El caso VNDirect y ¿qué hace que el ransomware sea peligroso?
El 24 de marzo de 2024, la empresa vietnamita VNDirect Securities se convirtió en el último objetivo de los ataques internacionales de ransomware. Este ataque no es un caso aislado.
El ransomware, un tipo de software malicioso diseñado para cifrar los datos del sistema de la víctima y exigir un rescate para descifrarlos, se ha convertido en una de las amenazas a la ciberseguridad más extendidas y peligrosas del mundo actual. La creciente dependencia de los datos digitales y las tecnologías de la información en todos los ámbitos de la vida social hace que tanto organizaciones como particulares sean vulnerables a estos ataques.
El peligro del ransomware reside no solo en su capacidad para cifrar datos, sino también en su forma de propagación y en la exigencia de rescates, creando un canal de transacciones financieras a través del cual los ciberdelincuentes obtienen ganancias ilícitas. La sofisticación e imprevisibilidad de los ataques de ransomware los convierten en uno de los mayores desafíos que enfrenta la ciberseguridad en la actualidad.
El ataque de VNDirect nos recuerda crudamente la importancia de comprender y prevenir el ransomware. Solo comprendiendo cómo funciona y la amenaza que representa podremos implementar medidas de protección eficaces, desde la formación de usuarios y la aplicación de soluciones técnicas hasta el desarrollo de una estrategia integral de prevención para proteger los datos y sistemas de información críticos.
Cómo funciona el ransomware
El ransomware, una amenaza aterradora en el mundo de la ciberseguridad, opera de forma sofisticada y multifacética, causando graves consecuencias a las víctimas. Para comprender mejor cómo funciona el ransomware, debemos analizar cada paso del proceso de ataque.
Infección
El ataque comienza cuando un ransomware infecta un sistema. Existen varias formas comunes en que el ransomware puede infiltrarse en el sistema de una víctima, entre ellas:
Correos electrónicos de phishing: correos electrónicos falsos con archivos adjuntos maliciosos o enlaces a sitios web que contienen código malicioso; Explotación de vulnerabilidades de seguridad: aprovechar las vulnerabilidades en software sin parches para instalar automáticamente ransomware sin interacción del usuario; Malvertising: uso de anuncios de Internet para distribuir malware; Descargas de sitios web maliciosos: los usuarios descargan software o contenido de sitios web que no son confiables.
Cifrado
Una vez infectado, el ransomware comienza a cifrar los datos del sistema de la víctima. El cifrado consiste en convertir los datos a un formato ilegible sin la clave de descifrado. El ransomware suele utilizar algoritmos de cifrado robustos, lo que garantiza que los datos cifrados no se puedan recuperar sin la clave específica.
Exigencia de rescate
Tras cifrar los datos, el ransomware muestra un mensaje en la pantalla de la víctima exigiendo un rescate para descifrarlos. Este mensaje suele contener instrucciones sobre cómo pagar (generalmente con bitcoin u otras criptomonedas para ocultar la identidad del delincuente), así como una fecha límite de pago. Algunas versiones de ransomware también amenazan con eliminar los datos o publicarlos si no se paga el rescate.
Transacciones y descifrado (o no)
La víctima se enfrenta entonces a una difícil decisión: pagar el rescate y esperar recuperar sus datos, o negarse y perderlos para siempre. Sin embargo, pagar no garantiza que los datos se descifren. De hecho, puede alentar a los delincuentes a continuar con sus actividades.
La forma en que opera el ransomware no solo demuestra sofisticación técnica, sino también una triste realidad: la disposición a explotar la credulidad e ignorancia de los usuarios. Esto subraya la importancia de aumentar la concienciación y el conocimiento sobre ciberseguridad, desde reconocer correos electrónicos de phishing hasta mantener un software de seguridad actualizado. Ante una amenaza en constante evolución como el ransomware, la educación y la prevención son más importantes que nunca.
Variantes comunes de ransomware
En el mundo de las amenazas de ransomware, en constante evolución, algunas variantes destacan por su sofisticación, capacidad de propagación y el grave impacto que tienen en organizaciones de todo el mundo. A continuación, se describen siete variantes populares y su funcionamiento.
REvil (también conocido como Sodinokibi)
Características: REvil es una variante de Ransomware como Servicio (RaaS), que permite a los ciberdelincuentes «alquilarlo» para llevar a cabo sus propios ataques. Esto aumenta significativamente la capacidad de propagación del ransomware y el número de víctimas.
