Para este momento la mayoría de personas ya han escuchado el término ransomware: un tipo de programa malicioso que, al infectar un equipo cifra la información del mismo, bloqueando su acceso y pidiendo un rescate sobre la misma.
En muchos casos, esta extorsión se acompaña de la amenaza de eliminar los datos permanentemente si el pago no se realiza. Esta amenaza ya es considerada seria y peligrosa, pero como suele suceder con las tecnologías maliciosas, esta ha ido evolucionando con el tiempo. Ahora es momento de enterarnos de cómo ha sido esta evolución y cuáles son los nuevos desafíos que esta trae consigo.
El ransomware actual y sus consecuencias
Como mencionamos, el ransomware es una amenaza ya conocida, dado que ha protagonizado varios de los mayores ciberataques de los últimos años, estos han sucedido alrededor de todo el mundo y han impactado diferentes sectores de la economíıa, algunos de estos ataques fueron:
CryptoLocker: Detectado por primera vez en 2013, infectaba sistemas por medio de correos electrónicos de phishing con archivos adjuntos maliciosos, consiguió infectar más de 34.000 equipos y causó pérdidas de más de 27 millones de dólares.
Petya: Un ransomware descubierto en el 2016 y que en el 2017 fue responsable de un ciberataque que comenzó en Ucrania y se esparció a múltiples países de Europa llegando hasta Estados Unidos y teniendo costos de más de 400 millones de dólares nada más en Ucrania
WannaCry: Uno de los más conocidos debido al enorme impacto que llegó a tener, en mayo de 2017 comenzó a infectar computadores aprovechándose de los sistemas obsoletos que estos tenían, llegó a ser una epidemia global infectando más de 230.000 equipos a nivel mundial y provocando perdidas alrededor de los 4.000 millones de dólares.
¿Qué es el Ransomware 3.0?
El Ransomware 3.0 representa una evolución estratégica de este tipo de amenazas. A diferencia de las generaciones anteriores, donde el principal objetivo era cifrar los dispositivos de las víctimas para exigir un rescate, este nueva versión del ataque tiene como principal objetivo el acceder y manipular información sensible, esto lo hacen de tal manera que no solo roban datos confidenciales, sino que adicionalmente reemplazan estos datos por falsa información antes de cifrar el archivo.
Esto provoca que el impacto de cada ataque sea mayor incluso si se paga el rescate. Por otra parte, el rescate que piden los delincuentes también se ve modificado en esta nueva versión del ataque, de tal forma que en vez de pedir pago en criptomonedas, el rescate solicitado es información clasificada, llevando a mayores brechas de seguridad.
La siguiente imagen ilustra el paso a paso de c´omo se realiza la infección por un Ransomware 3.0
¿Cómo protegerse?
Luego de ver el peligro que representa esta amenaza, surge la pregunta: ¿cómo nos podemos proteger? El ransomware 3.0 presenta muchos de los mismos comportamientos que su contraparte más clásica, incluyendo el proceso de cifrado masivo de archivos en el sistema, esto permite que ciertas técnicas de detección de ransomware tradicional puedan detectar hasta cierto nivel estas nuevas amenazas. Algunas de las más conocidas son:
EldeRan: Genera un entorno aislado para realizar análisis estáticos y dinámicos de aplicaciones, esto lo hace buscando identificar patrones de comportamiento que sean propios de un ransomware los cuales difieren fuertemente de los comportamientos de programas benignos.
RansomWall: Diseñado para detectar ataques de ransomware en tiempo real, teniendo 5 capas de pruebas, una capa de análisis estático, una capa usada como trampa para el ransomware, una capa de análisis dinámico, una capa que realiza backup de los archivos y una capa de machine learning para detectar comportamientos irregulares.
RansHunt: Detecta características relevantes de un ataque de ransomware para intentar identificarlo y detenerlo, fue construido con base en el comportamiento de 21 familias de ransomware.
Estos métodos, aunque son eficaces y altamente usados, aún carecen de formas de detectar comportamientos específicos del Ransomware 3.0, lo cual puede provocar que, incluso si se detecta un ataque de este tipo, sea después de grandes brechas de seguridad.
Para enfrentarse a esta nueva amenaza específica, se ha propuesto una contramedida que se enfoca en analizar el comportamiento usual de la información sensible, específicamente en cómo esta información viaja a través del sistema, de tal forma que los comportamientos anómalos puedan ser detectados.
Una vez se sospecha de un ataque de este tipo, se realiza un proceso para insertar ruido aleatorio entre la información sensible, de manera que sea imposible para un atacante identificar la información real. Es importante recordar que estas medidas, aunque prometedoras, aún no han sido probadas de manera extensiva, y no sabemos hasta qué punto pueden proteger contra todas las variantes de estos ataques, siendo más bien un buen punto de partida para construir sistemas más seguros.
Conclusión
El ransomware es una amenaza con la que llevamos conviviendo durante muchos años; sin embargo, esta nueva versión, conocida como Ransomware 3.0, es significativamente más peligrosa, ya que identifica los datos más sensibles para robarlos, reemplazarlos y, finalmente, cifrarlos.
Aunque ya se ha desarrollado una contramedida, es importante continuar investigando para comprender a fondo cualquier posible variante de esta amenaza y, de esta forma, garantizar sistemas más seguros y confiables.
Fuentes
[1] Ahmed, Mohiuddin & Rashid, Bazlur & Pathan, Al-Sakib. (2023). Ransomware 3.0—A Weapon for Next-Generation Information Warfare. 10.1007/978-981-99-2229-133.
Si deseas tener siempre a la mano el artículo escrito por Miguel Muñoz, te invitamos a descargarlo, compartirlo y comentarnos qué opinas al respecto.
Comments