¿Qué es ransomware?

En los últimos años hemos visto cada vez más ataques de ransomware, en un inicio contra particulares y empresas más pequeñas. Sin embargo, los últimos 6 meses han sido testigos de ataques que han paralizado a grandes empresas y organizaciones de todo el mundo. Los efectos son cada vez mayores y cada vez más, la población está sintiendo sus efectos. Hemos visto hospitales, fuerzas del orden, gobiernos, logística, compañías telefónicas y muchas otras industrias completamente incapacitadas por estos ataques. Ecuador hasta ahora no ha visto muchos de estos ataques, ya que en su mayoría han sido pequeños y no dirigidos. Pero ahora eso está cambiando. Es posible que este tipo de ataque esté aquí para quedarse, especialmente si no mejoramos en la comprensión de cómo protegernos contra ellos.

En este artículo, queremos dar una breve introducción al tema. ¿Qué es el ransomware, en realidad? ¿Quién está detrás de estos ataques? ¿Cuál es su motivación? y ¿Qué podemos hacer?

Comencemos con la parte más simple: ¿Qué es ransomware?

Básicamente, el ransomware es un tipo de “malware”. Con esto nos referimos, simplemente, a un software que no hace lo que usted quiere que haga. Cualquier tipo de virus, troyano, software espía o problemático en su computadora que vaya en contra de los intereses del usuario, es malware. La mayor parte del tiempo, el malware tratará de esconderse, a veces para siempre y, a veces, sólo hasta que sea demasiado tarde para hacer algo al respecto. Propiamente dicho, ransomware es un tipo de virus que ingresará a su sistema de alguna manera y, una vez que haya entrado, hará dos cosas: intentará extenderse a otras computadoras y dispositivos conectados en su red; y comenzará a cifrar sus datos. La mayoría de las veces, el ransomware también hará una tercera cosa: enviará una clave y alguna otra información a un controlador, es decir, quien haya activado el ransomware. Una vez que el ransomware haya cifrado todos los datos a los que pueda acceder, le notificará al usuario, diciendo que todos sus datos son inaccesibles hasta que pague una cantidad específica. En el escenario ideal, si paga, obtendrá la clave para abrir sus datos nuevamente. En el peor de los casos, el pago no servirá y los datos se perderán.

En este punto hay algunas posibilidades. Las tres más importantes son:

• Si el objetivo es individual u organizacional,
• Si los datos se filtran antes de encriptarse y
• Si el algoritmo de encriptación tiene debilidades o no.

La mayor parte del ransomware que circula está orientado a infectar sistemas individuales. En este tipo de casos, cada computadora puede ser encriptada por separado y requerir un rescate individual. Este ataque no requiere una coordinación entre equipos.

Otros tipos de ransomware están más centrados en infectar a una organización completa. El punto más importante aquí es que el ransomware se mantendrá oculto hasta que todas o la mayoría de las computadoras en un sistema hayan sido infectadas para entonces, revelarse a sí mismo . La razón de esto es principalmente porque se vuelve más fácil para un equipo de seguridad detener o contener una infección si el ransomware se revela en una computadora antes de terminar de infectar al resto de la organización.

En algunos casos, el ransomware no sólo cifrará los datos y le pedirá al usuario que pague para recuperarlos, sino que también enviará toda la información a su controlador antes de tomarla como rehén. De este modo, el usuario tiene dos problemas. Por un lado, no tiene sus datos y por otro, alguien más puede publicarlos potencialmente. En este escenario, tiene dos incentivos para pagar: recuperar la información y evitar que caiga en las manos equivocadas.

Este tipo de exfiltración de información puede ser muy lucrativo, pero es, asimismo, más riesgoso: muchas organizaciones tienen equipos de seguridad que podrían notar que un gran volumen de información está siendo transferido fuera de la red, lo que hace que este tipo de ataque sea más riesgoso, especialmente contra organizaciones con una postura de seguridad más fuerte.

Finalmente, algunos ransomware tienen problemas de implementación. En el caso de un ransomware bien hecho, realmente no hay nada que se pueda hacer para recuperar la información, a menos que los controladores le den la clave para hacerlo al usuario. Pero al igual que con cualquier tipo de software, el ransomware puede tener errores. En algunos casos, estos errores han provocado la recuperación de datos sin pago. En otros casos, los errores han llevado a que los datos se corrompan y se destruyan de manera irreversible, incluso cuando el controlador quiso devolver la información.

