No ha pasado mucho tiempo desde que el ransomware era principalmente una amenaza no dirigida, oportunista y de rápida propagación. En 2017, WannaCry y su vulnerabilidad de worm red Server Message Block (SMB ), EternalBluecausaron uno de los brotes de ransomware más importantes de la historia. Se propagó globalmente a la velocidad de la máquina, infectando a más de 230.000 hosts en más de 150 países. Aunque los daños causados por WannaCry fueron graves -especialmente para organizaciones como el Servicio Nacional de Salud del Reino Unido (NHS), que incurrió en más de 73 millones de libras (95 millones de dólares) en costes-, los atacantes solo consiguieron embolsarse unos 621.000 dólares en Bitcoin, un pago relativamente pequeño en comparación con los trastornos que causaron.
Desde entonces, el ransomware ha evolucionado de un enfoque indiscriminado y de gran volumen -a menudo denominado "rociar y rezar"- a un modelo de negocio más selectivo y de menor volumen. Los ataques de ransomware actuales ya no se basan en una única pieza monolítica de malware. En su lugar, el ransomware moderno tiende a ser modular, desarrollado por delincuentes expertos o vendido a través de plataformas de ransomware como servicio (RaaS). Este cambio ha permitido a los grupos de ransomware operar dentro de un ecosistema organizado y oscuro, con cadenas de suministro de componentes y servicios que se asemejan a las estructuras empresariales legítimas.
La capacidad de adaptarse y transformarse rápidamente ha hecho que los métodos de detección tradicionales basados en firmas estáticas sean cada vez más ineficaces. En consecuencia, los equipos de seguridad deben centrarse en identificar los comportamientos y tácticas utilizados por los atacantes antes de que comience el cifrado. Esto es especialmente importante ya que los grupos de ransomware actuales, como LockBit y Contiemplean tácticas de doble extorsión, en las que no sólo cifran los datos, sino que también los filtran, amenazando con filtrar información confidencial si no se paga el rescate.
La naturaleza compleja y prolongada de los ataques modernos de ransomware
A diferencia de los ataques anteriores, las campañas de ransomware actuales -ejemplificadas por grupos como Maze- sonmultifacéticas y se desarrollan durante largos periodos. Los atacantes llevan a cabo la penetración inicial, el reconocimiento y la extracción de datos mucho antes de que comience el cifrado. Este amplio margen de tiempo ofrece a los defensores la oportunidad de detectar y responder a la amenaza, si saben dónde y cómo buscar.
Características de un ataque de ransomware
Selección y reconocimiento de objetivos
Los atacantes suelen empezar por realizar inteligencia de fuentes abiertas (OSINT ) para recabar información sobre posibles víctimas. Evalúan la capacidad del objetivo para continuar sus operaciones sin datos críticos y su probabilidad de pagar un rescate. Los agresores calculan el importe del rescate en función del "umbral de dolor" percibido por la víctima, es decir, el precio al que preferiría pagar antes que afrontar las consecuencias del impago.
Acceso inicial
El compromiso inicial a menudo se produce a través de campañas de phishing , explotando vulnerabilidades conocidas, o a través de corredores de acceso inicial (IAB). Estos intermediarios se especializan en vender acceso a redes comprometidas en mercados de la web oscura por tan solo 300 dólares.
Reconocimiento interno y escalada de privilegios
Una vez dentro de una red, los atacantes dedican tiempo a identificar los sistemas críticos y obtener mayores privilegios. Esta fase puede durar días o incluso semanas, ya que los agresores buscan archivos para filtrarlos y aprovecharlos para una doble extorsión. Una vez completado este reconocimiento interno, los agresores lanzan el ransomware y cifran los archivos de toda la red.
Doble extorsión
En muchos casos, los atacantes no sólo cifran los datos de la víctima, sino que también roban información sensible. Si la víctima se niega a pagar el rescate, los atacantes amenazan con filtrar o vender en línea los datos robados, lo que puede acarrear sanciones normativas, daños a la reputación y más pérdidas económicas.
Exigencias de rescate y negociación
Los grupos de ransomware proporcionan notas de rescate detalladas, a menudo dirigiendo a las víctimas a portales de negociación dedicados alojados en la web oscura. En algunos casos, los grupos de ransomware incluso ofrecen atención al cliente para garantizar que las víctimas puedan realizar los pagos de forma eficiente.
