¿Qué es el ransomware?
El ransomware es malware que emplea encriptación para mantener la información de una víctima a cambio de un rescate.
Los datos críticos de un usuario u organización se cifran para que no puedan acceder a archivos, bases de datos o aplicaciones.
Luego se exige un rescate para proporcionar acceso. El ransomware a menudo está diseñado para propagarse a través de una red y una base de datos de destino y servidores de archivos y, por lo tanto, puede paralizar rápidamente a toda una organización.
Es una amenaza creciente, que genera miles de millones de dólares en pagos a los ciberdelincuentes e inflige daños y gastos significativos para empresas y organizaciones gubernamentales.
¿Cómo funciona el ransomware?
El ransomware usa cifrado asimétrico. Esta es la criptografía que utiliza un par de claves para cifrar y descifrar un archivo.
El atacante genera únicamente el par de claves pública-privada para la víctima, con la clave privada para descifrar los archivos almacenados en el servidor del atacante.
El atacante pone la clave privada a disposición de la víctima solo después de que se paga el rescate, aunque, como se ha visto en campañas recientes de ransomware, no siempre es así.
Sin acceso a la clave privada, es casi imposible descifrar los archivos que se retienen para pedir rescate.
Existen muchas variaciones de ransomware. A menudo, el ransomware (y otro malware) se distribuye mediante campañas de correo electrónico no deseado o mediante ataques dirigidos.
El malware necesita un vector de ataque para establecer su presencia en un punto final. Una vez que se establece la presencia, el malware permanece en el sistema hasta que se completa su tarea.
Después de una explotación exitosa, el ransomware cae y ejecuta un binario malicioso en el sistema infectado.
Este binario luego busca y cifra archivos valiosos, como documentos de Microsoft Word, imágenes, bases de datos, etc.
El ransomware también puede explotar las vulnerabilidades del sistema y de la red para propagarse a otros sistemas y posiblemente a organizaciones enteras.
Una vez que se cifran los archivos, el ransomware solicita al usuario que pague un rescate dentro de las 24 a 48 horas para descifrar los archivos, o se perderán para siempre.
Si una copia de seguridad de datos no está disponible o esas copias de seguridad estaban encriptadas, la víctima se enfrenta a pagar el rescate para recuperar archivos personales.
¿Por qué se propaga el ransomware?
Los ataques de ransomware y sus variantes están evolucionando rápidamente para contrarrestar las tecnologías preventivas por varias razones:
que se pueden usar para crear nuevas muestras de malware bajo demanda.
Uso de buenos intérpretes genéricos conocidos para crear ransomware multiplataforma (por ejemplo, Ransom32 usa Node.js con una carga útil de JavaScript)
Uso de nuevas técnicas, como cifrar el disco completo en lugar de archivos seleccionados
Los ladrones de hoy ni siquiera tienen que ser expertos en tecnología. Los mercados de ransomware han surgido en línea, ofreciendo cepas de malware para cualquier posible ciberdelincuente y generando ganancias adicionales para los autores de malware, quienes a menudo piden una parte de las ganancias del rescate.
¿Por qué es tan difícil encontrar autores de ransomware?
El uso de criptomonedas anónimas para el pago, como bitcoin, dificulta seguir el rastro del dinero y rastrear a los delincuentes.
Cada vez más, los grupos de delitos cibernéticos están ideando esquemas de ransomware para obtener ganancias rápidas.
La fácil disponibilidad de código fuente abierto y plataformas de arrastrar y soltar para desarrollar ransomware ha acelerado la creación de nuevas variantes de ransomware y ayuda a los novatos en scripts a crear su propio ransomware.
Por lo general, el malware de vanguardia, como el ransomware, tiene un diseño polimórfico, lo que permite a los ciberdelincuentes eludir fácilmente la seguridad tradicional basada en firmas basada en el hash de archivos.
¿Qué es el ransomware como servicio (RaaS)?
Ransomware-as-a-service es un modelo económico de ciberdelincuencia que permite a los desarrolladores de malware ganar dinero por sus creaciones sin necesidad de distribuir sus amenazas.
Los delincuentes no técnicos compran sus productos y lanzan las infecciones, mientras pagan a los desarrolladores un porcentaje de sus ganancias.
Los desarrolladores corren relativamente pocos riesgos y sus clientes hacen la mayor parte del trabajo.
Algunas instancias de ransomware como servicio usan suscripciones, mientras que otras requieren registro para obtener acceso al ransomware.