La mayor parte del ransomware que existe actualmente se basa en software existente. Por lo tanto, es probable que si se infecta con algún tipo de ransomware, éste ya sea conocido. La mayoría de los atacantes ya no crean ransomware directamente desde cero. Es más económico reutilizar y construir sobre lo que ya existe.

Esto puede resultar útil. En algunos casos, se puede encontrar información sobre debilidades o problemas con la implementación. También puede facilitar la detección de infecciones utilizando “sistemas de detección de intrusos” o software “antivirus”.

Lo último a tener en cuenta es que el ransomware también puede ser creado desde cero y ser “personalizado”, por ejemplo para irrumpir en una gran empresa y cifrar sus archivos; algo que ningún software existente genérico hubiese logrado. En estas situaciones, los atacantes a menudo realizan un ataque de ransomware manual, en el que ingresan y personalizan el software existente para extenderse por la red, o incluso hacen todo este proceso manualmente. Los efectos son los mismos.

El quién y el por qué

Lo arriba expuesto nos lleva a la pregunta de quién usa realmente el ransomware. En general, la principal motivación detrás del ransomware es casi siempre el dinero. Básicamente, esto es un negocio. Puedes ver eso en el comportamiento de estos atacantes (se trata generalmente de grupos, no individuos).

La reutilización de paquetes de software existentes, la forma en que se realiza la comunicación, la forma en que los montos de pago son administrados, todo implica que la mayoría de los ataques de ransomware los realizan grupos que actúan como empresas. De hecho, varios grupos de ransomware tienen personal de atención al cliente dedicado al que se puede contactar para recibir ayuda sobre cómo convertir el dinero en Bitcoins (que suele ser la moneda preferida para pagar el ransomware) y cómo realizar el pago en sí.

La razón de esto es simple: para que estos grupos continúen haciendo dinero, debe ser posible que suficientes víctimas puedan pagar el rescate. Y además, es importante que los grupos tengan la reputación de devolver los datos. Si no hacen esto, no hay ningún incentivo para que nadie pague, y la propuesta de negocio desaparece. Debido a esto, el ransomware a menudo anunciará el nombre del grupo detrás del ataque, ya que la reputación del grupo a menudo ayudará a incentivar a la víctima a pagar.

De la misma manera, algunos activistas o grupos con motivaciones políticas a veces utilizan ataques que parecen ransomware. Esto no es particularmente común, ya que estos grupos utilizarán con mayor frecuencia otros tipos de métodos. Ocultar un ataque bajo la forma de ransomware, simplemente no coincide con las motivaciones de un ataque con fines políticos, en la mayoría de los casos.

Finalmente, el último tipo de atacantes que se observa a veces son aquellos que simplemente quieren destruir o fastidiar los sistemas. En general, estos ataques de ransomware en realidad no solicitarán un rescate, sino que simplemente destruirán los datos. Y como en el anterior ejemplo, si los grupos simplemente quieren destruir la información, ocultarla detrás de la fachada de ransomware no suele ser necesario. Existen algunos ejemplos de esto, pero fundamentalmente, casi todos los ataques de ransomware son perpetrados en realidad por auténticas empresas comerciales delictivas. La mayor parte del resto, son ataques patrocinados por los estados. Las otras posibilidades están ahí, pero en un porcentaje muy bajo.

El cómo

El ransomware ocurrirá de la misma manera que casi cualquier otro tipo de incidente de seguridad. El ataque puede ser dirigido, masivo. En el caso de un ataque no dirigido, los atacantes generalmente enviarán una gran cantidad de correos electrónicos no deseados de algún tipo que contengan algún tipo de software de ataque o un enlace a dicho software.

Otros tipos de ataques también pueden ser utilizados. Por ejemplo, los ataques “watering hole”, donde se publica un enlace a un foro o grupo que la gente frecuenta. Entonces, el atacante puede escanear en busca de sistemas expuestos a Internet que tengan una vulnerabilidad conocida y luego usarla. Un aspecto común es que estos ataques generalmente seguirán un enfoque de dos etapas. La primera parte es aprovechar una vulnerabilidad de algún tipo para obtener acceso a un sistema y luego usar ese acceso para inyectar y ejecutar el ransomware. En ciertos casos, no es necesario que exista una vulnerabilidad inicial, si se puede convencer a una persona de que abra un documento con las macros activadas, por ejemplo.

