¡Todos tus archivos han sido cifrados!
Así es como los ciberdelincuentes le avisan de un ataque de ransomware en su ordenador. Además, le piden que pague el monto del rescate para recuperar sus archivos, lo que rara vez sucede en la vida real.
El ransomware bloquea todos sus archivos e inutiliza su sistema. Mucha gente paga a los ciberdelincuentes con la esperanza de recuperar los datos. Sin embargo, el grupo poco ético casi nunca le proporciona la clave de descifrado. Provocando así pérdidas de datos y financieras al mismo tiempo.
Afortunadamente, varios programas antimalware pueden detener este tipo de ataques en tiempo real. En este artículo, veremos algunas tendencias de ransomware de y lo peligrosas que son.
Así que, sin más preámbulos, comencemos.
La magnitud de la amenaza del ransomware
El ransomware se ha convertido en una de las amenazas más preocupantes en. Hay dos razones principales para que esto suceda.
- El resultado de un ataque de ransomware afecta a muchas personas y es visible para todos.
- Existe una alta probabilidad de que los ciberdelincuentes obtengan grandes beneficios.
Por ejemplo, a principios de este año, un grupo de ciberdelincuentes recopiló 190 Bitcoins de un único programa de ransomware. Ejecutaron varios ataques dirigidos a múltiples dispositivos utilizando el mismo programa de ransomware . La cantidad que recaudaron mediante el rescate equivale aproximadamente a 12 millones de dólares al tipo de conversión actual.
A medida que más piratas informáticos conozcan estas estadísticas, existe una alta probabilidad de que estos ataques aumenten en número. A continuación se presentan algunas conclusiones clave para el año de la encuesta anual sobre ransomware de Sophos .
- El 51% de las empresas mencionó un ataque de rescate exitoso en su servidor.
- El 26% de las empresas pagaron el importe del rescate solicitado.
- Las empresas recuperaron sólo el 65% de los datos totales en promedio.
- Los delincuentes pidieron 180.000 dólares a las grandes empresas.
- Los delincuentes pidieron 6.000 dólares a las pequeñas empresas.
- La inversión inicial para un ataque de ransomware puede ser de tan sólo 50 dólares.
- Cada 11 segundos se intenta un nuevo ataque de ransomware.
¿Por qué el ransomware es tendencia?
Aunque el número de ataques de ransomware exitosos está disminuyendo porque las empresas toman medidas de seguridad, el número de intentos ha aumentado significativamente.
Una de las principales razones del aumento de los ataques de ransomware es la disminución de otros delitos cibernéticos. Por ejemplo, un grupo APT que apunta a una empresa financiera tiene dificultades para operar debido a la falta de mulas de dinero.
El grupo APT requiere miembros dedicados e impostores en una empresa para funcionar. El trabajo remoto ha dificultado que estas bandas ejecuten sus nefastas operaciones. Por lo tanto, confían en el siguiente mejor método para obtener dinero de las grandes empresas, es decir, mediante ransomware.
Otra ventaja para los ciberdelincuentes al utilizar un ataque de ransomware es la recopilación de datos. Si una empresa se niega a pagar el monto del rescate, los delincuentes venden sus datos en la red oscura.
Otra tendencia de ransomware notable es la disminución de los ataques dirigidos a usuarios domésticos. La eficacia de un ataque de ransomware exitoso es directamente proporcional a las ganancias que pueden obtener los ciberdelincuentes.
El principal canal de propagación de ransomware a los usuarios domésticos es el correo electrónico. A medida que la generación más joven ha pasado a la mensajería instantánea, abrir correos electrónicos no deseados es cosa del pasado. La concienciación sobre los correos spam también ha desempeñado un papel importante en este ámbito.
Además, muchos usuarios han pasado de las computadoras de escritorio a los dispositivos móviles, lo que se evidencia en la caída y el aumento de las ventas de computadoras de escritorio y teléfonos inteligentes, respectivamente.
Además, la mayoría de nosotros tenemos una copia de seguridad de nuestros documentos y fotografías esenciales en un servidor en la nube. Reduce significativamente la necesidad de pagar por recuperar sus datos.
Por otro lado, todo tipo de empresas se han convertido en el objetivo probable de los ciberdelincuentes. Por una vez, tienen más dinero para pagar el rescate. En segundo lugar, tienen que proteger su reputación. Si una empresa niega pagar el rescate y se filtran sus datos de usuario, seguramente verá una caída en su base de usuarios.
Factores que contribuyen a los ataques de ransomware
Veamos algunos factores directos e indirectos que contribuyen a los ataques de ransomware de tendencia.
Laberinto ransomware
Una de las familias de ransomware más destacadas es Maze ransomware. Los desarrolladores detrás de este han puesto el listón demasiado alto para el ransomware en general. El grupo se ha comprometido a no atacar a ninguna institución médica o empresa afectada por la crisis económica.
En cambio, apuntan a la clase capitalista creando una imagen de Robinhood entre su culto. Los grupos Maze también han interactuado repetidamente con los medios para mejorar su reputación.
Maze es pionera en la creación de un cártel de ciberdelincuentes. Comparten sus programas, tácticas e información de empresas comprometidas para reorientarlas. Utilizan correos electrónicos de phishing, kits de explotación o vulnerabilidades del sistema para ejecutar un ataque.
