Tipos de ransomware y su ciclo de vida
A estas alturas, ¿Quién no ha oído hablar del ransomware, la forma de malware más lucrativa para el crimen organizado?
Tipos de ransomware
Según datos recientes de Cloudwards:
- El ransomware costó al mundo 20.000 millones de dólares en 2021. Se espera que esa cifra aumente a 265.000 millones de dólares en 2031.
- En 2021, el 37% de las empresas y organizaciones fueron afectadas por el ransomware.
- Recuperarse de un ataque de ransomware costó a las empresas 1,85 millones de dólares de media en 2021.
- De todas las víctimas de ransomware, el 32% paga el rescate, pero solo recupera el 65% de sus datos.
- Solo el 57% de las empresas consiguen recuperar sus datos utilizando una copia de seguridad.
El ransomware alcanza estas cifras de negocio sorprendentes a través de cuatro tipos de acciones:
- Bloqueo: desde cambiar el PIN de tu dispositivo móvil y bloquear su pantalla, a cambiar las credenciales para acceder a tu ordenador. Este tipo de ransomware no utiliza cifrado. Pide rescate por devolverte el acceso a tu dispositivo “secuestrado”.
- Cifrado: este ransomware utiliza un algoritmo de cifrado más o menos sofisticado para cifrar total o parcialmente el contenido de todos o de una parte de los archivos de tu dispositivo. El cifrado puede producirse en dispositivos cliente o en servidores, donde causa obviamente un daño muchísimo mayor. Pide rescate por proporcionar la clave o claves de descifrado de los archivos “secuestrados”.
- Borrado: este ransomware ordena al sistema operativo de tu dispositivo que borre uno o varios archivos, pudiendo incluso afectar a máquinas virtuales en entornos cloud. El borrado de un archivo no implica que el archivo haya sido cifrado o robado.
- Robo: el ransomware realiza copias de activos sensibles y extorsiona mediante la amenaza de divulgación si no se paga un rescate. En particular, robar no implica borrar, ni cifrar.
La mejor estrategia para evitar caer en las garras del ransomware es la prevención y la disciplina férrea con las copias de seguridad.
Todas estas acciones pueden dirigirse contra distintos tipos de activos, tales como: Archivos, memoria, carpetas, registros de bases de datos, MFT (Master File Table), MBR (Master Boot Record), Cloud, CMS (Content Management System) y la propia pantalla para el caso del bloqueo.
La siguiente figura ilustra las cinco fases de un ataque de ransomware:
En cuanto a la última fase, negociación del rescate, no es una opción recomendada para las víctimas de ataques de ransomware, porque no tienes garantía de que el criminal cumpla su promesa (¡¡¡es un criminal!!!) y hasta le incitas a seguir extorsionándote en el futuro. No, pagar mantiene vivo el negocio del ransomware. Lo más recomendable es contactar con la autoridad competente en materia de ciberseguridad y/o con las fuerzas del orden para recibir ayuda en la gestión de este tipo de incidentes. En España, un buen punto de comienzo es INCIBE.
Y no olvides que la mejor estrategia para evitar caer en las garras del ransomware es la prevención y la disciplina férrea con las copias de seguridad.