Estos ataques iniciales tienen el mismo aspecto, sin importar si el grupo que te ataca tiene como objetivo infectarte con ransomware o está intentando atacarte de alguna otra forma.

Si el ataque está dirigido contra una persona u organización en particular, la naturaleza específica de la infección inicial se ve ligeramente diferente, pero el concepto general es el mismo. Por ejemplo, en lugar de enviar correos electrónicos masivos, un atacante podría crear un documento que contenga información específica para su organización y elaborarlo de tal modo que sea posible engañarlo y convencerlo de abrirlo. En algunos casos, puede contener datos específicos sobre usted o su situación particular. En un caso que se hizo público hace unas semanas, alguien envió documentos de ataque a abogados y periodistas hindúes, alegando que habían sido acusados de un delito específico y fueron llamados a una audiencia. La información en el documento parecía válida, pero desde las sombras, el documento ejecutó un ataque contra las computadoras de estas personas.

Esta práctica de enviar correos electrónicos especialmente diseñados, se denomina habitualmente “spear phishing”. Un ataque dirigido también puede involucrar a los atacantes, quienes escanearan información pública, servicios y computadoras disponibles de una organización y luego comenzarán a investigar las posibles vulnerabilidades de seguridad. Si no pueden encontrar ninguna brecha visible, un grupo más avanzado podría incluso comenzar a desarrollar nuevos ataques o buscar vulnerabilidades desconocidas en el software que utiliza dicha organización.

Una vez que el ataque ha tenido éxito, el siguiente paso depende de si el objetivo del ransomware es toda la organización o computadoras individuales.

En el primer caso, el foco principal del software de ataque será la propagación. Dependiendo de cuán sofisticado es el software, puede utilizar el mismo tipo de método usado para realizar el ataque inicial: enviar correos electrónicos infectados, buscando archivos compartidos abiertos en la red (o similares) o puede usar otras vulnerabilidades para propagarse dentro de la organización. También buscará unidades conectadas, tanto unidades conectadas físicamente, como dispositivos USB, pero también conexiones a servidores de archivos de varios tipos. Es importante tener esto en cuenta, porque para que el ransomware funcione, es importante que destruya o cifre las copias de seguridad, así como los datos principales. En algunos casos, esto significa que el ransomware permanecerá inactivo durante un tiempo antes de iniciar sus ataques, sólo para asegurarse de que pueda extenderse a todos los lugares necesarios.

Los siguientes pasos

Ahora, supongamos que has sido infectado por ransomware. Tus computadoras están deshabilitadas Tu negocio está congelado. Todas las pantallas de computadora muestran el mismo mensaje, pidiéndote que envíes dinero a una dirección específica de bitcoin dentro de unos días. Has verificado las copias de seguridad: éstas estaban conectadas a las computadoras infectadas y todos los datos en ellas también están encriptados. Tú tenías datos confidenciales en esta red y es posible que los atacantes tengan esos datos y dichos datos son necesarios para que tu negocio funcione. ¿Qué puedes hacer?

Básicamente, sólo tienes dos posibilidades. O pagas o no pagas. Mientras tanto, también deberías investigar si hay debilidades en el ransomware con el que has sido infectado, lo que te permitiría recuperar los datos sin la clave. Es posible que también tengas copias de seguridad que hayas olvidado y que éstas no hayan sido infectadas.

Entonces, los primeros pasos deben ser asegurarse de que tu equipo técnico investigue inmediatamente todas estas posibilidades.

Mientras tanto, tendrás que analizar las posibilidades de lo que podría hacer el atacante. Lo que estos hagan dependerá de el tipo de atacante que sean. Pero, en general, hay cinco posibilidades, que no son excluyentes entre sí, pues más de una puede suceder:

• El atacante puede negarte el acceso a tus datos,
• El atacante puede darte la clave para recuperar los datos,
• El atacante puede filtrar los datos al público de alguna manera,
• El atacante puede pedir más dinero y
• El atacante puede vender los datos robados en foros privados.

Si el ransomware es del tipo más simple, en donde no se filtraron datos, dos de esas posibilidades desaparecen.

Una de las primeras cosas que debe investigarse es si el ransomware es un modelo conocido o no. Si lo es, por lo general, puedes averiguar si existe una clave o no, si existen debilidades o no. En esta etapa, es posible que descubras que tus datos ya se han ido. También puedes descubrir que la implementación del ransomware se realiza correctamente y que con una clave podrás recuperar tus datos.

