Scribd
Cargar
54 vistas5 páginas

Historia y Evolución del Ransomware

Cibernético

Cargado por

4gnhbjydnb
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
54 vistas5 páginas

Historia y Evolución del Ransomware

Cibernético

Cargado por

4gnhbjydnb
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

El primer caso de ransomware se produjo en 1989, a través de un disquete y exigía el pago de

189 dólares. Una de las primeras víctimas fue Eddy Willems, un trabajador de una compañía
de seguros de Bélgica. Willems insertó un disquete en el ordenador esperando encontrar una
investigación sobre el SIDA, que supuestamente procedía de la OMS. Sin embargo, al insertar
el disquete, lo que apareció fue el primer ransomware, conocido como PC Cibor o AIDS. Este
ciberataque se le atribuye al doctor Joseph Popp, biólogo de profesión y uno de los
investigadores sobre el SIDA en ese momento. Al parecer, el Dr. Popp habría enviado por correo
postal 20.000 disquetes infectados a los asistentes a una conferencia internacional sobre SIDA.
Según explicó a las autoridades, su propósito era donar lo recaudado a la investigación contra
el SIDA.

¿Qué es el Ransomware?

El ransomware es un tipo de software malicioso utilizado por ciberdelincuentes para retener


datos por un precio de rescate establecido, exigiendo el pago para recuperar los archivos. Por
lo general, el software funciona mediante la encriptación de los datos y solo ofrece la clave de
desencriptación una vez que se ha realizado el rescate. Desde su descubrimiento, el
ransomware ha sido un arma cibernética que crece y evoluciona rápidamente, infectando tanto
a usuarios individuales como a empresas. Durante la primera mitad de 2022, Statista informa
que hubo un total de 236.1 millones de ataques de ransomware en todo el mundo.

¿Cómo funciona un ataque de ransomware?

El ransomware suele disfrazarse como un archivo legítimo y engaña a los usuarios para que lo
descarguen o lo abran, lo que permite al software malicioso acceder a la red objetivo. Una vez
que el ransomware entra, cifra y ataca en secreto archivos en segundo plano mientras altera
las credenciales al mismo tiempo, todo ello mientras los usuarios no tienen idea de que está
ocurriendo algo. Después de que toda la red esté infectada, los datos se mantienen como
rehenes y el usuario recibe una notificación con un conjunto de instrucciones y un monto de
rescate del atacante. A pesar de tener variantes diversificadas, un ataque de ransomware no
es un evento único, sino una serie de actividades cuidadosamente planificadas. Los ataques se
dividen en 7 fases distintas, que Sangfor detalla minuciosamente aquí.

Los ataques de ransomware dejan daños duraderos y graves a su paso, por lo que es
importante que tanto las empresas como los individuos se protejan. Por eso es crucial armarse
con conocimiento sobre cómo exactamente evolucionó el ransomware hasta convertirse en lo
que es hoy.

El Primer Ransomware

Cada villano tiene una historia de origen, y el ransomware no es diferente. En 1989, Joseph
Popp era un destacado biólogo que distribuyó 20,000 disquetes de ransomware a sus colegas
investigadores del SIDA. Según CNN,los disquetes se enviaron por correo a los asistentes a la
conferencia sobre el SIDA de la Organización Mundial de la Salud en Estocolmo y
supuestamente contenían un cuestionario informático que el Dr. Popp dijo que ayudaría a
determinar el riesgo de contraer el SIDA en los pacientes.

Sin embargo, el investigador formado en Harvard infectó cada disquete con malware que luego
se conoció como el primer "SIDA digital". El malware se envió a alrededor de 90 países
diferentes y permaneció inactivo hasta que la computadora se encendió 90 veces, momento en
el que apareció una nota de rescate en la pantalla exigiendo US$189 enviados en un sobre a
un apartado de correos en Panamá.

Naturalmente, este ciberataque fue rudimentario en el mejor de los casos, pero allanó el camino
para la evolución del ransomware en la sofisticada amenaza que es hoy en día.

