VietNamNet presenta un artículo del Sr. Dao Trung Thanh, experto en ciberseguridad y subdirector del Instituto Blockchain e IA, para comprender mejor el ciberataque a VNDirect Securities Company y los peligros del ransomware.
El ransomware, un tipo de malware que cifra los datos del sistema de la víctima y exige un rescate para descifrarlos, se ha convertido en una de las amenazas de ciberseguridad más peligrosas del mundo . Foto: zephyr_p/Fotolia

El caso VNDirect y ¿qué hace que el ransomware sea peligroso?

El 24 de marzo de 2024, la empresa VNDirect Securities de Vietnam se convirtió en el foco más reciente de ataques internacionales de ransomware. Este ataque no es un caso aislado.

El ransomware, un tipo de software malicioso diseñado para cifrar datos en el sistema de la víctima y exigir un rescate para descifrarlos, se ha convertido en una de las amenazas de ciberseguridad más extendidas y peligrosas del mundo actual. La creciente dependencia de los datos digitales y las tecnologías de la información en todos los ámbitos de la vida social hace que las organizaciones y las personas sean vulnerables a estos ataques.

El peligro del ransomware no solo reside en su capacidad para cifrar datos, sino también en su forma de propagarse y exigir rescates, creando un canal de transacciones financieras a través del cual los hackers pueden obtener ganancias ilegales. La sofisticación e imprevisibilidad de los ataques de ransomware los convierten en uno de los mayores desafíos que enfrenta la ciberseguridad hoy en día.

El ataque a VNDirect es un claro recordatorio de la importancia de comprender y prevenir el ransomware. Solo comprendiendo cómo funciona el ransomware y la amenaza que representa podemos implementar medidas de protección eficaces, desde la formación de los usuarios y la implementación de soluciones técnicas hasta el desarrollo de una estrategia integral de prevención para proteger los datos y sistemas de información críticos.

Cómo funciona el ransomware

El ransomware, una amenaza aterradora en el mundo de la ciberseguridad, opera de forma sofisticada y multifacética, causando graves consecuencias para las víctimas. Para comprender mejor cómo funciona el ransomware, es necesario profundizar en cada paso del proceso de ataque.

Infección

El ataque comienza cuando el ransomware infecta un sistema. Existen varias maneras comunes en que el ransomware puede infiltrarse en el sistema de la víctima, entre ellas:

Correos electrónicos de phishing: correos electrónicos falsos que contienen archivos adjuntos maliciosos o enlaces a sitios web que contienen código malicioso; Explotación de vulnerabilidades de seguridad: aprovechar las vulnerabilidades en software sin parches para instalar automáticamente ransomware sin interacción del usuario; Malvertising: uso de anuncios en Internet para distribuir malware; Descargas de sitios web maliciosos: los usuarios descargan software o contenido de sitios web que no son confiables.

Cifrado

Una vez infectado, el ransomware inicia el proceso de cifrado de datos en el sistema de la víctima. El cifrado consiste en convertir los datos a un formato inaccesible sin la clave de descifrado. El ransomware suele utilizar algoritmos de cifrado robustos, lo que garantiza que los datos cifrados no se puedan recuperar sin la clave específica.

Demanda de rescate

Tras cifrar los datos, el ransomware muestra un mensaje en la pantalla de la víctima exigiendo un rescate para descifrarlos. El mensaje suele contener instrucciones sobre cómo pagar (generalmente con bitcoin u otras criptomonedas para ocultar la identidad del delincuente), así como una fecha límite de pago. Algunas versiones de ransomware también amenazan con eliminar los datos o hacerlos públicos si no se paga el rescate.

Transacciones y descifrado (o no)

La víctima se enfrenta entonces a una difícil decisión: pagar el rescate y esperar recuperar sus datos, o negarse y perderlos para siempre. Sin embargo, pagar no garantiza que los datos se descifren. De hecho, puede animar a los delincuentes a continuar con sus acciones.

La forma en que opera el ransomware no solo demuestra sofisticación técnica, sino también una triste realidad: la predisposición a explotar la credulidad y la ignorancia de los usuarios. Esto subraya la importancia de aumentar la concienciación y el conocimiento sobre ciberseguridad, desde reconocer correos electrónicos de phishing hasta mantener el software de seguridad actualizado. Ante una amenaza en constante evolución como el ransomware, la educación y la prevención son más importantes que nunca.