Luego, tendrás que investigar al grupo que te ataca. Si el ataque está motivado por dinero, el escenario más probable es que el grupo de atacantes habrá firmado el ataque con su nombre. La razón de esto es simple: quieren que pagues. Pero para que tengas un incentivo para pagar, debes confiar en que recuperarás tus datos. Entonces, si el grupo tiene una reputación ganada por devolver los datos, eso significa que es más probable que pagues. Por otro lado, si el grupo es conocido por aceptar el pago pero no devolver la información, no tienes porqué pagar.

Básicamente, pagar en respuesta a un ataque de ransomware siempre será una posibilidad para recuperar tu información, sin embargo, no existen garantías. Si el ataque es perpetrado por un grupo conocido, eso mejora tus oportunidades. Si tu equipo de seguridad puede estar seguro de que los datos no se han exfiltrado, eso también mejora su situación. Pero siempre existe la posibilidad de que el atacante simplemente no respete las reglas del juego.

Un escenario profundamente problemático es cuando los datos han sido extraídos. En este caso, puedes pagar para recuperar tus datos, y el atacante te dará la clave para desbloquearlos. Pero como todavía tienen tu información en su poder, siempre les será posible venderla. En general, no filtrarán los datos públicamente, porque eso les causaría problemas de reputación cuando quieran que se les pague por otros ataques de ransomware. Pero de todas formas, los atacantes pueden vender los datos de forma privada y ganar más dinero con un riesgo muy bajo. Por esta razón, incluso si recuperas tus datos, tendrás que considar que los datos están comprometidos.

Si tu atacante es desconocido, o se trata de alguna de las otras posibilidades mencionadas en la primera parte de este artículo, tus posibilidades de recuperar los datos son extremadamente bajas. Es una cuestión de incentivos. Incluso si pagas, un atacante desconocido o un grupo patrocinado por el estado simplemente no tendrá motivaciones para devolver los datos.

En algunos casos, un atacante de ransomware también te dará una “prueba de descifrado”. La forma en que esto funciona es que se te permite solicitar la versión descifrada de unos pocos archivos. De esta forma, el atacante intenta demostrar que puede descifrar todos sus datos. Es un poco como la convención de “prueba de vida” en las películas de secuestros, en donde puedes hablar con la persona secuestrada. Excepto que, en el caso de los datos, el hecho de que algunos archivos se puedan descifrar no significa que suceda lo mismo con todos los demás.

Hay formas en que los atacantes de ransomware pueden crear sistemas más robustos para demostrar que tienen la capacidad para descifrar cualquier cosa, sin embargo, la dedicación invertida en hacerlo, en comparación con la frecuencia con que este tipo de ataques sucede contra grandes empresas, no hace que valga la pena el tiempo que tomaría hacerlo. Lo que esto significa es que este tipo de “prueba” realmente no prueba nada, especialmente si el atacante es el que le ofrece la opción de qué archivos descifrar.

A veces, un ataque de ransomware ocurrirá rápidamente, la demanda de pago será muy alta, y no tendrás mucho tiempo para hacerlo. En algunos casos, es posible negociar con los atacantes. Rara vez esto ha funcionado. Pero lo más probable es que el atacante se dé por vencido o aplique más presión. A veces, esta presión puede conllevar la filtración de algunos de tus datos. En otras situaciones, los atacantes aumentarán la cantidad de dinero que están pidiendo. El objetivo siempre seráá obligarte a tomar decisiones rápidamente.

Como mencionamos anteriormente, incluso si pagas para obtener las claves que desbloqueen tus datos, y tienes éxito, eso no significará que la situación haya acabado. Si el atacante robó tus datos, aún podría filtrarlos, incluso después de que hayas pagado. Los atacantes también podrían solicitar más pagos para no filtrar los datos, o también podrían no darte las claves y pedir más dinero de nuevo.

Ojalá pudiera dar buenos consejos sobre la elección que se debe tomar en estas situaciones, pero esto depende de demasiados factores. Esperamos que la discusión anterior te dé una idea de cómo pensar en estos problemas de manera adecuada. La parte más importante es pensar en los posibles incentivos y la razones desde una perspectiva de la “teoría de juegos”.

Las recomendaciones

Hemos hablado de lo que sucede una vez que te has infectado con ransomware, pero este es obviamente el peor de los escenarios. ¿Qué puedes hacer para protegerte antes de que esto suceda? Lamentablemente, estas recomendaciones serán muy similares a las que se haría para cualquier otro tipo de ataque informático.

