Los ataques Ransomware de cifrado serán la tendencia de este 2023

España ya es el cuarto país del mundo que más ciberataques sufre y el ataque Ransomware es uno de ciberataques más duros que se conocen hoy en día.

Este tipo de ataque cibernético es más conocido como ‘secuestro de datos'.  Un tipo de ataque ofensivo que restringe el acceso a determinadas partes o archivos del sistema operativo, infectándolo, y por ende se pide rescate a cambio de quitar las restricciones de acceso impuestas por el atacante.

Basados en la manera de afectar la funcionabilidad de su ordenador, la mayoría de los programas de Ransomware pertenecen a uno de estos dos tipos:

Ransomware de Bloqueo

Este ataque es conocido como Ransomware de bloqueo que compromete la utilidad de los equipos infectados, dificultando de manera directa la operatividad de la compañía. Para desbloquear los atacantes describen las instrucciones de liberación en el proceso de arranque del equipo. Informando a la víctima el cumplimiento de las exigencias del atacante.

Este tipo de Ransomware normalmente solo impide el acceso a la interfaz de su ordenador y no afecta sus archivos o el sistema, aunque puede ocurrir que en el proceso de restauración del equipo se vean comprometidos varios archivos. En el mejor de los casos, los archivos quedan intactos. Aunque rara vez llega a a producirse.

Ransomware de cifrado

Este tipo de ataque Ransomware es parcialmente más peligroso que el de Bloqueo. También es conocido como Ransomware de cifrado o Cripto Ransomware.

Este ataque consiste en que el software se integre dentro del sistema y equipos pudiendo sumergirse entre los archivos más valiosos del equipo, cifrandolos, haciendo que el equipo no los reconozca y por ende los deje fuera de control. Para desbloquear sus archivos será necesario que la víctima pague el rescate y obtenga la clave de desencriptación.

Los hackers suelen elegir victimas que no utilizan backups que les ayude a recuperar todo el contenido que alberga su equipo. Cuando este se encuentra en la tesitura de perder dichos archivos, los atacantes piden el rescate, ya que las victimas está dispuestas a pagarlo si no conocen de un posible intermediario que resuelva el conflicto.

Según el análisis que se hace sobre la primera etapa del curso de 2023 se podría decir que el Ransomware de cifrado está siendo el más protagonista hasta hoy, y si no hay cambio de rumbo a la vista todo apuntará a que este será un año marcado por la ofensiva de cifrado.

Otros Tipos de Ransomware

En los últimos años, han aparecido nuevos tipos de Ransomware más destructivos detectados hasta la fecha. Contienen diferentes nombres, pero en esencia son muy similares.

Los 5 ejemplos malware de Ransomware identificados para este 2023

Con la llegada del nuevo año se manifiestan de forma casi ininterrumpida y los ataques dibujan un panorama cada vez más desolador. Un panorama que empeora por la dificultad que supone no concienciarse acerca de la intervención de equipos especializados en el cuidado de la tecnología que se introduce a través de los equipos en las organizaciones.

Agent Tesla

Agent Tesla es un tipo de Malware activo desde 2014. Este programa es de tipo Remote Access Trojan (RAT). Un Virus troyano que se distribuye como un Malware-as-a-service (MaaS) a través de campañas de ataques a nivel global.

Este Malware desarrollado con framework es utilizado para espirar y robar información, recopilando hacia el atacante utilizando distintos métodos a través de código malicioso. Tiene la capacidad de extraer credenciales de distintos softwares, keylogging, sustracción de cookies de distintos navegadores y realizar tareas de portapapeles. En definitiva, es utilizado para espiar y robar información de equipos comprometidos.

Este malware utiliza capas de ofuscación, un empaquetador (packer) muy útil para poder evadir las soluciones de seguridad dificultando el proceso de detección y análisis del malware. Estos pueden implementar diferentes recursos para poder leer la información del equipo comprometido pudiendo comprobar si se trata de una máquina virtual o una sandbox, y en el hipotético caso de que así fuera, se evitaría su ejecución.

Agent Tesla se propaga por medio de envió de correos electrónicos de phishing que incluyen un archivo adjunto malicioso con el cual buscan engañar al usuario que recibe el correo para hacer que descargue y ejecute este contenido.

Se suelen utilizar adjuntos como archivos del paquete de office o archivos comprimidos ejecutables variables para evitar ser detectados por los controles de seguridad.

Lockbit (conocido como virus abcd)

LockBit comienza a principios de 2019 conocido como virus.abcd. Un apodo en relación con la extensión de los archivos que se cifraban para que fueran bloqueados. Este ataque fue dirigido a los principales gobiernos de países desarrollados del mundo (China, Estados Unidos, Reindo Unido, Alemania…)

Este malware funciona como Ransomware como servicio Ransomware as a Service (RaaS). Las partes interesadas en el beneficio por ejecutar la operación del ciberdelito dejan un depósito para usar los ataques personalizados que se contratan y reparten las ganancias entre los grupos de afiliación. Los pagos del rescate se dividen entre el equipo de desarrolladores de LockBit y los atacantes afiliados, que reciben hasta ¾ de los fondos del rescate percibido.

