Introducción

A medida que nuestra dependencia de la infraestructura digital crece, el impacto de los ataques de ransomware se vuelve cada vez más grave, interrumpiendo las operaciones diarias y causando pérdidas financieras. La captura de criminales cibernéticos es más difícil ya que recurren a métodos sofisticados para ocultar sus huellas. Una de las herramientas que han adoptado es la criptomoneda para recibir pagos de rescate. Aprovechan la naturaleza descentralizada y pseudónima de las criptomonedas como forma de pago preferida. Solo en 2023, los ataques de ransomware resultaron en más de $1 mil millones en pagos de rescate, como...informadopor la empresa de análisis de blockchain, Chainalysis.

¿Qué es Ransomware?

El ransomware es un software malicioso diseñado para cifrar los datos de un sistema, dejándolos inaccesibles hasta que se pague un rescate. Este ciberataque se dirige a individuos, empresas y organizaciones gubernamentales, explotando las vulnerabilidades en sus sistemas para obtener acceso no autorizado. Una vez que se despliega el malware, cifra los archivos y exige un pago, generalmente en criptomoneda, para descifrar los datos.

Si bien el objetivo principal de los ataques de ransomware es principalmente monetario, en algunos casos también se utiliza para causar interrupciones operativas, obtener acceso no autorizado a información confidencial o presionar a las organizaciones para que cumplan con otras demandas. También se ha utilizado como una herramienta de guerra cibernética entre países con tensiones políticas.

Historia y evolución del Ransomware

El primer ataque de ransomware conocido fue el AIDS Trojan en 1988, también llamado PC Cyborg Virus. Se distribuyó a través de disquetes a los asistentes a la conferencia de la Organización Mundial de la Salud. Después de un cierto número de reinicios de computadora, el troyano cifró archivos y exigió un rescate de $189 pagado a un apartado de correos en Panamá. Este ataque utilizó un cifrado primitivo en comparación con los estándares actuales, pero sentó las bases para el ransomware moderno. A partir de 2006, se utilizó el cifrado RSA avanzado para distribuir ransomware en sitios web y a través de correo no deseado, con pagos de rescate realizados con vales, paysafecards y otros métodos electrónicos difíciles de rastrear.

Fuente: Chainalysis

Para 2010, a medida que Bitcoin ganaba popularidad, los atacantes comenzaron a exigir rescate en una moneda seudónima que era mucho más difícil de rastrear. Desde entonces, se han desarrollado modelos de ransomware más nuevos y sofisticados, construyendo una industria criminal que ha acumulado más de $3 mil millones desde 2019 hasta 2024.

El papel de las criptomonedas en el ransomware

Una de las características clave de las criptomonedas, especialmente Bitcoin, es su naturaleza seudónima. Mientras que las transacciones se registran en la cadena de bloques, las identidades de las partes involucradas están enmascaradas por las direcciones de la cartera, lo que dificulta rastrear al atacante. Los sistemas de pago tradicionales, como las tarjetas de crédito y las transferencias bancarias, dejan claras huellas de identidad que las fuerzas del orden pueden utilizar para investigar a los ciberdelincuentes.

Con las transacciones de Bitcoin públicamente rastreables en la cadena de bloques, algunos ciberdelincuentes han pasado a criptomonedas centradas en la privacidad como Monero, que ofrecen características de anonimato y utilizan direcciones ocultas y firmas de anillo para oscurecer aún más los detalles de la transacción.

Cómo funciona el Ransomware de Cripto

El ransomware cripto se infiltra en un sistema objetivo, generalmente a través de correos electrónicos de phishing, descargas maliciosas o explotando vulnerabilidades del sistema. Una vez dentro, el malware cifra archivos en la computadora o red de la víctima utilizando algoritmos de encriptación complejos, lo que hace que los datos sean inaccesibles.

Fuente: ComodoSSL

Las etapas de operación se ejecutan en etapas;

• Infección
• Cifrado
• Demanda de rescate

Infección

El ransomware criptográfico entra en el dispositivo de la víctima a través de canales como;

Phishing Emails: Los ciberdelincuentes envían correos electrónicos que parecen provenir de fuentes legítimas, engañando a los destinatarios para que hagan clic en enlaces maliciosos o descarguen archivos adjuntos infectados. Estos archivos a menudo se disfrazan como documentos importantes o actualizaciones, ocultando su verdadera naturaleza.

Software Desactualizado: El ransomware puede aprovechar errores en software con versiones antiguas de sistemas operativos o aplicaciones. Esto quedó evidenciado en el ataque WannaCry, que utilizó una vulnerabilidad en Microsoft Windows.

Malvertising: Los usuarios pueden interactuar sin saberlo con anuncios engañosos para descargar actualizaciones de software falsas que llevan a la instalación de ransomware.

