Si mencionamos cuáles son las amenazas informáticas que más preocupan a las empresas, seguramente el ransomware se encuentre en los primeros puestos. La idea de sufrir un ataque que deje inaccesible la información necesaria para continuar con el negocio, y además robe esa información e incluso amenace con hacerla pública, es una pesadilla por la que ninguna empresa, negocio u organización, independientemente de su tamaño, quiere pasar.
Una amenaza que se reinventa
No podemos decir que el ransomware sea un tipo de malware nuevo, ya que llevamos varios años hablando de familias y variantes y, de hecho, los primeros ataques considerados como tal tienen ya treinta años. Sin embargo, el ransomware moderno ha experimentado una evolución muy importante en los últimos meses, haciéndose cada vez más eficaz y peligroso –más aun de lo que ya era– para todo tipo de empresas y organizaciones.
Si bien es cierto que desde finales de 2017 y casi todo 2018 el ransomware quedó relegado a un segundo plano por el auge de la criptominería no autorizada, hemos de destacar que en esa época atacaba de forma prácticamente indiscriminada a empresas y particulares y se limitaba casi siempre a cifrar los archivos que pudieran contener información importante para, seguidamente, demandar un rescate.
Con respecto a las cantidades de rescate solicitadas también es algo que ha cambiado, ya que poco o nada tienen que ver las de hace unos años con las que se exigen ahora. El incremento ha sido sustancial, llegando en algunos casos a multiplicarse por diez o más con respecto a lo que se pedía hace apenas un par de años.
Un nuevo modelo
Una de las mayores evoluciones ha sido la implantación del modelo de ransomware como servicio (o RaaS, por sus siglas en inglés). Este modelo fue usado con mucho éxito por los operadores detrás de GandCrab hasta su retirada a mediados de 2019 y se basa en un sistema de afiliados en el que estos últimos pagan una comisión a los desarrolladores del malware por obtener nuevas variantes y otros servicios que los ayuden a cometer sus acciones delictivas.
Tras la retirada de GandCrab surgieron nuevos actores que querían su trozo del pastel, y así, desde hace un año, hemos visto como han ido apareciendo familias como REvil (también conocida como Sodinokibi o Sodin, y de la que no pocos sospechan que detrás se encuentran los mismos creadores de GandCrab), Ryuk (una de las amenazas más desplegadas por Emotet), Netwalker, Ragnar o Maze, por nombrar solo unas cuantas.
Otras variantes que podemos encontrar tienen un menor impacto y son menos elaboradas, pero por ese motivo son detectadas en mayor número. Estaríamos hablando de variantes de ransomware más antiguo como WannaCry o Crysis, que en pleno 2020 siguen liderando el ranking de detecciones.
Actualmente se ha observado la mejora en las tácticas, técnicas y procedimientos utilizados por los operadores de ransomware, pasando de utilizar técnicas más o menos sencillas como adjuntos o enlaces incrustados en correos electrónicos a métodos más sofisticados, pero sin dejar de usar por completo los anteriores.
Así pues, en los incidentes de ransomware que observamos actualmente podemos ver numerosos vectores de ataque, donde el email se sigue usando en algunos casos como en los de phishing dirigido, pero también la utilización de kits de exploits que descargan y ejecutan ransomware (y otras amenazas) al acceder a un enlace y, sobre todo, ataques mediante RDP (Protocolo de Escritorio Remoto), algo a lo que ha ayudado mucho el importante incremento del teletrabajo en España. Y es que si bien en 2019 solo el 5% de los empleados trabajada desde casa, esta cifra ha aumentado en lo que llevábamos de año hasta el 34%, debido a la crisis sanitaria provocada por el COVID-19.
Algunas fuentes señalan un incremento del 40% de ataques relacionados con ransomware durante 2019, y los datos obtenidos por ESET y mostrados en el informe correspondiente al primer trimestre de 2020 parecen corroborarlos. Además, desde finales de 2019 se empezó a popularizar una tendencia que consiste no solo en cifrar la información de la empresa atacada, sino también en robarla y amenazar con hacerla pública si no se cede al chantaje.
Existen numerosas familias de ransomware que aplican esta táctica, con variantes destacadas como Maze. Algunas de ellas cuentan con web propia donde van publicando la información robada a aquellas empresas que no han pagado el rescate. Esta medida de presión parece surtir efecto, ya que las cantidades solicitadas no dejan de aumentar y algunas investigaciones indican que, durante el primer trimestre de 2020, la media se situaría en más de 100.000 euros.
Profesionalización
A lo comentado anteriormente se tienen que añadir ataques muy elaborados a algunas empresas que usan técnicas reservadas habitualmente a las APTs (amenazas persistentes avanzadas). En estos casos, los operadores del ransomware han llegado incluso a comprometer la cadena de suministro de la empresa objetivo, atacando primero a alguno de sus proveedores para conseguir el acceso a la red corporativa.
También se han observado incidentes donde los ciberdelicuentes han conseguido comprometer la seguridad de un MSP para, seguidamente, acceder a varias empresas que tenían en su punto de mira, e incluso se han utilizado vulnerabilidades 0-day para conseguir sobrepasar las defensas.
Una vez dentro de la red corporativa objetivo, se inicia una fase de reconocimiento y movimiento lateral para intentar acceder a aquellos sistemas que contienen la información más interesante. Esto se realiza con herramientas conocidas como Mimikatz, el framework Metasploit o alguna más especializada y usadas por algunos grupos criminales (pero también por profesionales de la auditoría y Red Teams), como Cobalt Strike o Empire.
Algunas fuentes señalan un incremento del 40% de ataques relacionados con ransomware durante 2019
Cuando se ha identificado la información confidencial más crucial, se sustrae y se cifra con el objetivo de solicitar el rescate. Todo esto se realiza mediante acciones que pueden durar días o incluso varias semanas, operando sin ser detectados y consiguiendo persistencia en aquellos sistemas a los que consiguen acceder.
La previsión es la mejor defensa
No cabe duda de que esta profesionalización paulatina que ha experimentado el mundo del ransomware está provocando importantes quebraderos de cabeza a empresas y organizaciones de todo el mundo. Por ese motivo, es importante tomar las medidas adecuadas para detectar este tipo de ataques, bloquearlos, monitorizar posibles intentos de acceso no autorizado a redes corporativas y contar con una solución de copia de seguridad lista para ser restaurada en caso de que todo lo anterior falle.