VietNamNet presenta un artículo del Sr. Dao Trung Thanh, experto en ciberseguridad y subdirector del Instituto Blockchain e IA, para comprender mejor el ciberataque a VNDirect Securities Company y los peligros del ransomware.
El ransomware, un tipo de malware que cifra datos en el sistema de la víctima y exige un rescate para descifrarlos, se ha convertido en una de las amenazas de ciberseguridad más peligrosas del mundo actual. Foto: zephyr_p/Fotolia

El caso VNDirect y ¿qué hace que el ransomware sea peligroso?

El 24 de marzo de 2024, la empresa VNDirect Securities de Vietnam se convirtió en el último foco de ataques internacionales de ransomware. Este ataque no es un caso aislado.

El ransomware, un tipo de malware diseñado para cifrar datos en el sistema de la víctima y exigir un rescate para descifrarlos, se ha convertido en una de las amenazas de ciberseguridad más extendidas y peligrosas en el mundo actual. La creciente dependencia de los datos digitales y de la tecnología de la información en todas las áreas de la vida social hace que las organizaciones y los individuos sean vulnerables a estos ataques.

El peligro del ransomware no radica sólo en su capacidad para cifrar datos, sino también en la forma en que se propaga y exige rescate, creando un canal de transacciones financieras a través del cual los piratas informáticos pueden obtener ganancias ilegales. La sofisticación e imprevisibilidad de los ataques de ransomware los convierten en uno de los mayores desafíos que enfrenta la ciberseguridad hoy en día.

El ataque a VNDirect es un claro recordatorio de la importancia de comprender y protegerse contra el ransomware. Solo comprendiendo cómo funciona el ransomware y las amenazas que plantea podemos establecer medidas de protección efectivas, desde educar a los usuarios, aplicar soluciones técnicas hasta construir una estrategia de prevención integral para proteger datos críticos y sistemas de información.

Cómo funciona el ransomware

El ransomware, una amenaza aterradora en el mundo de la ciberseguridad, opera de manera sofisticada y diversa, causando graves consecuencias para las víctimas. Para comprender mejor cómo funciona el ransomware, debemos profundizar en cada paso del proceso de ataque.

Infección

El ataque comienza cuando el ransomware infecta el sistema. Existen varias formas comunes que utiliza el ransomware para infiltrarse en el sistema de una víctima, entre ellas:

Correos electrónicos de phishing: correos electrónicos falsos con archivos adjuntos maliciosos o enlaces a sitios web que contienen código malicioso; Explotación de vulnerabilidades de seguridad: aprovechar las vulnerabilidades en software sin parches para instalar automáticamente ransomware sin interacción del usuario; Malvertising: uso de publicidad en Internet para distribuir código malicioso; Descargas de sitios web maliciosos: los usuarios descargan software o contenido de sitios web que no son confiables.

Encriptación

Una vez infectado, el ransomware comienza el proceso de cifrado de datos en el sistema de la víctima. El cifrado es el proceso de convertir datos a un formato que no se puede leer sin la clave de descifrado. El ransomware a menudo utiliza algoritmos de cifrado fuertes, lo que garantiza que los datos cifrados no se puedan recuperar sin una clave específica.

Demanda de rescate

Después de cifrar los datos, el ransomware muestra un mensaje en la pantalla de la víctima, exigiendo un rescate para descifrar los datos. El aviso generalmente contiene instrucciones sobre cómo pagar (generalmente mediante Bitcoin u otras criptomonedas para ocultar la identidad del delincuente), así como una fecha límite de pago. Algunas versiones de ransomware también amenazan con eliminar datos o publicarlos si no se paga un rescate.

Transacciones y descifrado (o no)

La víctima se enfrenta entonces a una difícil decisión: pagar el rescate y esperar recuperar los datos o negarse y perderlos para siempre. Sin embargo, pagar no garantiza que los datos serán descifrados. De hecho, esto puede incluso animar a los criminales a continuar con sus acciones.

La forma en que funciona el ransomware no sólo muestra sofisticación técnica, sino que también refleja una triste realidad: la voluntad de explotar la credulidad y la ignorancia de los usuarios. Esto resalta la importancia de aumentar la conciencia y el conocimiento sobre la ciberseguridad, desde reconocer correos electrónicos de phishing hasta mantener el software de seguridad actualizado. Frente a una amenaza en constante evolución como el ransomware, la educación y la prevención son más importantes que nunca.

