Eventos 507 Periodismo Coberturas

La palabra Ransomware es la combinación de las palabras Ransom que en inglés significa “Rescate” y  Ware que proviene de la palabra software, por lo que hablar de rescate por un secuestro de software nos da una idea del propósito de este tipo de ataques.

En forma muy resumida un ataque de tipo Ransomware está divido en tres grandes fases: la de infiltración, la de cifrado y la de extorsión.

Un ataque Ransomware es una de las modalidades de ataques cibernéticos de mayor impacto para las organizaciones, esto es debido a que al hacerse efectivos los ataques, logran cifrar los archivos de la organización como: documentos, imágenes, videos, etc. Dejándolos inutilizables para todas las personas de la organización atacada; causando la detención de la operación normal del negocio, lo que en automático puede implicar pérdidas económicas, daños en la imagen y reputación, y en los peores casos el cierre definitivo de la misma.

Infiltración

Para que se lleve a cabo un ataque de tipo Ransomware el primer paso es infiltrarse dentro de los sistemas informáticos de la organización, esto puede realizarse mediante ingeniería social, explotación de vulnerabilidades, instalación directa, entre otros.

“Una infiltración es un acceso no autorizado a un sistema, aplicación o datos, en donde un usuario no autorizado logra este acceso con la intención de causar algún daño”

Jose Amado, Cybersecurity Outsourcing Director de SISAP

La Ingeniería Social es un conjunto de técnicas de engaño y manipulación, dirigida a los usuarios, con el objetivo de conseguir que revelen información personal o permitir al atacante tomar control de los dispositivos. La ingeniería social se puede valer entre otras técnicas de: uso de redes sociales, herramientas de mensajería, falsas promociones, correos electrónicos, etc.

Adicional al uso de la ingeniería social para engañar y manipular a los integrantes de la organización atacada, también existen otras rutas que los cibercriminales utilizan para infiltrarse en los sistemas, entre ellos tenemos:

De acuerdo con el Data Breach Investigations Report (DBIR) de Verizon 2022, en el último año el 82% de las brechas de seguridad involucraron el factor humano, entre ingeniería social, errores de configuración, descuidos y la mala intención, han colocado a las personas como las principales debilidades para la seguridad informática.

Cifrado

El cifrado es un mecanismo el cual somete un texto o un archivo a un proceso de codificación, el resultado es un archivo ilegible y solamente accesible por el autor del cifrado quien posee la llave para descifrar.


“El cifrado fue diseñado para proteger la información y ahora utilizado por los ciberdelincuentes en ataques de ransomware.”

Jose Amado, Cybersecurity Outsourcing Director de SISAP

Ejemplo de un texto cifrado.

Ejemplo de un block de notas cifrado

Al cifrar los documentos los cibercriminales colocan una clave que permitirá a la organización “descifrarlos”, sí y solo sí, se accede a realizar un rescate por ellos.

En el momento en que los sistemas y bases de datos quedan cifrados, los ciberdelincuentes se encargan de hacerle saber a sus víctimas que han sido atacados; generalmente se identifican con el nombre de la organización criminal a la que pertenecen y abren un canal de comunicación entre los atacantes y la organización atacada.

Es importante mencionar que los ciberdelincuentes, adicional de cifrar los datos de la organización, examinarán vulnerabilidades en los sistemas de esta, con el fin de extraer la información cifrada; recordemos que la información es poder y los criminales lo tienen muy claro, así que no dudarán en llevarse una copia para sacarle mayor provecho.

Extorsión

Debido a que el fin principal de los ataques Ransomware es obtener un beneficio, una vez logrado el objetivo de cifrar los sistemas y bases de datos de la organización, empezará la fase de extorsión en donde exigirán dinero a cambio de la llave para descifrar los datos. El dinero exigido en la mayoría de los casos será en criptomonedas debido a lo complicado que se vuelve para las autoridades el rastreo de este.

Si los atacantes lograron extraer la información de la organización, tendrán otra oportunidad para extorsionar amenazando a la organización atacada con hacer pública la información secuestrada, a esta modalidad se le conoce como “doble extorsión”.

“La doble extorsión es una modalidad del Ransomware donde la información valiosa también fue exfiltrada, los datos fueron cifrados y extraídos, cuando el atacante logra esta combinación exitosa, podrá extorsionar a la víctima para no publicar su información y también para devolverle el acceso a la misma”

Jose Amado, Cybersecurity Outsourcing Director de SISAP

Al igual que la gran mayoría de los ataques cibernéticos, el Ransomware tienen un fin económico para los atacantes, esta modalidad incluso ha sido tan lucrativa para los cibercrimanales que, incluso han llegado a crear opciones para criminales no expertos conocidos como “Ransomware as a service”  es un servicio que permite a una persona sin conocimiento técnico poder contratar el servicio y dirigirlo a su víctima que puede ser una persona individual o una empresa con la que el contratante del servicio tiene algún descontento.

Ojo al dato

Más de la mitad de los ataques se atribuyen a 5 grupos principales en los últimos 2 años.

3 de estos grupos continúan activos: Conti, LockBit y Pysa, y son responsables de dos terceras partes del total de ataques en la actualidad.

Fuente: Abnormal The Evolution of Ransomware: Victims, Threat Actors, and What to Expect in 2022

Se han identificado 62 distintos grupos de Ransomware desde el 2,020. Muchos de ellos se han “rebrandeado” es decir han cambiado de nombres o se han formado debido a la desintegración de grupos más grandes.

Fuente: Abnormal The Evolution of Ransomware: Victims, Threat Actors, and What to Expect in 2022

Históricamente la banca, tecnología y salud eran las industrias más afectadas, en los últimos años los ataques se han diversificado, en gran parte debido a que han proliferado cada vez más grupos cibercriminales y porque estas industrias que históricamente eran las más atacadas se han preparado y reforzado su ciberseguridad.

“Las organizaciones criminales tienen como objetivo clientes de todos los tamaños, con ataques hechos a la medida, las pequeñas y medianas empresas han resultado ser víctimas más fáciles por su débil protección ante un ataque cibernético, volviéndose un objetivo más atractivo para los ciber delincuentes.”

Jose Amado, Cybersecurity Outsourcing Director de SISAP

Incluso dependiendo del grupo criminal, existen variaciones en su tipo de víctimas, tal y como lo muestra la siguiente gráfica de las víctimas de los grupos criminales Pysa y Everest.

Cómo reducir el riesgo

El CERT de SISAP insta encarecidamente a las instituciones y empresas privadas a reforzar los controles de seguridad y seguir las recomendaciones brindadas a continuación:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *