utiliza el coronavirus como señuelo
- El ransomware Netwalker infecta a usuarios mediante phishing con el tema del coronavirus
Impacto:ElevadoEstado:ActiveMaze
Maze, conocido también anteriormente como ChaCha, apareció por primera vez en la escena del ransomware en 2019. El grupo es activo en todo el mundo y distribuye malware a través de distintos métodos, como mensajes de spam, kits de exploits y conexiones a escritorio remoto con contraseñas no seguras. El ransomware Maze es bastante complejo e incluye varias estratagemas para evitar el análisis, como el cierre de depuradores y herramientas para revertir la ingeniería. Maze fue una de las primeras grandes familias de ransomware que publicaron datos robados cuando las víctimas se negaron a pagar el rescate exigido. A diferencia de muchos otros, el grupo que hay detrás del ransomware Maze es muy activo en redes sociales, mofándose de investigadores y periodistas.
En las noticias- La ciberaseguradora Chubb sufre un robo de datos en un ataque del ransomware Maze
- El ransomware Maze está detrás del ciberataque a Pensacola. Se exige un rescate de 1 millón de dólares
- Los hackers que emplean el ransomware Maze extorsionan a proveedores amenazándoles con publicar datos sanitarios robados
La conexión del ransomware con el criptosecuestro
Los ciberdelincuentes infectan los equipos Windows y Linux con malware que secuestra los recursos informáticos para extraer criptomonedas sin que el usuario tenga conocimiento de ello. El criptosecuestro no solo ralentiza el rendimiento de los equipos informáticos, aumenta los costes energéticos y daña el hardware, sino que la infección suele insertar ransomware para maximizar la rentabilidad del malware.
Afortunadamente, Acronis detecta automáticamente y detiene el ransomware y a los criptosecuestradores en tiempo real, superando a muchas de las principales soluciones de ciberseguridad de punto final.
La copia de seguridad más fiable y fácil
- Para entornos domésticos
Cyber Protect Home Office
La solución de ciberprotección personal número 1 del mundo, que ha demostrado ser la más segura, rápida y fácil de usar.
Comprar ahora - Para empresas
Cyber Protect
La única solución que integra de forma nativa ciberseguridad, protección de datos y administración para proteger endpoints, sistemas y datos. La integración y la automatización proporcionan una protección inigualable, que aumenta la productividad y disminuye el coste total de propiedad.
Comprar ahora
Protección demostrada frente al ransomware
Laboratorios independientes, analistas de ciberseguridad y grupos del sector coinciden en que Acronis ofrece la mejor defensa frente a las ciberamenazas modernas.
No corra ningún riesgo
Cómo las soluciones de Acronis protegen sus datos, aplicaciones y sistemas
- Detecta ataques
Mediante la inteligencia artificial, Acronis supervisa su sistema en tiempo real, examinando la pila de procesos para identificar aquellas actividades que muestran patrones de comportamiento que son típicos de los ataques de ransomware y criptosecuestro.
- Detiene el cifrado
Si un proceso intenta cifrar sus datos o insertar código malicioso, Acronis lo detiene inmediatamente y le notifica de manera instantánea que se ha encontrado algo sospechoso. A continuación, podrá bloquear la actividad o permitir que continúe.
- Restaura los archivos afectados
Si algún archivo ha sido alterado o cifrado antes de detener el ataque, Las soluciones de ciberprotección de Acronis restaurarán automáticamente esos archivos de la copia de seguridad o de la caché, revirtiendo los efectos de cualquier ataque de forma casi inmediata.
- Se dirige a los cinco vectores de la ciberprotección
La ciberprotección moderna debe garantizar la seguridad, accesibilidad, privacidad, autenticidad y protección de todos los datos (lo que se conoce como SAPAS por sus siglas en inglés). Solo Acronis unifica toda la tecnología necesaria (cloud híbrido, IA, cifrado y blockchain) en una única solución que es fácil, eficiente y segura.
Protección del sector
Miembro de la AMTSO
Como parte de la Organización de Estándares de Prueba Anti-Malware (o AMTSO, por sus siglas en inglés), Acronis ayuda a desarrollar los estándares adecuados para probar soluciones de seguridad y participamos en pruebas que están adheridas a los estándares de la AMTSO.
Contribuyente de aprendizaje automático a VirusTotal
Ser miembro de la AMTSO permitió a Acronis contribuir con nuestro motor de aprendizaje automático a VirusTotal, lo que permite a todos los usuarios del mundo beneficiarse de la capacidad de nuestra tecnología para detectar diversas amenazas a los datos en línea.
Joel S.
Administrador de redes
Con características innovadoras como Acronis Active Protection frente a ransomware, estamos implementando la ciberprotección más sólida que existe actualmente en el mercado.
¿Quiere ayuda?
Preguntas frecuentes
- ¿Qué es el ransomware?