Conti

Estados Unidos lleva reocupandose de este tipo de ataque cifrado desde hace casi 3 años. Según han podido revelar los estadounidenses, este malware está asociado a un grupúsculo de la élite de la ciberdelincuencia prorrusa que ha ocasionado numerosos ataques con casos de éxito de gran impacto económico y social afectando a todas las versiones de Windows registradas hasta la fecha.

Este tipo de Ransomware se propaga por medio de troyanos y directamente a través de la red, por lo que los ciberdelincuentes necesitan mucha preparación para salir airosos de la acometida. Los ataques con Conti van especialmente dirigidos a compañías y organizaciones.

Cool

Cool es un tipo de programa impide a las víctimas acceder a los archivos cifrándolos. Además, añade la extensión “. cool" a los nombres de archivo (por ejemplo, cambia el nombre de "1.jpg" a "1.jpg.cool", "2.jpg" a "2.jpg.cool") y crea el archivo "_readme.txt", una nota de rescate. Cool forma parte de la familia de Ransomware Djvu.

Ryuk

Ryuk  Ransomware ha causado muchos daños entre los años 2018 y 2019. Este tipo de malware Dirigido específicamente a organizaciones de gran budget y a las que no se pueden dar el lujo de tener un negocio en inactividad. Este Ransomware utiliza algoritmos militares robustos como RSA4096 y AES-256. Una de las características más destacables de Ryuk es que puede deshabilitar la opción de hacer que el sistema se restaure por completo en computadoras infectadas del que contengan el sistema operativo de Windows. Esto supone que las víctimas reduzcan considerablemente sus oportunidades de recuperar sus datos. Las solicitudes de reembolso también fueron particularmente altas en correspondencia con la importancia de las víctimas. Los analistas consideran que el código fuente de Ryuk se deriva en gran medida de Hermes, un producto del grupo Lazarus de Corea del Norte. Por lo que interpretan que este puede ser el artífice de dicho malware.

En bullhost tenemos las herramientas que necesitas para que cualquier ataque se quede reducido a un simple susto.

Nuestro servicio Bullbackup te ayudará a proteger todo aquello que amenazaron con confiscar y eliminar.  Estas a tiempo de empezar a respirar con tranquilidad, sentirte bien cada vez que vas a trabajar sin tener temor a lo que suceda. Si, sin pensar en esos hipotéticos casos que visibilizan como arruinan el trabajo de tu vida. Que reine la calma. Estamos para ayudarte.  Disponemos del servicio con todas las garantías de darte una continuidad de negocio que aporta estabilidad y tranquilidad a tu negocio. Inmutabilidad plena de la mano de una verificación de restauración segura de copias, DCremoto, Disaster Recovery y Hot suite de operaciones.

Además, si sospechas de cualquier actividad inusual dentro de la compañía, como archivos desconocidos o actividad inusual podemos ayudarte. Una auditoria es siempre el punto de partida para prevenir los riesgos que afectan a los activos críticos de tu negocio.  Por ello te ofrecemos Auditorías de ciberseguridad gracias a nuestro servicio de Red Team. En él, recogemos varios tipos de diagnósticos:

• Auditorías externas
• Auditorías internas
• Auditorías Inalámbricas
• Auditorías de Tecnologías inalámbricas.
• Análisis de Red y sistemas.
• Análisis de sistemas Threat Intelligent

Este servicio ofrece un informe con información dedicada y accionable sobre las amenazas que afectan al sector al que pertenece la organización. Todo esto contiene información sobre los actores, las vulnerabilidades que aprovechan, las campañas que hay en la actualidad en ejecución, etc.… Todo acompañado con una serie de recomendaciones tácticas y técnicas para tomar una aproximación proactiva contra posibles futuros ataques

Hoy en día las herramientas que usan los cibercriminales para realizar ataques a las empresas son accesibles y baratas. Por ello, las organizaciones están viendo un crecimiento exponencial en los eventos de seguridad y un aumento en los ataques dirigidos. La llegada del trabajo en remoto y la proliferación de métodos de intercambio de información, hace que nos hayamos vuelto más complacientes con las prácticas seguras de ciberseguridad.

Con el servicio de Endpoint Seguro, queremos ofrecer la pila completa de componentes principales para ofrecer una defensa automatizada contra amenazas y un endurecimiento de los sistemas, protegiendo así, su continuidad y activos de negocio.

• Protección de endpoint y servidores.
• Gestión de la optimización unificada de la gestión de seguridad.
• Refuerzo de los sistemas e impulso de la productividad.
• Aumentar el rendimiento.
• Control granular para cada terminal.

En Bullhost trabajamos para ser parte de la continuidad de tu negocio. Si todavía necesitas aclaración de alguna solución pásate por nuestra web o llama al 946 94 13 77 y te lo contamos todo.