A fondo. La amenaza del ransomware: paga o si no…

El ransomware se está convirtiendo en una de las armas preferidas de los ciberdelincuentes. Según el Índice Global de Amenazas de Check Point, el ransomware ya es una de las tres ciberamenazas más comunes. No en vano, en el mes de septiembre presentó un crecimiento del 13%. Igualmente, el informe ‘2015-2016 Global Application & Network Security Report’, elaborado por Radware, desvela que el secuestro de datos motivó el 25% de los ciberataques en 2015, frente al 16% que suponía apenas un año antes.

Según se indica en este estudio, los motivos de este crecimiento son simples: es rápido, fácil y barato ejecutar este tipo de ataques. De hecho, se está generando un marketplace que ofrece herramientas y técnicas para el cibersecuestro, armando a todo el que desee ganar dinero extorsionando a sus víctimas. Además, cada vez es más sencillo enmascarar el origen de los ataques, aumentando la impunidad.

“El crecimiento del ransomware es una consecuencia directa del alto número de empresas que pagan a los hackers para recuperar sus archivos. El cibersecuestro de datos se ha convertido en un método lucrativo y atractivo para los cibercriminales”, afirma Nathan Shuchami, jefe de prevención de amenazas de Check Point.

Ransomware y RDoS

Hay dos tipos de cibersecuestro de datos, tal y como se recoge en el estudio ‘Pay up or else… Cyber Ransom Survival Guide’, de Radware. El primero es el ransomware, consistente en un troyano, un gusano u otro tipo de malware que toma como rehén el entorno en el que se aloja, bloqueando el acceso a los datos si no se realiza el pago de un rescate. Normalmente, se trata de un encriptado de datos, requiriendo un pago para su desencriptación.

Además, esta amenaza no se limita a los PC, sino que se extiende también a móviles Android y dispositivos Network Atacched Storage (NAS). El ransomware es capaz de tomar el control de la información almacenada explotando las vulnerabilidades del software de estos equipos.

La otra forma de secuestro es un ataque Ransom Denial o Services (RDoS). En este caso, los ciberdelincuentes envían una mensaje a la organización, amenazando con un ataque si no se satisface el pago dentro un plazo determinado. Si no se efectúa, los extorsionadores suelen poner en marcha una ataque DDoS. Hay varias organizaciones que han puesto en marcha este tipo de ataques en los últimos años, como DD4BC, Armada Collective, exBTC Squad, Kadyrovtsy o RedDoor.

Cuidado con los imitadores

Cuando se produce uno de estos ataques, es habitual que cunda el pánico. Sin embargo, antes de dar ningún paso, hay que asegurase de que realmente estamos sufriendo un ataque ransomware. Algunos imitadores están enviando sus amenazas con la esperanza de sacar dinero a las empresas sin apenas realizar ningún esfuerzo.

Para diferenciarlos de un ciberataque real hay que ver detenidamente qué piden. Por ejemplo, Armada Collective suele demandar 20 bitcoins (más de 12.000 euros), aunque en algunas campañas solicita cantidades mayores o menores. Los imitadores suelen reclamar cantidades inferiores, ya que confían en que solicitar una cifra baja empuje a su víctima a pagar, en lugar de acudir a expertos en ciberseguridad, según indica Radware.

También es recomendable comprobar la red de la organización antes de pagar, ya que los auténticos hackers prueban su capacidad previamente, realizando un pequeño ataque a la vez que se remite un correo con la amenaza. Si se detectan cambios en la red, es probable que sea un ataque real. Además, los ciberdelincuentes reales tienden a atacar a muchas empresas de un mismo sector, mientras que los imitadores no están tan organizados y se dirigen a objetivos indiscriminados de todo el mundo, con la esperanza de ganar dinero rápido.

