Tres razones por las que la amenaza del ransomware continuará

También puedes leer... Todo sobre Spectre y Meltdown SecOps a examen Los mitos de las Brechas de Seguridad La creación de un SOC Cómo utilizar la Dark Web

Aunque los ataques de ransomware a gran escala han sido el centro de atención en los últimos años, los hackers han estado usando ransomware desde 2005. Se trata de una amenaza que lleva en escena más de una década, y gracias a las muestras cada vez más sofisticadas que atacan a víctimas en casi todos los países, se ha convertido en una amenaza global. Pues bien, de acuerdo con Trend Micro, hay tres razones por las cuales esta amenaza seguirá siendo un problema en los próximos años:

Las amenazas continúan evolucionando

La mayoría de las muestras de ransomware están basadas en criptografía o basadas en locker. Aprovechan sofisticados algoritmos de cifrado para hacer que los archivos del sistema y los datos asociados sean inaccesibles para la víctima, siendo CryptoLocker es una de las muestras más conocidas de este tipo. Las muestras locker, por otro lado, bloquean el sistema operativo del dispositivo infectado, lo que significa que todos los archivos y datos, así como las aplicaciones y otras plataformas del sistema, se vuelven no disponibles. Los recientes ataques de Petya entran en esta categoría.

Además de las variantes de ransomware de encriptación y locker, los atacantes tienen varias opciones en lo que respecta a la técnica utilizada para la infección. Tradicionalmente, la mayoría de las infecciones se lanzan con un correo electrónico no deseado que incluye un enlace o archivo adjunto malicioso, lo que proporciona a los hackers la entrada al sistema, entregar el ransomware y bloquear el sistema. Los hackers también pueden utilizar vulnerabilidades de seguridad no parcheadas, o aprovechar una muestra autopropagada que comienza con la infección de una máquina y luego se propaga a todos los demás equipos conectados. Otras estrategias, como inyectar código malicioso en páginas web legítimas o redireccionar el tráfico a sitios fraudulentos, también han tenido éxito.

Debido a que los hackers tienen una variedad de muestras y técnicas de infección para elegir, las infecciones por ransomware no se detectan ni funcionan del mismo modo. Si bien una infección puede comenzar con un correo electrónico y hacer que se cifren todos los datos, otra puede provenir de un sitio web malicioso y terminar con todo el sistema operativo bloqueado. Esto hace que sea difícil para los usuarios protegerse de las amenazas, pero la protección no es imposible.

Es un negocio lucrativo para los hackers

El ransomware también les da a los hackers la capacidad de recibir las recompensas monetarias directamente. A diferencia de infectar a las víctimas, robar sus credenciales y usarlas para fraude o venderlas en un mercado clandestino, los ciberdelincuentes obtienen directamente dinero en efectivo de las víctimas.

Se trata de un gran negocio para los hackers que obtienen considerables beneficios. A pesar de los numerosos casos en que las víctimas pagan el rescate solo para darse cuenta de que su sistema o archivos todavía están bloqueados, o peor aún, de que los hackers exigen un segundo rescate, las empresas y los usuarios individuales siguen pagando Bitcoins para detener los ataques. Ya en 2016 la cifra recaudada mediante este tipo de ataques se elevó a 1.000 millones de dólares, según datos del FBI.

La mala noticia es que, a medida que las víctimas siguen pagando rescates, los hackers se vuelven más seguros y exigen más. CyberScoop señala que, en 2016, el rescate medio superó los 1.000 dólares, un 266% más en comparación con 2015. Algunos rescates son considerablemente más altos, dependiendo de la víctima: una universidad de California pagó un rescate de 28.000 dólares por la devolución de sus archivos y datos, y un centro médico pagó 17.000 dólares por una clave de descifrado. Así que, mientras el ransomware genere ganancias, los hackers continuarán usándolo como una estrategia principal de ataque.

No hay escasez de objetivos

El ransomware sigue siendo popular debido a la gran cantidad de objetivos que pueden estar infectados. Desde usuarios individuales hasta grandes empresas, han sido atacados, y las infecciones pequeñas o expansivas no se detendrán a corto plazo.

"El éxito actual de las campañas de ransomware impulsará a los ciberdelincuentes que buscan obtener ganancias generosas al dirigirse a las poblaciones que produzcan el mayor retorno posible", apunta el informe Predicciones de Seguridad 2018 de Trend Micro. "Los atacantes continuarán confiando en las campañas de phishing en las que correos electrónicos con ransomware se entregan en masa para garantizar un porcentaje de usuarios afectados. También optarán por una inversión mayor al apuntar a una sola organización, posiblemente en un entorno de Internet de las Cosas Tndustrial (IIoT), con un ataque de ransomware que interrumpirá las operaciones y afectará la línea de producción".

Asimismo, hay ciertos sectores más propensos a las infecciones de ransomware que otros debido a la criticidad de sus datos y su dependencia en las operaciones diarias. Estos incluyen los proveedores de servicios de salud, las agencias gubernamentales, las instituciones educativas y las firmas legales.

Por otra parte, a medida que más consumidores aprovechen los dispositivos móviles para el trabajo y las actividades personales, y se almacenen datos más confidenciales en los sistemas móviles, esta será una vía popular de ataque. Trend Micro descubrió 234.000 aplicaciones de ransomware móvil solo en la primera mitad de 2017.