Un ataque de ransomware se puede confundir con cualquier otro virus de tipo troyano de cifrado. En realidad, estos no están muy alejados; se tratan de malwares o software malintencionados utilizados por ciberdelincuentes, que bloquean el acceso a sistemas o archivos y por el cual demandan dinero.
Los piratas digitales suelen incluir un ataque de ransomware en protocolos de escritorio remoto, correos electrónicos de phishing y aprovechar las vulnerabilidades de software para ingresar. Constantemente se reconocen como troyanos extorsionadores, porque se encuentran escondidos dentro de otros archivos con apariencia desapercibida. Normalmente, no tienen distinción de público; pueden estar dirigidos tanto a individuos como a empresas.
Lo mejor es realizar una distinción básica del ataque de ransomware
Las características que permiten comprender un ataque de ransomware son dos:
- Ataque de bloqueo: con esta función, el ransomware bloquea las funcionalidades básicas del ordenador. Específicamente, negando el acceso a escritorio, pero con el ratón y teclado sin aparente uso, ya que se encuentra desactivado. Su función es obligar a cumplir la exigencia monetaria, porque no podrá realizar ningún otro movimiento. Su ventaja es que no tocará los archivos personales, evitando la pérdida de información.
- Ataque de cifrado: este malware entrará directamente a tocar su información de interés, documentos, fotografías, contraseñas; sin intervenir en la función del ordenador. Lo que hará es cifrar los archivos, cambiando su composición. Así, el usuario puede verlos, pero no acceder a ellos.
En este ataque de ransomware, los ciberdelincuentes incluyen un mensaje con la dirección a una billetera de moneda virtual, con fecha límite para “pagar el rescate”. Para ello, se recomiendan las copias de seguridad en nube digital u otras fuentes para no perder los datos importantes. Así como se recomienda no negociar con los hackers.
Ejemplos conocidos de un ataque de ransomware
Locky: hizo su aparición en 2016. Estuvo dirigido por un grupo de ciberdelincuentes organizados. Su finalidad fue cifrar 160 archivos y expandirse por correos electrónicos falsos con adjuntos contagiados; es decir, phishing. Fue una trampa sencilla para quienes lo desconocían, y muchos terminaron instalando el ransomware.
Se ha notado que este tipo de ataque de ransomware continuamente está incluido en archivos utilizados por desarrolladores, diseñadores, ingenieros y hasta evaluadores.
Bad Rabbit: data del 2017. Su distribución fue por medio de ataques ocultos, utilizando sitios web no confiables. En este tipo de ataque de ransomware, los hackers usan un sitio web con aparente confiabilidad, pero cuando el usuario realiza una descarga y la ejecuta, provoca el daño en el sistema. Se le conoce como instalador “dropper” de malware, donde Bad Rabbit venía incluido en un programa de instalación (falsa) de Adobe Flash.
Ryuk: ataque de ransomware de la clase troyano cifrado. Se popularizó durante 2018. Su función deshabilitaba la recuperación de sistemas operativos Windows; es decir, que sin seguridad externa, no se podía restaurar los datos cifrados. También se extendió hasta las unidades de red, lo que obligó a muchas organizaciones a pagar rescate. En daños pagaron un aproximado a 640 mil USD.
GoldenEye: fue el renacer de Petya en 2017. Este ataque de ransomware fue designado como el hermano letal del conocido WannaCry. Fue tan fuerte su acción que dejó más de 2000 víctimas. Entre ellas, petroleras de Rusia y entidades financieras. Este fue capaz de incomodar a la planta Chernobyl, quienes recibieron ordenadores bloqueados, lo que les llevó a analizar el nivel de radiación de forma manual.
Sin contar ataques de ransomware como Shade/Troldesh en 2015, Jigsaw en 2016, GandCrab en 2018, B0r0nt0k, Dharma Brrr cuyo sello era dejar archivos «.id-[id].[email].brrr», FAIR RANSOMWARE, otro cifrador de datos que añadía la extensión «.FAIR RANSOMWARE» y MADO, que hacía lo mismo, dejando el «.mado» en el archivo infectado sin poder abrirlo.
El ataque ransomware no tiene distinciones; desde los usuarios más simples hasta las organizaciones más gigantescas, como el caso de Wolverine, los proveedores de atención médica Wolverine Solutions Group. Sin embargo, muchos aprovechan la confianza que hacen con sus seguidores o según sus intereses (como Lapsus$, que hasta dejaba encuestas en su canal de Telegram para elegir víctimas).
Normalmente, solicitan entre 100 a 200 USD en monedas virtuales como BTC. Pero, ese monto aumenta de acuerdo al daño que puede causar la pérdida de información a la organización atacada (ya sea si la hacen pública o destruyen). Por eso, otra recomendación para protegerse de un ataque de ransomware es realizar copia de seguridad a datos importantes y llevar un manejo correcto de software de seguridad que puede reducir la gravedad del ataque. Si desea algún servicio de esta clase, Eagle Tech Corp puede ayudarle.
Facebook: Eagle Tech Corp
Instagram: @eagletech_corp
Twitter: @eagletechcorp
LinkedIn: Eagle Tech
YouTube: Eagle Tech Corp
