Hay muchas variantes diferentes de ransomware. No obstante, buscar los IoC específicos en función de nombres de dominio sospechosos, direcciones IP y hash de archivos asociados con actividades maliciosas conocidas puede ayudarle a obtener más información sobre el origen del ataque y cómo responder.
Descripción del ransomware
El ransomware es un tipo de malware que cifra los datos de alto valor de una organización, como archivos, documentos e imágenes y, a continuación, exige un rescate a la empresa a fin de restaurar el acceso a esos datos. Para tener éxito, el malware de ransomware debe ganar acceso a un sistema objetivo, cifrar los archivos de ese sistema y exigir un rescate a la empresa. Por lo general, debe pagarse un rescate en bitcoin u otra criptomoneda para liberar los archivos de datos cifrados.
El ransomware es un tipo de malware que cifra los datos de una organización y, a continuación, exige un rescate a la empresa para desbloquear los archivos cifrados.
El ransomware, que en su día simplemente era una molesta cepa de malware que utilizaban los ciberdelincuentes para restringir el acceso a archivos y datos a través del cifrado, se ha convertido en un método de ataque de una magnitud épica. Aunque la amenaza de perder datos de forma permanente ya es de por sí estremecedora, los ciberdelincuentes y los hackers de estado se han vuelto lo suficientemente sofisticados como para utilizar el ransomware para introducirse en grandes empresas, administraciones federales, infraestructuras globales u organizaciones de salud pública y paralizarlas.
¿Cuál es la repercusión del ransomware?
En 2020, el ataque de ransomware Snake paralizó las operaciones globales de Honda. Esa misma semana, Snake, una forma de malware de cifrado de archivos, también golpeó a Enel Argentina, una empresa de distribución de energía de Sudamérica. En 2019, unos ciberdelincuentes cifraron unos archivos que congelaron las redes informáticas de Pemex, la empresa estatal de petróleo y gas de México, y exigieron un rescate de 5 millones de dólares para restaurar el servicio. Y en 2017, el criptogusano WannaCry infectó 230 000 ordenadores de todo el mundo aprovechándose de una vulnerabilidad de Microsoft Windows.
En la actualidad, la combinación de tecnología obsoleta, estrategias de defensa "suficientemente buenas" centradas solo en los perímetros y los terminales, la falta de formación (y los protocolos de seguridad deficientes) y la ausencia de una solución mágica e infalible pone en riesgo a organizaciones de todos los tamaños. Además, los ciberdelincuentes han visto una oportunidad de oro en estos ataques y tratan de cifrar el mayor número de sistemas de la red corporativa posible para luego pedir rescates que pueden costar desde miles hasta millones de dólares. De hecho, se estima que, en 2021, hubo un ataque de ransomware cada once segundos en el mundo, con un coste global de 20 000 millones de dólares.
¿Cómo se propaga el ransomware?
Un método popular para introducir el ransomware en un nuevo entorno es mediante el uso del phishing o de correos electrónicos de phishing. Un correo electrónico o un archivo adjunto malicioso puede contener un enlace a un sitio web que aloja una descarga de malware o un archivo adjunto con un descargador incorporado. Si el destinatario del correo electrónico abre el correo electrónico de phishing, el ransomware se descarga y se ejecuta en su ordenador al instante.
Una vez que el dispositivo o el ordenador de la víctima está infectado, el ciberataque intentará propagarse al mayor número de equipos posible en toda la red mediante movimientos laterales no autorizados, a fin de maximizar el radio de acción y cifrar tantos discos como sea posible.
Otro conocido vector de infección del ransomware aprovecha los protocolos de escritorio remoto (RDP) . En el caso de los RDP, un hacker que ha obtenido acceso a las credenciales de inicio de sesión puede utilizarlas para autenticar y acceder de forma remota a los terminales dentro de una red empresarial. Con ese acceso, los agentes maliciosos pueden descargar y ejecutar directamente el malware en los equipos que están bajo su control e intentar moverse lateralmente por el entorno, capturando y cifrando los datos de más activos.