Hackeos del Protocolo de Escritorio Remoto: El Protocolo de Escritorio Remoto (RDP) se utiliza para mantener una conexión remota a un servidor en situaciones en las que los empleados de una organización trabajan desde diferentes ubicaciones. La interfaz RDP en la computadora del empleado se comunica a través de protocolos de encriptación con el componente RDP en el servidor. Aunque está encriptada, este modo de conexión es propenso a hackeos que los actores malintencionados utilizan para subir ransomware al servidor de una empresa.

Encriptación

Una vez dentro del sistema, el ransomware comienza a cifrar los archivos de la víctima. El ransomware cripto utiliza métodos de cifrado como:

• RSA (Rivest-Shamir-Adleman): Un algoritmo de cifrado asimétrico que utiliza un par de claves pública y privada. La clave pública cifra los archivos y la clave privada, que posee el atacante, es necesaria para descifrarlos.
• AES (Advanced Encryption Standard): Un método de cifrado simétrico en el que se utiliza la misma clave tanto para el cifrado como para el descifrado. El ransomware utiliza esto para cifrar archivos, y la clave se almacena con el atacante.

El malware se dirige a tipos de archivos, incluyendo documentos, imágenes, videos y bases de datos, cualquier cosa que pueda ser valiosa para la víctima. Durante este proceso, los usuarios podrían ni siquiera darse cuenta de que sus datos están siendo bloqueados hasta que se complete el cifrado, dejándolos sin opciones inmediatas de recuperación.

Uno de los patrones destacados en los principales ataques de ransomware es que ocurren durante las vacaciones o en momentos en que la mayoría del personal no está en línea para evitar la detección.

Demanda de rescate

Fuente: Proofpoint

Después de cifrar los datos, el ransomware muestra una nota de rescate a la víctima, a menudo a través de una ventana emergente, archivo de texto o página HTML.

Una pantalla de demanda de rescate que solicita Bitcoin a cambio de la clave privada
Fuente: Varonis

El monto del rescate suele solicitarse en Bitcoin o Monero con un enlace a un sitio de pago o un método para contactar a los atacantes (a veces alojado en la dark web).

Fuente: Proofpoint

Si la víctima cumple con la demanda y transfiere la cantidad solicitada, los atacantes pueden proporcionar la clave de descifrado para desbloquear los archivos. Sin embargo, pagar el rescate no garantiza que los atacantes cumplan. En algunos casos, las víctimas nunca reciben la clave de descifrado incluso después del pago, o pueden enfrentar demandas de rescate adicionales.

Los expertos en ciberseguridad y las agencias de aplicación de la ley desaconsejan pagar rescates, ya que los ciberdelincuentes pueden recurrir a la doble extorsión, donde los atacantes no solo cifran los archivos de la víctima, sino que también roban datos sensibles. Luego amenazan con liberar o vender los datos si no se paga otro rescate.

Ataques notables de Ransomware Cripto

WannaCry (2017)

WannaCry es uno de los ataques de ransomware más notorios y extendidos en la historia. Explotó una vulnerabilidad en Microsoft Windows conocida como EternalBlue, que el grupo de hackers Shadow Brokers había robado previamente de la NSA. WannaCry afectó a más de 200,000 computadoras en 150 países, incluyendo importantes instituciones como el Servicio Nacional de Salud (NHS) del Reino Unido, FedEx y Renault. Causó una interrupción generalizada, especialmente en los sistemas de atención médica, donde los servicios para los pacientes se vieron severamente afectados.

Una nota de rescate de WannaCry
Origen: CyberSpades

Los atacantes exigieron $ 300 en Bitcoin a cambio de una clave de descifrado, aunque muchas víctimas no pudieron recuperar sus datos incluso después de pagar. El ataque fue finalmente detenido por un investigador de seguridad que activó un "interruptor de apagado" incrustado en el código del malware, pero no antes de causar miles de millones de dólares en daños.

NotPetya (2017)

NotPetya fue un malware de doble havoc que actuaba como ransomware y como un malware de borrado diseñado para causar destrucción en lugar de extraer un rescate.

Una Nota de Ransomware NotPetya
Origen: SecurityOutlines

El malware parecía exigir un rescate en Bitcoin, pero incluso después del pago, la recuperación de los datos encriptados era imposible, lo que indica que la ganancia financiera no era el verdadero objetivo. A diferencia del ransomware tradicional, NotPetya parecía estar motivado políticamente, apuntando a Ucrania durante un período de tensión geopolítica con Rusia. Aunque eventualmente se propagó a nivel mundial, dañó a grandes corporaciones multinacionales, incluyendo Maersk, Merck y FedEx, lo que resultó en pérdidas financieras globales estimadas de más de $10 mil millones.