• Asegúreate de que tus sistemas estén actualizados.
• Evita hacer clic en enlaces que no sean de confianza.
• No abras documentos en los que no estás seguro si puede confiar.
• Prefiere los formatos de documento simples, en lugar de los más complicados.
• Prefiera el texto simple, cuando sea posible.
• Ten un equipo de seguridad adecuado para tu organización, haciendo los debidos seguimientos.
• Implementa la defensa por capas.
• No asumas que se puede confiar en el interior de tu red.
• Implementa software de detección de intrusos, firewalls y demás medidas.
• Piensa en implementar un antivirus, comprendiendo que éstos vienen con sus propios problemas.

Cuando hablamos de ataques ocasionados específicamente por ransomware, es importante enfocarse en contar con copias de seguridad adecuadas. En general, querrás tener sistemas de respaldo que no estén conectados de manera continua a tus otros sistemas. Si puedes tener copias de seguridad que no se puedan sobreescribir, es decir, que sólo sea posible añadir nueva informacion sin modificar la ya existente, esto también te proporcionará una buena seguridad.

Incluso en el caso de personas particulares, es una buena idea de tener dos capas de copias de seguridad, en donde se realicen copias de seguridad frecuentes en un sistema y copias de seguridad menos frecuentes en otro. De esta manera, a menudo podrás evitar perder todos tus datos, incluso si algunos de ellos están comprometidos.

Lamentablemente, el mecanismo de protección más importante es estar alerta. Para las personas, esto implica tener cuidado con adjuntos y enlaces, además de asegurarse de aplicar las actualizaciones.

Para las organizaciones, un equipo de seguridad adecuado es la medida más importante. Y, por supuesto, si tienes un equipo de seguridad, también necesitarás tener un equipo de administración que escuche las recomendaciones del equipo de seguridad.

Conclusión

El ransomware es un tormento relativamente nuevo en Internet y es algo que probablemente nos seguirá acompañando durante mucho tiempo. Actualmente nos encontramos en tal estado de inseguridad, que los grupos de ransomware están ganando casi todas las batallas. Las cosas no tienen por qué ser así. Hay cosas que podemos hacer, pero requerirá un cambio de actitud.

El primer paso es simplemente comprender el problema y comenzar a trabajar en las soluciones. Como hemos visto, la situación no es tan complicada, pero la manera en que se responda a esta amenaza puede tener un impacto significativo en la probabilidades de ganar.

Hemos reiterado este punto muchas veces, pero vale la pena mencionarlo nuevamente. La seguridad es un proceso. Necesita inversión, tiempo y educación. Más de lo que se está invirtiendo actualmente. Para tener un verdadero impacto en la ola de ataques que suceden actualmente, necesitamos enfocarnos más en el tema y lograr una mejor comprensión del mismo.

Una cosa más que vale la pena mencionar es que muchos gobiernos y fuerzas del orden en todo el mundo recomiendan que nunca se pague para contrarrestar el ransomware. Su pensamiento es que, por el bien de la sociedad, es mejor para todos si nadie paga un rescate. Esto es completamente cierto para todos nosotros desde una mirada colectiva: si nadie paga el rescate, el modelo de negocio del ransomware desaparece. Pero, por supuesto, si eres infectado por este tipo de ataque y tienes la oportunidad de recuperar tus archivos, no pagar el rescate por el bien del resto de la sociedad, será una píldora difícil de tragar.

Este es un ejemplo clásico de lo que se denomina “Tragedia de los Comunes” - donde los incentivos individuales se oponen a los incentivos colectivos. Del modo en que nosotrxs vemos las cosas, la solución correcta no es que los gobiernos nos impidan pagar el rescate. En su lugar, la solución correcta será siempre mejorar la seguridad y los sistemas de copias de seguridad (respaldos) de modo que, un ataque de ransomware sea algo de lo que podamos recuperarnos fácilmente.

Si tu organización decide pagar y logra recuperar sus datos, recuerda que ahora es más probable ser atacado de nuevo. Por esta razón, una inversión renovada en protección y seguridad será absolutamente necesaria.

Referencias

• Tragedia de los bienes comunales
• Wikipedia - Ransomware
• Wikipedia - REvil
• About Ransomware - McAfee
• Ransomware - Wired
• Should you pay ransomware demands?
• Should you pay ransom?
• Pros and cons of paying ransomware