El cifrado de los archivos de un usuario es el aspecto característico de los ataques de ransomware. Al cifrar datos de gran valor, los ciberdelincuentes o los atacantes de ransomware pueden exigir un rescate a cambio del descifrado o de las claves de descifrado que permiten devolver los archivos a la empresa. Sin embargo, los hackers que utilizan el ransomware no siempre devuelven los archivos cifrados a la organización, incluso aunque haya pagado el rescate.
Obtenga más información en nuestra publicación del blog ¿Cómo se propaga realmente el ransomware?
¿Por qué los firewall heredados no ofrecen protección contra el ransomware?
Los firewall heredados controlan las comunicaciones entre las redes de área local virtual (VLAN) y las zonas. Sin embargo, los firewall heredados no le permiten bloquear el tráfico dentro de la VLAN, por lo que este enfoque no es eficaz cuando desea evitar la propagación dentro de un segmento. Esto se debe a las diferentes limitaciones de la arquitectura de red que impone el modelo de firewall heredado existente. Una vez que un ciberdelincuente ha infectado un equipo en una sola VLAN, terminará por infectar otro equipo en la misma VLAN y lo utilizará para avanzar hacia otros activos en el centro de datos, incluidos los servidores de copia de seguridad.
Cómo detectar y bloquear las amenazas de ransomware
Al diseñar sus defensas, debe limitar el acceso entre los equipos lo máximo posible para evitar el movimiento lateral. Debe prestar especial atención a aquellos protocolos y servicios que las campañas de ransomware suelen atacar. No existe ningún motivo para que los ordenadores portátiles de los empleados se comuniquen entre sí ni para que los miembros de un dominio se conecten a través de un protocolo de bloque de mensajes del servidor (SMB).
Nuestras soluciones de segmentación permiten a los equipos de seguridad limitar el tráfico entre dos equipos. Como la plataforma utiliza un enfoque de segmentación basado en software, puede crear políticas que bloqueen la comunicación entre los ordenadores portátiles o limiten el tráfico SMB entre los miembros de dominio, y que solo les permitan acceder a servidores específicos como el controlador de dominio.
Además, Akamai proporciona visibilidad hasta el nivel de proceso de las comunicaciones y las dependencias entre los activos. Esto le permite evaluar el riesgo con anticipación y desarrollar estrategias proactivas para proteger los activos esenciales y los componentes de alto riesgo, como las copias de seguridad.
La plataforma también cuenta con capacidades sólidas de detección de amenazas, por lo que puede detectar comunicaciones con dominios maliciosos conocidos o la presencia de procesos maliciosos conocidos en su entorno que puedan indicar una vulneración de malware.
Obtenga más información en nuestra publicación del blog 4 Técnicas para la detección temprana de ransomware
¿Qué debo hacer si soy víctima de un ataque de ransomware?
El ransomware depende del movimiento lateral para llevar a cabo un ataque con éxito, por lo que es en ese aspecto donde las organizaciones deben centrar sus esfuerzos. Si detecta que se está produciendo un ataque de ransomware activo, deberá utilizar herramientas que le proporcionen visibilidad para comprender el alcance de la filtración. Según la información que obtenga, puede aislar las partes afectadas de la red del resto de la organización y agregar más capas de seguridad a las aplicaciones y copias de seguridad esenciales. Solo deberá restablecer gradualmente los flujos de comunicación una vez que haya tomado medidas de mitigación y haya restaurado los servicios.
Cuando tenga una lista de todos los equipos infectados y de todos los indicadores de riesgo (IoC), puede comenzar la desinfección. Divida los equipos en tres grupos con las siguientes etiquetas: aislado, monitorizado y limpio.