Dos Tipos de Ransomware

El ransomware suele distinguirse en 2 categorías. El primer tipo se conoce como "scareware" y


se basa en la falta de familiaridad del usuario con las computadoras o el software. Este malware
se dirige inmediatamente al usuario con códigos de error y advertencias del sistema para
asustarlo y hacer que haga clic en enlaces sospechosos por temor a dañar su equipo. El
malware obtiene los detalles financieros solicitando un pago simple para hacer desaparecer las
alertas.

El segundo y más conocido tipo de ransomware es el "crypto-ransomware" o "cryptoware". Este


tipo de malware toma ideas del disquete de Dr. Popp y utiliza la encriptación para hacer que los
archivos sean inaccesibles sin una clave criptográfica específica que solo se puede obtener
después de pagar un rescate. A diferencia del arsenal de Popp, la mayoría de los ataques de
cryptoware modernos solicitan el pago en forma de bitcoin, lo que hace que sea mucho más
difícil rastrear que una dirección postal.

Etapas de un ataque de ransomware

Etapa 1: acceso inicial


Los vectores de acceso más comunes para los ataques de ransomware siguen siendo el
phishing y el aprovechamiento de vulnerabilidades.

Etapa 2: posaprovechamiento
Dependiendo del vector de acceso inicial, esta segunda etapa puede requerir el uso de una
herramienta de acceso remoto intermediario (RAT) o malware antes de establecer el acceso
interactivo.

Etapa 3: comprensión y ampliación


Durante esta tercera etapa del ataque, los atacantes se centran en comprender el sistema local
y el dominio al que tienen acceso actualmente y en obtener acceso a otros sistemas y dominios
(llamado movimiento lateral).

Etapa 4: recopilación y exfiltración de datos


Aquí los operadores de ransomware cambian su enfoque para identificar datos valiosos
y robarlos, generalmente descargando o exportando una copia para ellos mismos.
Etapa 5: despliegue y envío de la nota
El ransomware criptográfico comienza a identificar y cifrar archivos. Algunas versiones de
ransomware criptográfico también deshabilitan las funciones de restauración del sistema o
eliminan o cifran los respaldos en el equipo o la red de la víctima para aumentar la presión de
pagar la clave de descifrado. El ransomware sin cifrado bloquea la pantalla del dispositivo,
inunda el dispositivo con ventanas emergentes o evita que la víctima use el dispositivo.
Una vez cifrados los archivos o deshabilitado el dispositivo, el ransomware alerta a la víctima
de la infección, a menudo a través de un archivo .txt en el escritorio de la computadora o a
través de una notificación emergente. La nota de rescate contiene instrucciones sobre cómo
pagar el rescate, generalmente en criptomonedas o un método no posible de rastrear similar, a
cambio de una clave de descifrado o restauración de operaciones estándar.

¿A quién afecta?
El ransomware es devastador para una empresa porque causa daños en los datos críticos.
Durante un ataque, el ransomware analiza los archivos importantes, los cifra con un cifrado de
alta seguridad que no se puede deshacer y paraliza a una organización más rápido que otras
aplicaciones maliciosas.

¿Cómo comienza una amenaza de ransomware?

La mayoría de los ataques de ransomware comienzan con un email malicioso. El email


normalmente contiene un enlace a un sitio web controlado por el atacante en el que el usuario
descarga el malware. También podría contener un archivo adjunto malicioso con un código que
descargue el ransomware después de que el usuario abra el archivo.

Los atacantes normalmente utilizan documentos de Microsoft Office como archivos adjuntos.
¿Cuánto estaría dispuesto a pagar una empresa?

Un estudio de IBM señaló que una cuarta parte de los ejecutivos de negocios estarían
dispuestos a pagar entre 20 mil y 50 mil dólares para recuperar el acceso a los datos cifrados.
No obstante, en la actualidad hay casos en los que se ha pagado más de esta cantidad.

¿Cuánto dura un ransomware?

El tiempo de inactividad promedio después de un ataque de ransomware es de 24 días. Si paga


el rescate, puede tomar varios días adicionales recibir la clave de descifrado e invertir el cifrado.

¿Cuáles han sido los ataques más grandes a empresas?

Target en 2013 por ($ 292 millones)

Home Depot en 2014 ($ 298 millones)

Equifax en 2017 ($ 1.7 mil millones)

Marriott en 2018 ($ 114 millones)

CNA Financial USA en 2021 ($ 40 millones de dólares).

También podría gustarte