Métodos de propagación: Distribución mediante vulnerabilidades de seguridad, correos electrónicos de phishing y herramientas de ataque remoto. REvil también utiliza métodos de ataque para cifrar o robar datos automáticamente.
Ryuk
Características: Ryuk se centra principalmente en grandes organizaciones para maximizar los pagos de rescate. Tiene la capacidad de personalizarse para cada ataque, lo que dificulta su detección y eliminación.
Método de propagación: Ryuk se propaga y cifra los datos de la red mediante correos electrónicos de phishing y redes infectadas con otro malware, como Trickbot y Emotet.
Robin Hood
Características: Robinhood es conocido por su capacidad para atacar sistemas gubernamentales y grandes organizaciones, utilizando una sofisticada táctica de cifrado para bloquear archivos y exigir grandes rescates.
Método de propagación: Se difunde mediante campañas de phishing y explotando vulnerabilidades de seguridad en el software.
Doble Pago
Características: DoppelPaymer es una variante de ransomware independiente con la capacidad de causar graves daños al cifrar datos y amenazar con divulgar información si no se paga un rescate.
Método de propagación: Se propaga mediante herramientas de ataque remoto y correos electrónicos de phishing, dirigidos especialmente a vulnerabilidades en software sin parches.
SERPIENTE (también conocida como EKANS)
Características: SNAKE está diseñado para atacar sistemas de control industrial (ICS). No solo cifra los datos, sino que también puede interrumpir los procesos industriales.
Método de propagación: Mediante campañas de phishing y explotación de vulnerabilidades, con especial énfasis en atacar sistemas industriales específicos.
Fobos
Características: Phobos comparte muchas similitudes con Dharma, otra variante de ransomware, y se utiliza a menudo para atacar a pequeñas empresas a través de RDP (Protocolo de Escritorio Remoto).
Método de propagación: Principalmente a través de RDP expuesto o vulnerable, lo que permite a los atacantes acceder de forma remota e implementar ransomware.
LockBit
LockBit es otra variante popular de ransomware que opera bajo el modelo de Ransomware como Servicio (RaaS) y es conocida por sus ataques a empresas y organizaciones gubernamentales. LockBit lleva a cabo sus ataques en tres etapas principales: explotación de vulnerabilidades, penetración profunda en el sistema y despliegue del código de cifrado.
Fase 1 - Explotación: LockBit explota las vulnerabilidades de la red utilizando técnicas como la ingeniería social, por ejemplo, mediante correos electrónicos de phishing, o ataques de fuerza bruta a servidores de intranet y sistemas de red.
Fase 2 - Infiltración: Después de la infiltración, LockBit utiliza una herramienta de "post-explotación" para aumentar su nivel de acceso y preparar el sistema para el ataque de cifrado.
Fase 3 - Despliegue: LockBit despliega la carga útil cifrada en todos los dispositivos accesibles de la red, cifrando todos los archivos del sistema y dejando una nota de rescate.
LockBit también utiliza diversas herramientas gratuitas y de código abierto en su proceso de intrusión, desde escáneres de red hasta software de administración remota, para realizar reconocimiento de red, acceso remoto, robo de credenciales y exfiltración de datos. En algunos casos, LockBit incluso amenaza con divulgar los datos personales de la víctima si no se cumplen las exigencias de rescate.
Por su complejidad y capacidad de propagación, LockBit representa una de las mayores amenazas en el panorama actual del ransomware. Las organizaciones deben adoptar un conjunto integral de medidas de seguridad para protegerse de este ransomware y sus variantes.
Dao Trung Thanh
Lección 2: Del ataque VNDirect a la estrategia antiransomware
Fuente
![[Foto] El secretario general To Lam recibe al presidente del Senado de la República Checa, Milos Vystrcil.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F11%2F21%2F1763723946294_ndo_br_1-8401-jpg.webp&w=3840&q=75)
![[Foto] El presidente Luong Cuong recibe al presidente de la Asamblea Nacional de Corea, Woo Won Shik](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F11%2F21%2F1763720046458_ndo_br_1-jpg.webp&w=3840&q=75)
![[Foto] Visita Hung Yen para admirar la pagoda, una "obra maestra de madera", en el corazón del Delta del Norte.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F11%2F21%2F1763716446000_a1-bnd-8471-1769-jpg.webp&w=3840&q=75)
Kommentar (0)