Obtenga más información en nuestra publicación del blog Detención del ransomware y el movimiento lateral con segmentación
¿Cómo funciona el ransomware de cifrado?
Un ataque de ransomware comienza con una filtración inicial. A menudo, esta se produce a través de técnicas de ingeniería social, correos electrónicos de phishing, un archivo adjunto malicioso o vulnerabilidades en el perímetro de la red. El malware comenzará a propagarse por su red e intentará hacer todo el daño posible desde su punto de entrada inicial. Normalmente, los agentes maliciosos buscan hacerse con el control de un controlador de dominio, obtener las credenciales y localizar y cifrar cualquier copia de seguridad de datos para evitar que los equipos de seguridad restauren los servicios infectados y congelados.
¿Cómo puede averiguar qué tipo de ransomware le ha atacado?
¿Cuáles son los tipos de ransomware más comunes?
Algunas campañas son amenazas avanzadas, persistentes y altamente dirigidas (APT) llevadas a cabo por un agente malicioso, mientras que otras son amenazas oportunistas que, generalmente, se ejecutan mediante scripts. Sin embargo, existen dos categorías principales. Los ataques que cifran archivos y los retienen para recibir un pago de rescate se conocen como ransomware de cifrado, mientras que los ataques de ransomware que impiden que los usuarios accedan a un dispositivo se conocen como ransomware de bloqueo.
A esto se suma la aparición frecuente de nuevos tipos de ransomware, código malicioso, software malicioso, archivos adjuntos maliciosos, scareware y otras variantes de ransomware. Incluso existen casos documentados de un ransomware como servicio (RaaS) de pago, como por ejemplo REvil (Ransomware Evil; también conocido como Sodinokibi), que era un RaaS privado ubicado en Rusia o diseñado en ruso.
¿Cómo comenzó el ransomware?
Si nos remontamos unos pocos años atrás, la mayoría de los ataques de ransomware utilizaban anuncios maliciosos o malvertising como vector de acceso inicial. Estos ataques estaban dirigidos a prácticamente cualquier persona que pudiera cargar esos anuncios maliciosos, ya fuese el contable de una gran empresa o una abuela que intenta leer sus correos electrónicos. El ransomware no estaba dirigido a ningún objetivo específico, sino a todo el mundo. Además, no importaba si unas víctimas pagaban y otras no, ya que había muchos otros peces en el mar.
Sin embargo, en 2012 todo cambió con Shamoon, un ciberataque iraní dirigido contra la empresa Saudi Aramco. Shamoon permitió a los atacantes extraer grandes cantidades de información de Aramco. Una vez que hicieron la exfiltración, los atacantes utilizaron Shamoon para sobrescribir el registro de arranque maestro de los equipos atacados, lo que los dejó inutilizables hasta que volvieron a instalarlos. Esta pérdida de funcionalidad causó un tiempo de inactividad considerable a la empresa.
Locky es un malware de ransomware que apareció en 2016. Se distribuye mediante un correo electrónico (supuestamente una factura pendiente de pago) con un documento de Microsoft Word como adjunto que contiene macros maliciosas. Cuando el usuario abre el documento, este aparece lleno de texto incomprensible e incluye la frase "Activar macro si la codificación de datos no es correcta", una técnica de ingeniería social.
Petya es una familia de malware de cifrado que se descubrió por primera vez en 2016. El malware ataca sistemas basados en Microsoft Windows e infecta el registro de arranque maestro para ejecutar una carga útil que cifra la tabla del sistema de archivos del disco duro e impide que Windows se inicie. Posteriormente, exige que el usuario haga un pago en bitcoin para recuperar el acceso al sistema.
¿Cómo ha evolucionado el ransomware?
