Ejemplos de ataques de ransomware

Ejemplos famosos de ransomware

El aumento de los ataques de ransomware ha hecho que se utilicen distintos tipos de ransomware para explotar las vulnerabilidades del sistema de formas diferentes.

Ryuk

Ryuk ha sido responsable de algunos de los ataques de ransomware más notorios dirigidos a organizaciones de todo el mundo. Se trata de una forma de ransomware criptográfico que se ha dirigido específicamente a las grandes empresas, a menudo con la intención de exigir un cuantioso rescate a .

Locky

Locky es una conocida variante de ransomware que se distribuye principalmente a través de archivos adjuntos de correos electrónicos de phishing, normalmente disfrazados de facturas, documentos o actualizaciones de software de . Una vez pulsado, el archivo adjunto malicioso bloquea los archivos de la víctima, haciéndolos inaccesibles .

Wannacry

El ataque WannaCry provocó una crisis mundial, infectando más de 230.000 ordenadores en 150 países y causando unos daños estimados en 4.000 millones de dólares en . El ataque explotaba una vulnerabilidad en los sistemas Microsoft Windows, concretamente , dirigido a sistemas que no habían sido parcheados con una actualización de seguridad crítica.

Conejo malo

Bad Rabbit fue un ataque drive-by ransomware, lo que significa que se propagó a través de sitios web comprometidos que usuarios desprevenidos visitaron . El malware parecía ser un instalador legítimo de Adobe Flash, pero en realidad era una pieza del ransomware que encriptó los archivos de la víctima del ransomware.

Rompecabezas

El ransomware Petya se propaga cifrando el registro de arranque maestro (MBR) y dejando inoperativo todo el sistema. It utiliza a menudo correos electrónicos de phishing como método de entrega, causando graves trastornos a las empresas al bloquear sus ordenadores a nivel del sistema.

NotPetya

NotPetya parecía inicialmente una variante de Petya, pero era mucho más destructiva. Se propagó rápidamente utilizando exploits de la misma vulnerabilidad de Windows que WannaCry y fue diseñado no sólo para extorsionar sino para causar daños masivos en los sistemas. Afectó a organizaciones de todo el mundo, especialmente en Ucrania.

Cerber

Cerber es una cepa de ransomware muy sofisticada que utiliza técnicas avanzadas de cifrado para bloquear archivos. Se propaga comúnmente a través de correos electrónicos de phishing con archivos adjuntos maliciosos y ha sido notorio por su capacidad para adaptarse y cambiar sus tácticas para evitar ser detectado.

BitPaymer

El ransomware BitPaymer suele estar vinculado a grandes ataques bien coordinados. Se dirige a entornos corporativos y cifra los archivos antes de exigir un pago en Bitcoin por la clave de descifrado. La nota de rescate suele incluir una URL a un portal de pago basado en TOR.

Cryptolocker

Una de las cepas de ransomware más notorias, Cryptolocker encriptaba archivos y exigía rescates en monedas digitales como Bitcoin. Se propagó a través de correos electrónicos de spam e infectó con éxito a un gran número de usuarios, causando importantes daños a antes de su retirada.

DarkSide

DarkSide es una operación de ransomware como servicio (RaaS), dirigida principalmente a entornos empresariales. Obtuvo la atención de por su papel en el ciberataque al oleoducto Colonial, que interrumpió el suministro de combustible en Estados Unidos. DarkSide normalmente exige grandes rescates, a menudo millonarios, y sus operadores se han extendido recientemente a los sistemas basados en Linux.

Dharma

El ransomware Dharma opera a través de un modelo RaaS, en el que los atacantes obtienen la licencia del ransomware y lo lanzan a través de afiliados. Dharma se dirige principalmente a pequeñas y medianas empresas, y suele exigir un rescate de entre 500 y 2.000 dólares en Bitcoin.

