Los ataques de ransomware siguen poniendo en jaque la ciberseguridad de las empresas, grandes y pequeñas, nadie se salva. Y cada vez, con más peligro. El año pasado se batieron todos los récords, tanto en alcance como en cuanto a las ganancias que los ciberdelincuentes se embolsaron en forma de rescate. Solo en la primera mitad del 2024 se registraron más de 2.500 ataques, lo que supone casi 15 reivindicados públicamente por día, según un informe de Rapid 7. También se registró la cifra más alta pagada hasta el momento por recuperar la información sensible amenazada: 75 millones de dólares.
Para comprender el peligro que supone este tipo de software malicioso hay que saber que está diseñado para cifrar los datos de cualquier empresa, de tal forma, que se vuelven totalmente inaccesibles. Esta circunstancia es aprovechada por los atacantes para presionar a las corporaciones y exigir un rescate económico a cambio de restituirla a sus propietarios legítimos y evitar así, no solo la suspensión de la actividad, sino también importantes pérdidas económicas y reputacionales.
En este sentido, una encuesta de Cybereason realizada a 1.500 profesionales de ciberseguridad reveló que en la mayoría de las organizaciones (60%), los atacantes estaban en su red antes del ataque con un máximo de 6 meses de antelación. También, que cerca de la mitad de las organizaciones (49%) pagaron el rescate para evitar pérdidas, mientras el 41% lo hizo para acelerar el proceso de recuperación. El sondeo apunta otros datos interesantes, como que el 80% de las empresas que optaron por pagar el rescate sufrieron un segundo ataque y cerca del 70% lo experimentaron tan solo un mes después del primero.
La pérdida de datos también ha aumentado de forma significativa, duplicándose prácticamente en los dos últimos años. Además, parte de las empresas, un 27%, no pudieron recuperar sus datos a pesar de acceder a pagar el rescate, según revela un informe de Veeam.
Las pymes, en el punto de mira de los ataques de ransomware
Las pequeñas empresas son especialmente vulnerables a este tipo de ataques. Cuentan con sistemas de seguridad menos avanzados e invierten menos recursos en ciberseguridad. Un hecho que las convierte en objetivos más fáciles de atacar.
El correo electrónico es, de hecho, una de las vías de acceso más comunes utilizadas por los ciberdelincuentes para inyectar ransomware en las pymes, ya que la mayoría de sus empleados no son conscientes del peligro que un email fraudulento pueden llegar a tener para la empresa. También, el software no actualizado, la visita de sitios web comprometidos, la descarga de aplicaciones pirata o la conexión de un USB infectado.
La democratización del ransomware
A pesar de que continúa siendo una de las amenazas con mayor impacto en la seguridad informática, el ransomware no deja de reinventarse. Entre las nuevas tendencias destacan las de trabajar en grupos más pequeños y flexibles, la explotación de nuevas técnicas y tácticas, así como la incorporación de tecnologías como la IA, que han contribuido a que los ataques sean no solo más sofisticados, sino más personalizados, complicando las acciones de prevención y respuesta.
Durante la próxima década, las previsiones apuntan a que las tendencias globales de ransomware experimentarán un crecimiento anual del 30%, produciéndose un nuevo ataque cada dos segundos, y con daños que superarán los 265 mil millones de dólares al año en 2031, según datos de Ciberseguridad Ventures.
¿Cuáles son los ransomware más frecuentes?
LockBit: se centra fundamentalmente en empresas y organizaciones gubernamentales y tiene capacidad para cifrar tanto los datos locales de la víctima como las copias de seguridad almacenadas en la nube. Funciona como ransomware como servicio (RaaS) y destaca por su capacidad de autopropagación, así como por estar dirigido por procesos prediseñados automatizados.
Ryuk: se enfoca principalmente a grandes organizaciones. Se propaga a través de correos electrónicos maliciosos y explota vulnerabilidades en la red para acceder de forma remota a los sistemas a través del protocolo de escritorio remoto. Se centra más en la calidad que en la cantidad de sus víctimas. Este ransomware deshabilita la opción de restauración de los sistemas operativos Windows, dificultando recuperar los sistemas si no se pagan el rescate.
Sodinokibi: es un código malicioso que se comercializa de forma personalizada. Se propaga principalmente a través de vulnerabilidades en el software y correos electrónicos maliciosos. Para infectar los sistemas, recurre a técnicas de ofuscación basadas en criptografía que dificultan su análisis e identificación por parte de antivirus o sistemas de detección de intrusión.
Dharma: gran parte de sus ataques se centran en pymes. Se propaga a través de protocolos de escritorio remoto (RDP) que no cuentan con las medidas de seguridad adecuadas y el proceso de ataque se basa principalmente en el abuso de herramientas de código abierto, así como en versiones gratuitas de herramientas comerciales. Utiliza criptografía asimétrica para cifrar archivos, cambiándoles la extensión y el nombre, generando una clave pública y una privada, esta última solo conocida por los ciberdelincuentas y necesaria para descifrar los archivos.
Maze: este tipo de ransomware encripta los datos y amenaza con hacerlos públicos si no se paga el rescate, lo que se conoce como doble extorsión. Sus ataques se dirigen a todo tipo de organizaciones de todos los sectores. Suele distribuirse a través de enlaces maliciosos o archivos adjuntos infectados -normalmente de Word o de Excel-recibidos en correos electrónicos no deseados, mediante ataques de fuerza bruta de RDP o a través de un kit de exploits. Normalmente, exfiltra datos al conectarse con un servidor de protocolo de transferencia de archivos (FTP) y copiar los archivos y datos a este servidor, además de encriptarlos. Los atacantes usan las herramientas PowerShell y WinSCP para llevar esto a cabo.