Avancemos hasta 2017. WannaCry y NotPetya, dos devastadores ataques de ransomware, causaron estragos en grandes empresas y entidades gubernamentales. La singularidad de estos ataques, además de señalar la fragilidad de Internet, fue que utilizaron vulnerabilidades de día cero para moverse lateralmente entre los ordenadores de la red y propagar el virus, infectando y haciendo que cada equipo que encontraban a su paso quedase completamente inútil. Los ataques NotPetya y WannaCry fueron objeto de extensos debates, pero a día de hoy sabemos que los motivos que había detrás de ellos estaban relacionados con los ciberataques iniciados por un enemigo del Estado nación.
Más adelante, este tipo de ataques de ransomware comenzó a ser utilizado por distintos grupos de software de actividades ilegales, que hasta ese momento se centraban principalmente en el uso de malware como Zeus (y todas sus variantes) para acceder a cuentas bancarias ajenas y desviar dinero. Esta operación solía ser larga, compleja y arriesgada, especialmente en lo referente a la recepción del dinero. Hasta ahora, la creencia predominante era que resultaba más sencillo dirigir los ataques solo a grandes organizaciones y chantajearles para que enviasen grandes sumas de dinero en bitcoin. Por este motivo, el ransomware comenzó a considerarse una amenaza corporativa que debía preocupar a los directores de seguridad de la información (CISO), pero no necesariamente a las personas de a pie desprevenidas.
Ryuk es el nombre de una familia de ransomware descubierta por primera vez en circulación en agosto de 2018. Denominada así en honor al personaje de ficción de una popular serie de anime japonés, está considerada a día de hoy una de las familias de ransomware más peligrosas que ha infectado sistemas de todo el mundo.
Ahora, saltemos al año 2020. Conforme la pandemia de COVID-19 se extendía por el mundo y la mayoría de personas se veían obligadas a trabajar desde casa (obligando a cambiar por completo los modelos de amenazas, los factores de riesgo y las arquitecturas de red con muy poca antelación), el mundo comenzó a observar que el modus operandi de los atacantes de ransomware estaba cambiando. Los ciberdelincuentes comenzaron a atacar a grandes empresas llevando a cabo un ataque de extorsión doble. En esos ataques no solo accedían a la organización, cifraban los archivos y los mantenían como rehenes, sino que además comenzaron a extraer datos muy importantes y valiosos, y a amenazar con ponerlos a disposición pública si no se pagaba el rescate.
Una orden ejecutiva recomienda la segmentación para frenar el ransomware
En 2021, se publicó un memorando de la Casa Blanca sobre el crecimiento de los ataques de ransomware. En el documento se señalaba la importancia de la segmentación de red (un tema a menudo ignorado), así como precauciones y recomendaciones más tradicionales, como la aplicación de parches, la autenticación de dos factores y la actualización de los productos de seguridad.
La segmentación de red no solo ayuda a mitigar el riesgo en algunos casos, sino que además reduce significativamente el riesgo de un ataque de extorsión doble si se implementa correctamente, ya que contiene y minimiza el "radio de acción" de un ataque de ransomware. Incluso si el software antivirus y las herramientas de detección y respuesta de terminales (EDR) no pueden evitar que el ransomware se ejecute, una segmentación adecuada contendrá el daño y no permitirá que los atacantes se muevan lateralmente por la red para robar más datos confidenciales y cifrar equipos adicionales.
La precisión que obtiene al segmentar la red con el enfoque único de software de Akamai, le permite crear "silos de red" entre servidores, aplicaciones, diferentes sistemas operativos, instancias en la nube y mucho más. La solidez del enfoque de reducción del riesgo de ransomware mediante una política de segmentación adecuada radica en su simplicidad: un bit puede moverse a través de un cable (o un vSwitch) a un equipo diferente (o una máquina virtual o contenedor) o puede bloquearse. Al bloquearlo, se impide que los atacantes alcancen más recursos de la red, lo que brinda al equipo de seguridad más tiempo para responder al ataque e informar a las partes interesadas clave de la organización para que puedan tomar decisiones fundamentadas sobre el daño que ha producido dicho ataque.