Los crecientes costes del ransomware
Cuando las organizaciones sufren un ataque de ransomware, se enfrentan a una parálisis operativa inmediata. Los sistemas críticos para el negocio son tomados como rehenes, y los equipos de respuesta a incidentes deben apresurarse para detener la propagación del ataque y restaurar los sistemas. Incluso si la organización está dispuesta a pagar el rescate, no hay garantía de que los atacantes proporcionen una clave de descifrado válida. Los archivos que no puedan descifrarse tendrán que restaurarse a partir de copias de seguridad, lo que puede provocar la pérdida de datos desde la última copia de seguridad y prolongar el tiempo de inactividad.
El impacto del ransomware ha crecido en escala y coste. Los ataques actuales no se limitan a cifrar archivos, sino que implican el robo de datos, la interrupción de las operaciones, daños a la reputación y multas reglamentarias. Según un informe 2023 de Covewareel pago medio por rescate ha alcanzado los 408.644 dólares, lo que pone de manifiesto la creciente carga financiera que el ransomware impone a las organizaciones.
Mitigación y respuesta a los ataques de ransomware
Una mitigación eficaz requiere una comprensión de los patrones de ataque del ransomware y la capacidad de actuar con rapidez durante el ciclo de vida del ataque. La detección y respuesta tempranas pueden reducir significativamente el impacto de un ataque de ransomware.
Aislamiento rápido de huéspedes
Una vez identificado un host infectado, es fundamental aislarlo inmediatamente. Esto puede lograrse poniendo en cuarentena los sistemas comprometidos, eliminándolos de la red y deteniendo cualquier proceso implicado en la propagación del ransomware. En muchos casos, pueden utilizarse herramientas de automatización, como las plataformas de orquestación,para aislar los sistemas de forma rápida y eficaz.
Supervisión del acceso privilegiado
El ransomware sólo puede ejecutarse con los privilegios del usuario o aplicación comprometidos. Supervisar qué cuentas tienen acceso a los sistemas críticos permite a los equipos de seguridad detectar a tiempo comportamientos anómalos y evitar que el ransomware cifre los archivos. Un conocimiento exhaustivo del acceso privilegiado puede ayudar a evitar que los atacantes se desplacen lateralmente por la red y escalen sus privilegios.
Detección basada en el comportamiento
Los ataques modernos de ransomware implican varias actividades precursoras, como el reconocimiento interno, el movimiento lateral y la exfiltración de datos. En lugar de centrarse únicamente en la identificación de variantes específicas de ransomware, los equipos de seguridad deben vigilar los comportamientos inmutables de los atacantes en el tráfico de red. Este enfoque de detección basado en el comportamiento es más proactivo y permite a los equipos detectar las primeras fases de un ataque antes de que comience el cifrado.
Inteligencia artificial (IA) y automatización
Avances en soluciones de seguridad basadas en IA están transformando la detección y respuesta al ransomware. La IA puede analizar cantidades masivas de datos de red para detectar indicadores sutiles de comportamientos de ransomware que los humanos o las herramientas tradicionales podrían pasar por alto. Al aumentar los equipos SOC con IA, las organizaciones pueden detectar y detener los ataques más rápidamente, limitando el alcance de los daños.
Manténgase proactivo frente a la amenaza del ransomware
Para reducir el impacto de los ataques modernos de ransomware, los equipos de seguridad deben pasar de las estrategias reactivas a la detección basada en el comportamiento. Este enfoque proactivo se centra en la identificación de actividades sospechosas en una fase temprana del ciclo de vida del ataque. Con el aumento de la IA en las herramientas de seguridad tradicionales, las organizaciones pueden detectar comportamientos de ransomware en tiempo real, lo que les da una ventaja crucial en la prevención de ataques antes de que se produzca un daño generalizado.
El ransomware seguirá siendo una potente herramienta para los ciberdelincuentes que buscan explotar y extorsionar a las organizaciones por sus valiosos activos digitales. El tiempo y la comprensión del contexto son esenciales para derrotar al ransomware: actuar a tiempo puede evitar un desastre en toda regla.
Cómo puede ayudar Vectra AI
El sitio PlataformaVectra AI utiliza análisis de comportamiento basados en IA para detectar comportamientos de los atacantes en las primeras fases del ciclo de vida del ransomware. Al centrarse en el reconocimiento, el movimiento lateral y las actividades de cifrado, Vectra permite a los equipos de seguridad detener el ransomware antes de que cause daños catastróficos. ¿Quiere ver cómo Vectra AI puede ayudar a proteger su organización? Solicite una demostración autoguiada y explore el poder de la IA en la defensa contra el ransomware.