Cinco años después de WannaCry: así han evolucionado los ataques de ransomware

  • Actualidad

Wannacry

Cinco años después de WannaCry, el primer gran ataque de ransomware, los ciberataques de este tipo han experimentado un aumento interanual del 14% a nivel mundial. Desde entonces, también han evolucionado, tanto en sus técnicas como objetivos. Repasamos las principales tendencias de ataque y qué hacer en un momento en el que todas las empresas son un objetivo.

Más de 300.000 equipos informáticos, en más de 150 países, se vieron afectados el 12 de mayo de 2017 por el ciberataque de ransomware más mediático de la historia. En 2017, WannaCry fue el primero de su tipo: un ataque global, patrocinado por un Estado y multivectorial. A pesar de ello, la demanda inicial de extorsión fue de solo 300 dólares.

Aunque WannaCry no fue pionero en términos de rentabilidad, sí lo fue en cuanto a marcar el inicio del uso político del ransomware. En los últimos cinco años, en los que este tipo de ataques han aumentado interanualmente un 14% a nivel mundial, sus operaciones han pasado de los correos electrónicos aleatorios a los negocios multimillonarios, como NotPetya, REvil, Conti y DarkSide, que llevan a cabo ataques específicos y sofisticados que afectan a empresas de todos los sectores. La demanda de rescate a la que se enfrentó Kaseya en 2021 fue, según se informa, de 70 millones de dólares.

No solo se han incrementado los precios de rescate, sino también también la forma de los ataques. En este sentido, Check Point destaca que las modalidades de trabajo remoto e híbrido, junto con la adopción acelerada de la nube, han abierto nuevas oportunidades para que los atacantes exploten. Su sofisticación es cada vez mayor, con nuevas tendencias como el Ransomware-as-a-Service o la doble e incluso triple extorsión. Los ciberdelincuentes amenazan con publicar información privada para la doble extorsión y exigen un rescate no solo a la propia organización infectada, sino a sus clientes, socios y proveedores en el formato de triple extorsión.

También están a la orden del día los ataques a Gobiernos e infraestructuras críticas. Hace unos días se produjeron dos incidencias de este ataque en Costa Rica y Perú, ambos supuestamente ejecutados por el infame grupo de ransomware Conti. Ambas amenazas llevaron al gobierno de Costa Rica a declarar el estado de emergencia el 6 de mayo y a estimar unas pérdidas de 200 millones de dólares al paralizar las aduanas y los organismos gubernamentales, e incluso provocaron la pérdida de electricidad en una de sus ciudades debido al impacto de un proveedor principal de energía. En los últimos años, otro de los ataques a infraestructuras críticas más sonados fue el que afectó a Colonial Pipeline.

Todas las empresas son objetivo
Aunque los gobiernos y las grandes corporaciones suelen ocupar los titulares, los actores del ransomware son “indiscriminados y se dirigen a empresas de todos los tamaños y sectores”, explica la firma de seguridad, que ha creado con motivo del quinto aniversario de WannaCry un hub de ransomware con informes, blogs, webinars, podcasts, vídeos y estadísticas en directo en torno a los ataques de ransomware y su impacto. Para protegerse, los equipos de TI deben dar prioridad a la prevención. Tienen que estar atentos a cualquier indicio de troyano en sus redes, actualizar regularmente su software antivirus, parchear proactivamente las vulnerabilidades pertinentes del RDP (Protocolo de Escritorio Remoto) y utilizar la autenticación de dos factores.

Además, deben desplegar soluciones antiransomware específicas que supervisen constantemente sus comportamientos propios e identifiquen el cifrado ilegítimo de archivos, de modo que se pueda prevenir y poner en cuarentena una infección antes de que se consolide. Con estas protecciones, las empresas pueden estar mejor preparadas para cuando sean atacadas, ya que en el clima actual es una cuestión de cuándo sucederá, y no de si pasará.