La segmentación de red no es una alternativa a un antivirus, un antimalware o una plataforma de EDR, es un enfoque complementario que ha demostrado reducir sustancialmente o incluso eliminar por completo el riesgo de sufrir ataques de movimiento lateral a gran escala en las organizaciones.
Obtenga más información en nuestra publicación del blog EDR frente a segmentación: comprendiendo las diferencias
¿Cómo se combate la amenaza de ransomware?
Esta nueva era de los ataques de ransomware expone un problema cuya solución se ha retrasado durante demasiado tiempo: el movimiento lateral.
Para que los atacantes extraigan todos esos datos, tienen que saber en qué punto de la red se encuentran y para conocer esa información, deben trazar un mapa de la red y conocerla tan bien (si no mejor) que las personas que la han construido originalmente. Esto requiere que los atacantes se "muevan lateralmente" de un equipo o servidor a otro, a menudo utilizando diferentes credenciales que roban de varios equipos de la red.
Muchos proveedores de seguridad han tratado de resolver este problema con mayor y menor éxito. A lo largo de los años, han surgido nuevos tipos de productos en el mercado de la seguridad destinados a prevenir este gran problema, como soluciones DLP, EDR y EPP. Todas han intentado solucionar el problema del movimiento lateral, pero solo han tenido un éxito relativo.
Solucionar el movimiento lateral es difícil, ya que los atacantes usan las características de una red en su contra.
Suelen emplear las credenciales del administrador y diferentes herramientas de gestión legítimas (como el propio PSExec o Escritorio remoto de Microsoft, o incluso WMI) para moverse de un equipo a otro y ejecutar cargas útiles y comandos maliciosos que les permiten robar datos y, posteriormente, cifrar la red e iniciar la operación de extorsión. Muchas organizaciones invierten recursos para tratar de solucionar este problema. Por ejemplo, supervisan en exceso diferentes recursos con productos EDR o EPP que no se diseñaron para ese propósito, lo que se traduce en un éxito parcial a la hora de mitigar o incluso reducir el riesgo de un ataque de ransomware.
Detención del movimiento lateral con la segmentación
Sin embargo, existe una solución que es mucho más fácil de implementar de lo que piensa: la segmentación de red. La segmentación es una opción que suele olvidarse o incluso obviarse por completo, ya que existe la creencia de que es difícil de implementar y que requiere prestar especial atención a la ingeniería de red y la gestión de activos. Debido a esto, la segmentación de red no suele tenerse en cuenta, lo que da lugar a redes "planas" en las que todos los terminales o los servidores pueden comunicarse entre sí sin ningún tipo de restricción.
Hasta hace poco, segmentar una red consistía en poner distintos activos en diferentes subredes con un firewall en el medio. Sin embargo, este método no permitía aplicar ningún nivel de detalle, por lo que administrar la red se convertía en una tarea mucho más difícil, ya que los administradores debían gestionar configuraciones complejas de firewall, además de administrar las asignaciones de direcciones IP en diferentes subredes. Además, el método dificultaba mucho la tarea de diseñar y escalar la red al personal de TI, mientras que las configuraciones incorrectas podían provocar un riesgo de seguridad o un fallo de la red (y, en algunos casos, incluso a ambos). Esto, una vez más, contribuyó a que el personal de TI no se interesara lo suficiente por la segmentación y confiara más en los productos de prevención de ejecución, mientras la red quedaba completamente plana y sin segmentar.
Por qué los clientes eligen Akamai
Akamai potencia y protege la vida online. Las empresas líderes de todo el mundo eligen Akamai para crear, proteger y ofrecer sus experiencias digitales, ayudando así a millones de personas a vivir, trabajar y jugar cada día. Akamai Connected Cloud, plataforma de nube distribuida de forma masiva en el Edge, acerca las aplicaciones y las experiencias a los usuarios y mantiene las amenazas más alejadas.