Variantes comunes de ransomware

En el mundo de las amenazas de ransomware, algunas variantes destacan por su sofisticación, capacidad de propagación e impacto en organizaciones de todo el mundo. A continuación, se describen siete variantes comunes y su funcionamiento.

REvil (también conocido como Sodinokibi)

Características: REvil es una variante de Ransomware como Servicio (RaaS), que permite a los ciberdelincuentes alquilarlo para ejecutar sus propios ataques. Esto aumenta significativamente la capacidad de propagación del ransomware y el número de víctimas.

Métodos de propagación: Distribución mediante exploits, correos electrónicos de phishing y herramientas de ataque remoto. REvil también utiliza métodos de ataque para cifrar o robar datos automáticamente.

Ryuk

Características: Ryuk ataca principalmente a grandes organizaciones para maximizar el rescate. Tiene la capacidad de personalizarse para cada ataque, lo que dificulta su detección y eliminación.

Método de propagación: A través de correos electrónicos de phishing y redes infectadas con otro malware, como Trickbot y Emotet, Ryuk propaga y cifra datos de la red.

Robin Hood

Características: Robinhood es conocido por su capacidad de atacar sistemas gubernamentales y grandes organizaciones, utilizando una sofisticada táctica de cifrado para bloquear archivos y exigir grandes rescates.

Método de propagación: Se propaga mediante campañas de phishing y explotando vulnerabilidades de seguridad en el software.

DoublePaymer

Características: DoppelPaymer es una variante de ransomware independiente con la capacidad de causar daños graves al cifrar datos y amenazar con divulgar información si no se paga un rescate.

Método de propagación: se propaga a través de herramientas de ataque remoto y correos electrónicos de phishing, especialmente dirigidos a vulnerabilidades en software sin parches.

SERPIENTE (también conocida como EKANS)

Características: SNAKE está diseñado para atacar sistemas de control industrial (ICS). No solo cifra datos, sino que también puede interrumpir procesos industriales.

Método de propagación: A través de campañas de phishing y exploits, con énfasis en sistemas industriales específicos.

Fobos

Características: Phobos comparte muchas similitudes con Dharma, otra variante de ransomware, y a menudo se utiliza para atacar pequeñas empresas a través de RDP (Protocolo de escritorio remoto).

Método de propagación: principalmente a través de RDP expuesto o vulnerable, lo que permite a los atacantes obtener acceso remoto e implementar ransomware.

Bit de bloqueo

LockBit es otra variante popular de ransomware que opera bajo el modelo de Ransomware como Servicio (RaaS) y es conocida por sus ataques a empresas y organizaciones gubernamentales. LockBit ejecuta sus ataques en tres etapas principales: explotación de vulnerabilidades, penetración profunda en el sistema y despliegue de la carga útil de cifrado.

Fase 1 – Explotación: LockBit explota vulnerabilidades en la red utilizando técnicas como ingeniería social, como a través de correos electrónicos de phishing, o ataques de fuerza bruta en servidores de intranet y sistemas de red.

Fase 2 – Infiltración: después de la infiltración, LockBit utiliza una herramienta de "post-explotación" para aumentar su nivel de acceso y preparar el sistema para el ataque de cifrado.

Fase 3 - Implementación: LockBit implementa la carga útil cifrada en cada dispositivo accesible en la red, cifrando todos los archivos del sistema y dejando una nota de rescate.

LockBit también utiliza diversas herramientas gratuitas y de código abierto en su proceso de intrusión, desde escáneres de red hasta software de gestión remota, para realizar tareas de reconocimiento de red, acceso remoto, robo de credenciales y exfiltración de datos. En algunos casos, LockBit también amenaza con liberar los datos personales de las víctimas si no se cumplen las exigencias de rescate.

Dada su complejidad y capacidad de propagación, LockBit representa una de las mayores amenazas en el mundo moderno del ransomware. Las organizaciones necesitan implementar un conjunto integral de medidas de seguridad para protegerse de este ransomware y sus variantes.

Dao Trung Thanh

Parte 2: Del ataque VNDirect a la estrategia antiransomware