Variantes comunes de ransomware

En el mundo de las amenazas de ransomware, algunas variantes se destacan por su complejidad, capacidad de propagación e impacto severo en organizaciones a nivel mundial. A continuación se muestra una descripción de siete variaciones comunes y cómo funcionan.

REvil (también conocido como Sodinokibi)

Características: REvil es una variante de Ransomware-as-a-Service (RaaS), que permite a los ciberdelincuentes "alquilarlo" para llevar a cabo sus propios ataques. Esto aumenta significativamente la propagación y el número de víctimas de este ransomware.

Método de propagación: distribución a través de vulnerabilidades de seguridad, correos electrónicos de phishing y herramientas de ataque remoto. REvil también utiliza métodos de ataque para cifrar o robar datos automáticamente.

Ryuk

Características: Ryuk apunta principalmente a grandes organizaciones para maximizar el rescate. Tiene la capacidad de personalizarse para cada ataque, lo que hace que sea difícil de detectar y eliminar.

Método de propagación: A través de correos electrónicos de phishing y redes infectadas con otro malware, como Trickbot y Emotet, Ryuk propaga y cifra datos de la red.

Robin Hood

Características: Robinhood es conocido por su capacidad de atacar sistemas gubernamentales y grandes organizaciones, utilizando una sofisticada táctica de cifrado para bloquear archivos y exigir grandes rescates.

Método de propagación: Se propaga a través de campañas de phishing y explotando vulnerabilidades de seguridad en el software.

Doble Pagador

Características: DoppelPaymer es una variante de ransomware independiente con la capacidad de causar daños graves al cifrar datos y amenazar con divulgar información si no se paga un rescate.

Método de propagación: se propaga a través de herramientas de ataque remoto y correos electrónicos de phishing, especialmente dirigidos a vulnerabilidades en software sin parches.

SERPIENTE (también conocida como EKANS)

Características: SNAKE está diseñado para atacar sistemas de control industrial (ICS). No sólo cifra datos, sino que también puede alterar procesos industriales.

Método de propagación: Mediante campañas de phishing y exploits, con énfasis en sistemas industriales específicos.

Fobos

Características: Phobos comparte muchas similitudes con Dharma, otra variante de ransomware, y a menudo se utiliza para atacar pequeñas empresas a través de RDP (Protocolo de escritorio remoto).

Método de propagación: principalmente a través de RDP expuesto o vulnerable, lo que permite a los atacantes obtener acceso remoto e implementar ransomware.

Bloqueo de bits

LockBit es otra variante popular de ransomware, que opera bajo el modelo Ransomware-as-a-Service (RaaS), y es conocido por sus ataques a empresas y organizaciones gubernamentales. LockBit lleva a cabo sus ataques en tres etapas principales: explotación de vulnerabilidades, penetración profunda en el sistema y despliegue de cargas útiles cifradas.

Fase 1 – Explotación: LockBit explota vulnerabilidades en la red utilizando técnicas como ingeniería social, como a través de correos electrónicos de phishing, o ataques de fuerza bruta a servidores de intranet y sistemas de red.

Fase 2 – Infiltración: después de la infiltración, LockBit utiliza una herramienta de “post-explotación” para aumentar su nivel de acceso y preparar el sistema para el ataque de cifrado.

Fase 3 – Implementación: LockBit implementa la carga útil cifrada en todos los dispositivos accesibles en la red, cifrando todos los archivos del sistema y dejando una nota de rescate.

LockBit también utiliza una serie de herramientas gratuitas y de código abierto durante el proceso de intrusión, desde escáneres de red hasta software de gestión remota, para realizar reconocimiento de red, acceso remoto, robo de credenciales y exfiltración de datos. En algunos casos, LockBit también amenaza con revelar los datos personales de las víctimas si no se cumplen las demandas de rescate.

Con su complejidad y alcance generalizado, LockBit representa una de las mayores amenazas en el mundo moderno del ransomware. Las organizaciones necesitan adoptar un conjunto integral de medidas de seguridad para protegerse de este ransomware y otras variantes.

El Dao Trung Thanh

Parte 2: Del ataque VNDirect a la estrategia antiransomware