Algunas otras familias de ransomware famosas son Jigsaw, Dharma, Ryuk y Sodinokibi.
Troyano de acceso remoto
Los correos electrónicos de phishing han sido el principal canal de distribución de los ciberdelincuentes. Sin embargo, hay un aumento en el número de ataques que utilizan programas RAT.
Un troyano es una aplicación que se infiltra en un sistema disfrazada de software inofensivo. Posteriormente, descarga otro malware en el sistema. Las ratas no son un tema muy popular porque su presencia apenas se nota. A menudo puede suceder que un troyano haya introducido ransomware en su sistema y nunca se dé cuenta del punto de entrada.
Los troyanos también pueden causar daño al recopilar datos del usuario, pulsaciones de teclas, comportamiento, uso de aplicaciones y más. Por lo tanto, es uno de los malware más peligrosos que se esconden a simple vista.
Los programas Mode RAT pueden tener múltiples módulos para ejecutar innumerables tareas. Además, una arquitectura modular ayuda a los desarrolladores a crear una copia según sus requisitos en un proyecto en particular.
Dado que los ciberdelincuentes pueden acceder a los programas RAT de forma remota, a menudo resulta complicado atacarlos, lo que los convierte en una de las opciones preferidas para tareas poco éticas.
Protocolo de escritorio remoto
La pandemia nos ha obligado a pasar al trabajo remoto para que el mundo siga funcionando. Sin duda ha ayudado a plataformas de videoconferencia como Zoom. También ha creado nuevos casos de uso para el Protocolo de escritorio remoto de Microsoft.
RDP es una herramienta de Windows que permite a los usuarios conectarse a una computadora remota en una red conectada. Algo similar al software de terceros Anydesk, pero integrado. Debido a su simplicidad y usabilidad la mayoría de las empresas han comenzado a utilizarlo.
El mayor número de usuarios de la plataforma RDP también ha atraído a los ciberdelincuentes. Ha habido múltiples exposiciones en RDP, entre las cuales la vulnerabilidad de BlueKeep está muy extendida. Shadon.io, un motor de búsqueda dedicado a dispositivos conectados a Internet, advirtió sobre alrededor de 4 millones de sistemas en Internet con un puerto RDP abierto.
Los ciberdelincuentes pueden escanear y explotar dichos dispositivos, lo que han hecho repetidamente este año. Los ciberdelincuentes también han aprovechado SMB y POP3 para robar información confidencial. Cisco reveló que 1/3 de su empresa enfrenta problemas relacionados con RDP cada mes.
Trabajando desde casa
Más de la mitad de las empresas tuvieron que trasladar entre el 50% y el 100% de sus empleados para trabajar a distancia durante la pandemia. Los ciberdelincuentes percibieron rápidamente esta oportunidad y participaron activamente en la creación de sitios web falsos.
Hubo un aumento en los nombres de dominio que contienen «Coronavirus» y «COVID» en la URL. Los desarrolladores poco éticos crearon sitios web con estructuras de dominio similares y presentaron noticias relacionadas con COVID en sus sitios web. Además, aprovechan esta oportunidad para distribuir ransomware y otros programas maliciosos a las computadoras de los usuarios.
Robar contraseñas
Los ciberdelincuentes tienden a robar las contraseñas de los usuarios para ingresar al sistema. Es la segunda actividad delictiva más utilizada por las bandas de ransomware después del phishing.
Por lo general, las cuentas legítimas ayudan a los ciberdelincuentes a pasar desapercibidos mientras realizan sus notorias tareas. A diferencia de los troyanos o de la explotación de vulnerabilidades, un topo es difícil de detectar utilizando programas de seguridad tradicionales. Sólo un programa de análisis de comportamiento bien diseñado puede ayudarle a descubrir un intruso en su sistema.
Los identificadores de inicio de sesión y las contraseñas generalmente se almacenan en la información almacenada en caché del navegador o en otro lugar similar. Las bandas de ransomware utilizan herramientas especiales para recopilar estos datos. Uno de esos programas se llama Mimikatz. Los desarrolladores lo utilizaron inicialmente para pruebas de penetración para detectar y resolver problemas de vulnerabilidad. Sin embargo, la herramienta se hizo popular de forma clandestina y los atacantes la utilizan para robar información de los usuarios.
Ataque a instituciones médicas
Muchas bandas de ransomware afirman audazmente que no atacan una institución sanitaria. Sin embargo, hemos visto una mayor tasa de ataques en el campo médico en el último año.
Los ciberdelincuentes están interesados en los grandes hospitales, las clínicas medianas y los registros gubernamentales que contienen información médica.
En primer lugar, la información puede proporcionar detalles confidenciales sobre los pacientes. Luego pueden apuntar a esas personas.
En segundo lugar, se sabe que las industrias farmacéuticas pagan el rescate más rápido que cualquier otra industria. Los inconvenientes que plantean las fallas de los equipos conducen a situaciones de vida o muerte.
Conclusión
Ha habido un aumento de los ataques de ransomware en el año. Espero que el número aumente en los próximos meses debido al proceso de digitalización completo en todo el mundo. Mientras tanto, los ciberdelincuentes se están volviendo más inteligentes y será un desafío enfrentarlos con tecnologías más antiguas. Al final, lo mejor es practicar prácticas de ciberseguridad para mantener segura su organización .