El ransomware es un tipo de malware que utilizan los ciberdelincuentes para extorsionar a individuos, organizaciones y empresas a cambio de dinero. Existen muchos tipos de ransomware, pero en un ataque habitual se cifran los datos de la víctima y se presenta al usuario un mensaje que solicita el pago de un rescate, normalmente en moneda digital, como bitcoin o Monero.
Una vez pagado el rescate, supuestamente los ciberdelincuentes deben proporcionar una clave de descifrado, aunque hay que señalar que casi el 40 % de las víctimas que pagan el rescate no vuelven a recuperar nunca el acceso a sus datos.
- ¿Cómo evitar el ransomware?
El ransomware se suele distribuir a través de mensajes de correo electrónico y sitios web infectados. La mayor parte del ransomware se distribuye utilizando una técnica de infección con malware que se denomina “phishing”, en la que se recibe un mensaje de correo electrónico que parece proceder de alguien que el usuario conoce o que es de su confianza. La idea es engañarle para que abra un archivo adjunto o haga clic en un enlace que contiene el mensaje. Al hacerlo, el ransomware se inyecta en su sistema.
La primera medida de defensa es extremar las precauciones y evitar los enlaces o adjuntos sospechosos, pero los ciberdelincuentes son expertos en timar hasta a los usuarios más cautos. Es fundamental contar con un software antiransomware que proteja su sistema.
"Por desgracia, algunas de las soluciones antivirus tradicionales que buscan las variantes de ransomware conocidas no pueden hacer frente a las amenazas actuales, que están en continua evolución. Tanto si necesita protección frente al ransomware para dispositivos Windows 10 como para Mac, debe utilizar una tecnología antiransomware que detecte los ataques a partir de actividades sospechosas, ya que las defensas que se basan en comportamientos son mucho más eficaces a la hora de identificar y detener ataques de día cero."
- ¿Cómo eliminar el ransomware?
Si ha sufrido un ataque de ransomware, debe saber que no es fácil eliminarlo. Básicamente tiene tres opciones.
En primer lugar, puede restaurar su sistema a partir de una copia de seguridad. Deberá comprobar que la copia de seguridad no ha sido manipulada, ya que las nuevas variantes de ransomware afectan a los archivos y al software de copia de seguridad.
La segunda opción es reformatear el disco duro, borrar todos los datos (incluida la infección) y volver a instalar el sistema operativo y las aplicaciones. Sin embargo, si no dispone de una copia de seguridad, perderá todos sus datos personales y seguirá siendo vulnerable ante otros ataques de ransomware en el futuro.
Por último, puede pagar el rescate y rezar para que la clave de descifrado funcione y le permita restaurar sus datos. Recuerde que el 40 % de los que pagan no recuperan nunca sus datos, así que es mucho mejor evitar un ataque antes de que provoque daños.
- ¿Quién hay detrás del ransomware?
En general los que desarrollan y distribuyen el ransomware son bandas de delincuentes organizadas o actores patrocinados por estados.
La motivación para los delincuentes organizados es obtener el máximo lucro posible. Cada vez es más frecuente que distribuyan su malware como kits de ransomware que están al alcance de cualquiera, aún cuando no se dispone de conocimientos técnicos. Este modelo de ransomware como servicio (RaaS) les permite propagar su software con rapidez. Los ciberdelincuentes se encargan del pago, el descifrado y otros requisitos operativos, y se llevan un porcentaje del rescate obtenido.
Los estados que hacen uso del ransomware son normalmente países proscritos que con frecuencia están sometidos a estrictas sanciones por parte de la comunidad internacional. El uso del ransomware tiene como objetivo obtener fondos de las víctimas y afectar al bienestar económico, de comunidad y de gobierno de sus rivales.
- ¿Cómo se descifran los archivos?
Dada la enorme gama de familias de ransomware y las variantes individuales dentro de dichas familias, varía la manera como se descifran los datos tras un ataque.
En algunos casos, hay paquetes de software de descifrado disponibles en línea para ciertas clases de ransomware. Pueden crearse porque la variante se ha estudiado a fondo desde su aparición o porque un investigador encontró un fallo en el cifrado utilizado por los delincuentes. Si puede determinar el tipo de ransomware que ha cifrado sus archivos, puede ver si hay un descifrador disponible.
Sin embargo, en muchos casos, las variantes conocidas del ransomware tienen un cifrado tan intenso que no es posible descifrar los archivos y, en su mayor parte, no hay opciones de descifrado para las familias modernas de ransomware.
La mejor opción es restaurar el sistema a partir de una copia de seguridad segura, que recuperará sus archivos y, en la mayoría de casos, eliminará el malware para no arriesgarse a que quede infectado de nuevo.
Si se asegura de que tendrá un bloqueador de ransomware basado en el comportamiento, también evitará futuras infecciones.