Los ataques de ransomware han tenido un peso muy importante en los ataques cibernéticos durante 2017. Podríamos decir que ha sido una gran amenaza tanto para usuarios como para empresas. Han sido muchos los casos que hemos podido leer durante estos últimos 12 meses. Miles y miles de usuarios se han visto afectados por uno de los tipos de malware más peligrosos. En este artículo vamos a hacer un recorrido por los 5 ataques de ransomware más importantes de este año.

Ataques de ransomware

Como sabemos, un ransomware es un tipo de malware que secuestra los equipos de la víctima. El ciberdelincuente cifra los archivos y carpetas de un usuario y pide un rescate a cambio de liberarlos.

Cerber

Cerber es uno de los más poderosos dentro de los ransomware. También es una de las amenazas de malware que más ha crecido. De hecho, Microsoft detectó más ordenadores corporativos infectados con Cerber que cualquier otra familia de ransomware durante la temporada de vacaciones 2016-17.

Los ciberdelincuentes han equipado a Cerber con nuevas tácticas y técnicas desde entonces. Malwarebytes observó una de esas modificaciones en agosto de 2017 con respecto a una campaña que comienza con Magnitude Exploit Kit. Tras la explotación con éxito de una vulnerabilidad codificada, Magnitude carga una variante de Cerber que usa relleno binario para aumentar artificialmente su tamaño y de ese modo eludir las restricciones de escaneo impuestas por la mayoría del software de seguridad.

Locky

Desde su descubrimiento en febrero de 2016, Locky y sus variantes en constante multiplicación se han basado en botnets de spam como Necurs para su distribución. El crypto-ransomware se apagó a principios de 2017. Sin embargo, resurgió en agosto con una de sus campañas más importantes: 23 millones de mensajes de spam enviados durante un período de 24 horas.

Detectado por AppRiver, la operación envió correos electrónicos que contenían líneas de asunto como “imágenes” y “documentos” que contenían una solicitud para “descargarlo aquí”. Los correos electrónicos vienen con un archivo adjunto ZIP que contiene un archivo de Visual Basic Script (VBS). Este archivo, a su vez, utiliza Locky.

Badrabbit

A finales de octubre, Kaspersky Lab reveló que había recibido “notificaciones de alertas masivas” de un nuevo ransomware dirigido a organizaciones ucranianas y rusas. Algunas de las víctimas incluyeron los medios de comunicación rusos Fontanka.ru e Interfax, así como el sistema de metro de Kiev y un aeropuerto en Odessa. Los investigadores de ESET creen que el ransomware también alcanzó objetivos en Polonia, Corea del Sur y Estados Unidos.

Los investigadores de Kaspersky finalmente identificaron la amenaza como BadRabbit. A diferencia de WannaCry y NotPetya, BadRabbit no explotó una vulnerabilidad de Microsoft para su distribución. En su lugar, utilizó los ataques drive-by para entregar el ransomware a cuentagotas, una operación de menor escala que exigía 0,5 bitcoins en rescate de solo cientos de víctimas.

NotPetya

Las noticias de NotPetya salieron por primera vez el 27 de junio cuando los distribuidores de energía en Ucrania y Holanda confirmaron ataques de piratería informática que afectaron sus sistemas. Poco después, el gobierno de Ucrania, las oficinas de multinacionales en España y el grupo publicitario británico WPP confirmaron incidentes similares. Los investigadores rastrearon rápidamente los ataques a Petya, una forma de ransomware que cifra el Master Boot Record. También observaron cómo esas variantes más recientes estaban abusando de la misma vulnerabilidad de EternalBlue explotada por WannaCry para su distribución.

Una investigación más a fondo por parte de Kaspersky Lab, sin embargo, reveló que Petya no estaba realmente involucrada en la campaña mundial. El malware responsable pidió prestados grandes trozos de código de Petya, pero se comportó como un “limpiador” en el sentido de que no ofrecía a los usuarios ninguna forma de recuperar los datos afectados. Por esa razón, Kaspersky llamó a la amenaza “NotPetya”.

Wannacry

El 12 de mayo de 2017, una versión actualizada de ransomware WCry/WannaCry llamada “WanaCrypt0r 2.0” atacó hospitales pertenecientes al Servicio Nacional de Salud (NHS) del Reino Unido, el proveedor de servicios de Internet Telefónica y otros objetivos de alto perfil en todo el mundo. Cada víctima posteriormente recibió una nota exigiendo dólares en Bitcoin como rescate. Sin embargo, al igual que con otras variantes, satisfacer la demanda de los atacantes de WannaCry no garantizaba que una víctima recibiera una clave de descifrado para sus archivos afectados.

Más tarde, los investigadores determinaron que WannaCry explotó EternalBlue. Se trata de una vulnerabilidad que Microsoft parcheó en un boletín de seguridad en marzo de 2017. Se cree que los ciberdelincuentes incorporaron EternalBlue al mecanismo de distribución de WannaCry después de que una banda de criminales conocidos como Shadow Brokers filtrara EternalBlue y otro código de explotación robado del colectivo de piratas informáticos de Equation Group en la web. En total, WannaCry afectó a más de 300.000 organizaciones en todo el mundo.

Estos han sido los ataques de ransomware más importantes en este año 2017. Sin embargo, por desgracia, han ocurrido muchos más. Lo mejor para protegerse es utilizar el sentido común. La mayoría de las ocasiones el usuario necesita de interactuar para que el daño se produzca.