COVID-19 ha impactado a todo el mundo de muchas maneras, obligándonos a permanecer en el interior, impidiendo las interacciones sociales, cambiando la forma en que trabajan muchas empresas, instituciones educativas, empresas, pero también hay otro virus que está hecho de 0 y 1 que se ha estado propagando, infectando muchos sistemas informáticos causando problemas e interrupciones a muchas industrias en una escala significativa, y es Ransomware.
¿Qué es ransomware?
El ransomware es un tipo de malware que bloquea el acceso a sistemas y datos a menos que se pague un rescate. Cifra los archivos de la víctima, las unidades los hacen inaccesibles y exige el pago de un rescate para descifrarlos en Bitcoin y otras criptomonedas, lo que dificulta el rastreo y el enjuiciamiento de los delincuentes. En un ataque de ransomware implementado correctamente, recuperar los archivos sin la clave de descifrado es muy difícil y requiere mucho tiempo.
¿Cómo funciona el ransomware?
El ransomware rara vez infecta los sistemas directamente. Por lo general, va acompañado de otros tipos de malware, como troyanos y gusanos. Una vez que el ransomware comienza a ejecutarse, comienza a cifrar todos los archivos, los datos en las unidades que impiden su acceso y cualquier otra operación en los datos. El proceso de ransomware de cifrado de archivos, también llamado extorsión criptoviral, fue inventado por dos investigadores, Young y Mordechai M. Yung, de la Universidad de Columbia. La extorsión criptoviral funciona siguiendo un protocolo de 3 rondas realizado entre el atacante y la víctima:
- Primero, el atacante genera un par de claves y coloca la clave pública correspondiente con la carga del troyano, y se libera en Internet esperando que la víctima descargue el archivo infectado.
- Luego, el troyano comienza a ejecutarse en el dispositivo de la víctima. Genera una clave simétrica aleatoria y comienza a cifrar los datos de la víctima con ella. Utiliza la clave pública en la carga útil para cifrar la clave simétrica. Esto da como resultado un texto cifrado asimétrico que contiene menos caracteres junto con el texto cifrado simétrico de los datos de la víctima.
- Luego pone a cero la clave simétrica, una práctica de eliminar datos confidenciales como claves criptográficas, parámetros de seguridad críticos de un programa criptográfico para evitar su recuperación en los datos originales de texto sin formato. Posteriormente, muestra un banner de mensaje al usuario que incluye el texto cifrado asimétrico y las instrucciones sobre cómo pagar el rescate. La víctima envía el texto cifrado asimétrico y el rescate (ahora principalmente en criptomonedas) al atacante.
- Cuando el atacante recibe el pago del rescate y el texto cifrado, descifra el texto cifrado asimétrico enviado por la víctima con su clave privada (del atacante). Luego, el atacante devuelve la clave simétrica a la víctima para que pueda descifrar sus datos cifrados con la ayuda de la clave simétrica, completando así un ataque exitoso.
También ha habido un aumento en los operadores de Ransomware como servicio en los últimos días. Dado que su operación como un servicio se está volviendo popular, hace que más sistemas sean vulnerables, incluso si el infractor principal puede no tener tanto conocimiento técnico.
Efectos del ransomware
- La función principal de Ransomware es cifrar los archivos de la víctima haciéndolos inutilizables y la clave de descifrado se proporciona solo cuando se paga el rescate.
- El atacante también podría robar información confidencial y amenazar a la Víctima con publicar los datos robados al público.
- Dependiendo del sistema/empresa/servicio que sufrió el ataque, es posible que no puedan brindar servicio a sus usuarios.
- Cuando los servicios de salud de Irlanda se vieron afectados por un ataque de ransomware, lo que provocó la caída de la mayoría de los servicios de los hospitales y provocó fallas en la infraestructura crítica.
- Las instituciones educativas en los EE. UU./Reino Unido sufrieron ransomware que provocó el cierre temporal que afectó el aprendizaje en línea para los estudiantes.
- Atacar a empresas como SolarWinds y Kaseya hace que los ataques a la string de suministro con éxito aumenten el número de víctimas del ataque. En el caso de Solar Winds, que no es exactamente un ataque de ransomware, pero su string de suministro puede causar una infección de ransomware a sus clientes.
- El ataque al sistema de oleoductos de EE. UU. ha provocado la interrupción de la distribución de combustible, lo que ha provocado el aumento de los precios y la escasez de combustible.