DoppelPaymer

DoppelPaymer es una cepa altamente peligrosa de ransomware que se ha utilizado en numerosos ataques de alto perfil. cifra los archivos de los sistemas infectados y exige el pago a través de un portal de pago basado en TOR. DoppelPaymer es conocido por sus tácticas agresivas y ha estado vinculado a importantes infracciones.

GandCrab

GandCrab fue una de las familias de ransomware más activas y ampliamente distribuidas, y sus desarrolladores actualizaron constantemente la cepa en . GandCrab se propagó principalmente a través de correos electrónicos de phishing y kits de exploits, y sus afiliados utilizaron diversas tácticas para infectar objetivos en todo el mundo.

Laberinto

El ransomware Maze es conocido por su técnica de ransomware de doble extorsión, en la que los atacantes no sólo cifran los datos, sino que también los roban y amenazan con liberarlos a menos que se pague el rescate. Maze ha apuntado a numerosas organizaciones de alto perfil y se ha hecho notorio por su uso de la exfiltración de datos además de la encriptación.

Tipos comunes de ransomware

El ransomware puede clasificarse a grandes rasgos en dos tipos principales: ransomware de casillero y ransomware criptográfico. Conocer la diferencia entre estos métodos de ataque es crucial para implementar las estrategias de defensa adecuadas en su organización .

El ransomware Locker

El ransomware Locker está diseñado para bloquear por completo al usuario de su sistema. Normalmente, este tipo de ransomware impide el acceso a funciones esenciales del sistema, como aplicaciones, archivos o configuraciones, hasta que se pague un rescate.

Aunque al principio era más común entre usuarios individuales, ha evolucionado hasta convertirse en una amenaza de ransomware también para las organizaciones . Una vez bloqueado el sistema, el atacante exige el pago de un rescate, a menudo con la amenaza de aumentar los daños o la pérdida de datos .

Este tipo de ataque puede provocar un tiempo de inactividad significativo, afectando a la productividad y dañando potencialmente la reputación de su marca .

El ransomware Locker bloquea las funciones esenciales del ordenador excepto para permitir al usuario pagar el rescate y comunicarse con los ciberatacantes. Se vio más comúnmente contra consumidores y usuarios domésticos durante la historia temprana de de los ataques de ransomware.

Cripto ransomware

El cripto ransomware es una de las formas más dañinas de ransomware. Cifra archivos críticos o sistemas enteros, haciéndolos inaccesibles sin la clave de descifrado. En muchos casos, las empresas no pueden recuperar sus datos a menos que accedan a las exigencias del atacante.

Incluso si se proporciona una clave de descifrado tras el pago, no hay garantía de que los datos se restauren por completo o sin compromiso. El coste financiero de un ataque de ransomware criptográfico puede ser asombroso, tanto en términos de costes directos (como el rescate pagado) como indirectos (como la pérdida de ingresos debida a la interrupción de las operaciones).

El ransomware criptográfico cifra los datos, haciéndolos irrecuperables sin la clave de descifrado. Esto puede causar pánico, ya que los usuarios de normalmente pueden ver los archivos, pero no podrán acceder a ellos, lo que puede perjudicar los resultados de una empresa cada día que permanezca bloqueado.

Ejemplos de ataques de ransomware para empresas sanitarias

Todo tipo de organizaciones han sido blanco de ataques de ransomware, y las organizaciones sanitarias, incluidos los hospitales, no son una excepción.

Datos de información personal protegida (IPP) comprometidos

En muchos ataques de ransomware, los archivos se cifran para que no se pueda acceder a ellos o los sistemas se bloquean para que no puedan funcionar. Sin embargo, también se han producido infracciones importantes que han puesto en peligro información sensible y datos personales.

En un caso, los ciberatacantes se infiltraron en la red de una organización sanitaria y accedieron a datos personales de pacientes y donantes. De febrero a mayo, los ciberdelincuentes accedieron de forma encubierta a los datos e hicieron copias para sí mismos, que incluían nombres, direcciones personales e historial de donaciones. Esto hizo que sus víctimas acabaran pagando un rescate para que los datos copiados fueran eliminados.