Herramientas al alcance de cualquiera

El incremento del cibersecuestro ha provocado la proliferación múltiples herramientas ransomware. La más popular es Locky. Según Check Point, fue responsable del 6% de todos los ataques identificados en septiembre, convirtiéndose en la tercera amenaza mundial y la sexta en España. Locky se propaga a través de mensajes spam, conteniendo archivos infectados que cambian todas las extensiones de fichero a .locky. BART es una evolución de dicha herramienta. También se distribuye mediante spam, pero en vez de cifrar los archivos, crea un fichero protegido con contraseña.  CTB Locker o Crypt XXX también se difunden mediante correo spam.

Otra herramienta es Petya, que se propaga a través de phising, manipulando el registro de arranque maestro (MBR, en sus siglas en inglés) del disco duro. Por su parte, Cerber se enmascara como una actualización de Adobe Flash Player, haciéndose pasar por un ejecutable de Windows para aparecer en el siguiente reinicio. Y TeslaCrypt explota las vulnerabilidades de Adobe, usando un algoritmo AES para encriptar los archivos. Además, hay otras muchas herramientas ransomware, como Samas, Unlock 92, Jigsaw, etc.

Si pensamos que el ransomware es algo muy complejo e inaccesible, estamos equivocados. Realizar un ataque de estas características está en la mano casi de cualquiera. Radware explica que es fácil encontrar las herramientas necesarias o contratar los servicios de estos ciberdelicuentes en marketplaces, tanto en la Darknet como en la Clearnet. Allí se pueden comprar exploits, malware, ransomware, ataques DDoS, botnets o ‘servidores antibalas’ -Bulletproof Hosting (BPH)-. Y estos vendedores anuncian sus servicios en redes sociales o en Twitter, enlazando a foros donde se pueden comprar o a un site donde se informa acerca de los servicios y cómo obtenerlos.

¿Cuál es su target?

Uno de los aspectos que define el interés de extorsionar a una organización es la predisposición a pagar que pueda tener una vez que sus datos hayan sido secuestrados. Esto dependerá de su preocupación por ver expuesta su imagen ante una brecha de seguridad o de las ganas que tengan de quitarse de encima un problema antes de que éste trascienda, por ejemplo.

Otros factores relevantes que pueden condicionar la elección de objetivos serán el manejo de información crítica por parte de las organizaciones, la posibilidad de explotar sus vulnerabilidades y la capacidad de las víctimas para contratar a expertos en rescate cibernético.

Las entidades de servicios financieros y las asesorías financieras son algunos de sus targets preferidos. Los cibercriminales se dirigen preferentemente allá donde está el dinero o a aquellos que tienen acceso al mismo. Otros objetivos importantes son los hospitales u otras organizaciones relacionadas con la salud, los bufetes de abogados, firmas de servicios profesionales –empresas de contabilidad, despachos de arquitectura, consultorías…-, escuelas y servicios educativos, sistemas de Internet of Things, organizaciones que choquen con los principios de grupos de hacktivismo –derechos de los animales, movimiento LGTB, investigación genética, industria energética, religión…- e incluso personas relevantes –políticos, deportistas, artistas, etc.-. En definitiva, cualquier organización o persona está expuesta a un ataque.

Más vale prevenir

Ante este panorama, Radware hace hincapié en la necesidad de responder a una serie de preguntas y planificar antes de que se produzca cibersecuestro. En primer lugar, cabe cuestionarse acerca de si la organización está preparada para un ataque de este tipo, además de plantearse la posibilidad de realizar simulacros para prepararse ante esta eventualidad. Y conviene revisar cuáles son los planes de recuperación de los datos y las infraestructuras.

También habría que tener en cuenta el tiempo que podría pasar hasta que fuera posible la recuperación y si, llegado el caso, la empresa estaría dispuesta a satisfacer el rescate, concretando en qué situaciones se contemplaría el pago.

Asimismo, se debería valorar la conveniencia de hacer público el ataque y definir el plan de comunicación y relaciones públicas. Por otra parte, habría que comprobar si la compañía cuenta con un seguro que cubra estos riesgos