DarkSide (2021)

DarkSide ganó atención global después de su ataque a Colonial Pipeline, el oleoducto de combustible más grande de Estados Unidos, lo que provocó escasez de combustible en la costa este. El ataque interrumpió el suministro de combustible y causó compras generalizadas de pánico. Colonial Pipeline finalmente pagó un rescate de $4.4 millones en Bitcoin, aunque más tarde el FBI recuperó parte de este rescate.

Una nota de rescate de DarkSide

Fuente: KrebsonSecurity

Ransomware-como-Servicio

RaaS es un modelo de negocio en el que los creadores de ransomware alquilan su software malicioso a afiliados u otros ciberdelincuentes. Los afiliados utilizan este software para llevar a cabo ataques, dividiendo las ganancias del rescate con los desarrolladores de ransomware.

REvil

REvil (también conocido como Sodinokibi) es uno de los grupos de ransomware más sofisticados, que opera como una operación de ransomware como servicio (RaaS).

REvil ha sido vinculado a ataques de alto perfil contra organizaciones globales, incluyendo JBS (el mayor proveedor de carne del mundo) y Kaseya, una empresa de software. Esto afectó a más de 1,000 empresas que dependen de sus productos de software.

Clop

Fuente: BleepingComputer

Clop es otro Ransomware como un Servicio (RaaS) que lleva a cabo campañas de spear-phishing a gran escala dirigidas a corporaciones y exige rescates cuantiosos. Los operadores de Clop utilizan la técnica de doble extorsión: roban datos antes de cifrarlos y amenazan con filtrar información confidencial si no se paga el rescate.

En 2020, Clop fue responsable de una enorme violación de datos vinculada al software de transferencia de archivos de Accellion, que afectó a varias universidades, instituciones financieras y agencias gubernamentales.

Defensa contra el Ransomware de Cripto

La defensa más efectiva comienza con la prevención de malware de ingresar a su sistema. Aquí hay algunas medidas que pueden proteger su computadora del ransomware.

Conciencia de ciberseguridad

Los usuarios y empleados deben recibir capacitación para reconocer y responder a amenazas como correos electrónicos de phishing o adjuntos sospechosos. La capacitación regular en concienciación sobre ciberseguridad puede reducir significativamente el riesgo de infecciones accidentales.

Actualizaciones de software

Las actualizaciones regulares y los parches para los sistemas operativos, las aplicaciones y el software de seguridad reducen el riesgo de ataques al limitar la exposición al ransomware causada por software obsoleto.

Copia de seguridad de datos

Si se produce un ataque de ransomware, tener una copia de seguridad reciente permite al afectado restaurar sus datos sin tener que pagar un rescate. Las copias de seguridad deben almacenarse fuera de línea o en entornos en la nube que no estén directamente conectados a la red, para protegerlos de ser infectados por el ransomware.

Filtros de correo electrónico

Los sistemas de filtrado de correo electrónico escanean los mensajes entrantes en busca de enlaces sospechosos, adjuntos o características. Estos filtros pueden bloquear los correos electrónicos que contienen elementos maliciosos conocidos antes de que lleguen a las bandejas de entrada de los usuarios.

Segmentación de red y controles de acceso

La segmentación de la red restringe la propagación del ransomware una vez que se infiltra en su sistema, incluso si una parte de la red se ve comprometida, el daño se puede contener. Los expertos aconsejan separar los sistemas y datos confidenciales de las operaciones regulares, limitando el acceso a áreas críticas.

Los controles de acceso como la autenticación multifactor (MFA) y el principio de privilegio mínimo (dar a los usuarios solo el acceso que necesitan) pueden limitar el acceso de los usuarios. Si un atacante obtiene acceso a una cuenta o sistema, la segmentación y los controles de acceso pueden evitar el movimiento lateral a través de la red, limitando el alcance del ransomware.

Soluciones de Detección y Respuesta de Puntos Finales (EDR)

Las soluciones EDR proporcionan monitoreo continuo y análisis de las actividades del punto final, ayudando a detectar los primeros signos de infección por ransomware. Estas herramientas pueden responder automáticamente a comportamientos sospechosos, aislando los dispositivos infectados y evitando la propagación del ransomware en toda la red.

Conclusión

Los aspectos más destacados del Ransomware Crypto ponen de manifiesto uno de los usos indebidos de la criptomoneda, donde los criminales aprovechan el anonimato de la tecnología blockchain. Si bien no hay mucho que hacer con respecto a la criptomoneda como rescate, las mejores medidas posibles son proteger a los usuarios y sistemas de la infección por ransomware evitando enlaces de phishing y llevando a cabo actualizaciones regulares de software.

Además, mantener copias de seguridad regulares de datos garantiza que los archivos importantes puedan ser restaurados sin tener que pagar un rescate en caso de un ataque. La segmentación de redes sirve como otra importante medida de defensa, ya que limita la propagación de ransomware, confinándolo a partes específicas del sistema y protegiendo las áreas no afectadas.