La lección que hay que aprender de este ejemplo de ataque de ransomware es que hay que proteger los datos almacenados tanto como se protege la red.

Mimecast ofrece soluciones de seguridad en la nube para que las organizaciones puedan almacenar y acceder de forma segura (y sencilla) a los datos confidenciales.

Aumento de los ataques de ransomware sanitario desde COVID-19

Según Comparitech, los ataques de ransomware costarán al sector sanitario estadounidense más de 20.000 millones de dólares sólo en 2020.

En comparación con años anteriores, las organizaciones sanitarias y los hospitales experimentaron un repunte sin precedentes de ataques de ransomware durante 2020, y algunos especulan con que COVID-19 hizo a los hospitales más vulnerables a los ciberataques y quizá incluso más dispuestos a pagar rescates.

Una cosa que se puede aprender de esta tendencia es que una organización puede ser aún más vulnerable en tiempos de crisis. Por eso es mejor prepararse hoy para las posibles amenazas de ransomware de mañana.

Ejemplos de ataques de ransomware en empresas

Además de verse comprometidas por los métodos señalados anteriormente, las empresas pueden ser especialmente vulnerables a las contraseñas comprometidas (dado el tamaño de su organización). Además, cuando se ven comprometidos, pueden plantearse pagar un rescate para recortar pérdidas, pero ejemplos recientes demuestran que el pago de rescates puede no ser eficaz para evitar futuras pérdidas.

Contraseñas comprometidas

Una contraseña comprometida es una contraseña a la que tiene acceso alguien ajeno a la organización a la que está destinada. Los ciberatacantes pueden utilizar una contraseña comprometida para acceder directamente a una red.

En otros casos, empleados con credenciales han comprometido intencionadamente contraseñas vendiéndolas en mercados negros.

Esto es lo que muchos sospechan que ocurrió en un gran ciberataque en abril de 2021. Por un lado, no hay mucho que se pueda hacer para impedir que los empleados descontentos vendan información confidencial de la empresa, pero se pueden implementar capas adicionales de protección contra el ransomware para protegerse de este comportamiento.

Por ejemplo, los puntos de acceso de un ciberdelincuente pueden requerir varias contraseñas de varios usuarios para poder acceder a ellos (verificación multifactor). Para saber cómo los programas de seguridad del correo electrónico de Mimecast pueden ayudarle a proteger las contraseñas, programe una demostración.

¿Cuándo reducir pérdidas?

Según un informe publicado por Cybereason, el 80% de las empresas que pagaron un rescate sufrieron otro ataque, casi la mitad de las que sufrieron un ataque repetido por parte de los mismos ciberatacantes.

En muchos casos recientes de ciberataques que afectan a empresas, los ciberatacantes han afirmado que pagar su rescate es más rentable que contratar abogados para emprender acciones legales o contratar a una empresa que les ayude a desbloquear los sistemas y datos comprometidos. Aunque es difícil saber si pagar un rescate es la solución más fácil o más barata, pagar un rescate no siempre hace desaparecer el problema.

Ésta es una de las muchas razones por las que los expertos cibernéticos suelen aconsejar a las organizaciones que no paguen rescates: después de todo, no hay garantías de que los ciberatacantes cumplan los términos del trato de borrar los datos.

Proteger su empresa de los ataques de ransomware

Los servicios de seguridad de correo electrónico y en la nube pueden ayudar a las organizaciones a tomar las medidas necesarias para protegerse de los ataques de ransomware.

Aprendiendo del pasado, podemos crear juntos un futuro más seguro para todas las organizaciones.

Aunque el ransomware sigue siendo una amenaza en constante evolución, Mimecast ofrece soluciones de seguridad de datos y correo electrónico que pueden ayudarle a evitar que el ransomware se infiltre en sus sistemas. Para saber más sobre cómo proteger a su equipo de un ataque de ransomware, programe hoy mismouna demostración de Mimecast.