- Pagar rescate a los delincuentes motivándolos a atacar más objetivos, en algunos casos, los atacantes regresaron a la misma víctima incluso después de que se pagó el rescate.
- Pidiendo el rescate en Criptomonedas los atacantes están protegiendo su identidad y origen.
- No hay garantía de que los atacantes no revelen los datos robados incluso después de que se haya pagado el rescate.
- La Pérdida de Reputación siempre será común a cualquier ciberataque.
Ransomware en aumento
El aumento de los ataques de ransomware se debe a la dependencia del mundo digital debido a la pandemia. El aumento repentino en el uso de Internet para casi todo, como salud, educación, trabajo, conectarse con amigos y familiares y confiar en servicios que aún no son seguros. El ransomware obliga a la víctima a pagar el rescate antes en comparación con otros ciberataques porque restringe el acceso a los datos. Según Reuters, más de 1500 organizaciones han sido víctimas de ataques de Ransomware. La interrupción de servicios como los servicios de salud en Irlanda y los sistemas de tuberías en los EE. UU. obliga a las empresas a pagar el rescate para restaurar los servicios antes. El ransomware ha ido en aumento desde que el gusano WannaCry afectó a los sistemas Windows en 2017.
El aumento de los operadores de Ransomware como servicio, el aumento de los servicios en la nube también ayudó en el crecimiento de estos ataques. El vector de ataque y las víctimas se han triplicado en 2020-21 en comparación con 2015-16. La cantidad del rescate también aumentó de unos pocos miles de dólares a decenas de millones. El uso de criptomonedas también ayudó a los delincuentes a recibir el rescate de una manera simple y fácil.
Principales grupos de ransomware
- Ransomware Maze (ChaCha) : detectado por primera vez en 2019, Maze fue uno de los primeros en robar datos antes del cifrado. Si la víctima se negaba a pagar el rescate, solía amenazarla con publicar los archivos robados.
- Ransomware REvil (Sodin/Sodinokibi) : detectado a principios de 2019, las víctimas de REvil representan el 11 %. El malware afectó a casi 20 industrias y rápidamente atrajo la atención de los expertos por sus habilidades técnicas, como el uso de funciones legítimas de la CPU para eludir los sistemas de seguridad.
- Ransomware Netwalker (Mailto) : detectado a principios de 2020 y ganando más de 25 millones de dólares, Netwalker se ganó un nombre. Se ofreció a arrendar a los estafadores y sus creadores se llevaron una parte de las ganancias.
Principales ataques de ransomware (2020-21)
Hay muchas empresas que sufrieron ataques de ransomware en 2020-21, aquí están algunos ataques notables
- Ataque a los servicios de salud de Irlanda
- Ataque al oleoducto colonial de EE. UU.
- Ataque a Quanta, JBS FOODS
- Ataque a Kaseya causando string de suministro
- ACER, Ataque AXA
- Ataque a KIA MOTORS
- Ataque de ransomware conocido
- Ataque a la Universidad de California en San Francisco
- Ataque de ransomware de Canon
Protéjase del ransomware
Estos son algunos consejos para protegerse a usted y a su empresa de los ataques de ransomware
- Haga una copia de seguridad de sus datos : el ransomware cifra sus datos. Si tiene una copia de seguridad de sus archivos, puede restaurar fácilmente la copia de seguridad sin pagar el rescate. Los datos deben almacenarse en un formato de solo lectura para evitar la propagación de ransomware a las unidades que contienen datos de recuperación.
- Aplique parches regularmente : mantener su sistema actualizado proporciona cierta seguridad con casi muchos tipos de ataques cibernéticos. El parche para WannaCry estuvo disponible casi un mes antes de que el ataque se acelerara, pero fue exitoso para los delincuentes.
- Anti Ransomware : la mayoría de las soluciones AntiVirus/Anti Malware brindan protección contra ransomware hasta cierto punto, siempre es bueno tener un antivirus en ejecución.
- Conciencia : el ransomware no infecta su sistema directamente, siempre vendrá junto con algún otro malware o troyano. Así que tenga cuidado al descargar cualquier cosa de Internet, manténgase alejado de enlaces y archivos adjuntos maliciosos.
Publicación traducida automáticamente
Artículo escrito por kushwanthreddy y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA