Los ataques de cifrado remoto son una forma de ciberataque que consiste en cifrar los datos de un dispositivo o sistema sin el consentimiento del usuario, y luego exigir un rescate para devolver el acceso. Estos ataques se han vuelto más frecuentes y sofisticados en los últimos años, aprovechando las vulnerabilidades de los sistemas operativos, las aplicaciones, las redes y los protocolos de comunicación.
Uno de los ejemplos más recientes y alarmantes de este tipo de ataques es el que sufrió la empresa de software Kaseya, que proporciona soluciones de gestión de TI a miles de clientes en todo el mundo. El pasado 2 de diciembre, un grupo de hackers llamado REvil logró infiltrarse en el sistema de Kaseya y utilizar su software para distribuir un malware de cifrado remoto a más de 1.500 organizaciones, entre las que se encontraban escuelas, hospitales, bancos y agencias gubernamentales. Los atacantes pidieron un rescate de 70 millones de dólares en bitcoins para liberar los datos afectados.
Este ataque pone de manifiesto la gravedad y el alcance de los ataques de cifrado remoto, que pueden causar graves daños económicos y sociales, así como poner en riesgo la seguridad y la privacidad de los usuarios. Por eso, es importante conocer cómo funcionan estos ataques y qué medidas se pueden tomar para prevenirlos o mitigarlos.
Te podrá interesar leer: REvil Ransomware: Entendiendo esta Amenaza
El Surgimiento en 2023
Los grupos de ransomware están empleando cada vez más el cifrado remoto en sus ataques, lo que representa una nueva escalada en las estrategias adoptadas por actores con motivación financiera para asegurar el éxito de sus operaciones.
"Las empresas pueden tener miles de computadoras conectadas a su red, y con el ransomware remoto, todo lo que se necesita es un dispositivo desprotegido para comprometer toda la red", señaló un experto en seguridad.
"Los atacantes son conscientes de esta vulnerabilidad, y la mayoría de las empresas tienen al menos uno. El cifrado remoto continuará siendo un desafío constante para quienes defienden la seguridad". El cifrado remoto, también conocido como ransomware remoto, ocurre cuando se utiliza un dispositivo comprometido para cifrar los datos en otros dispositivos de la misma red.
En octubre de 2023, se informó que aproximadamente el 60 % de los ataques de ransomware ahora involucran cifrado remoto malicioso como parte de su estrategia para minimizar la detección, y que más del 80 % de todos los ataques se originan en dispositivos no gestionados.
"Varias familias de ransomware, como Akira, ALPHV/BlackCat, BlackMatter, LockBit y Royal, han adoptado esta técnica, que ha existido durante un tiempo. En 2013, CryptoLocker ya apuntaba a los recursos compartidos de red", se mencionó.
Una ventaja significativa de esta táctica es que dificulta que las medidas de remediación basadas en procesos sean efectivas, ya que las máquinas administradas no pueden detectar la actividad maliciosa, dado que solo se presenta en dispositivos no gestionados.
Este desarrollo se produce en un contexto de cambios más amplios en el panorama del ransomware, en el que los actores de amenazas están utilizando lenguajes de programación poco convencionales, dirigiéndose más allá de los sistemas Windows, subastando datos robados y realizando ataques en momentos fuera del horario comercial y los fines de semana para eludir los esfuerzos de detección y respuesta a incidentes.
Recientemente, en un informe publicado, se destacó la "relación simbiótica, pero a menudo incómoda", entre las bandas de ransomware y los medios de comunicación, como una forma no solo de atraer la atención, sino también de controlar la narrativa y cuestionar lo que consideran una cobertura inexacta.
Esto también se extiende a la publicación de preguntas frecuentes y comunicados de prensa en sitios de filtración de datos, incluso incluyendo citas directas de los operadores, y la corrección de errores cometidos por los periodistas. Otra táctica consiste en el uso de nombres llamativos y gráficos ingeniosos, lo que indica una evolución en la profesionalización del cibercrimen.
Te podrá interesar leer: Evolución del Cibercrimen: Unión de las 5 Familias Hacker
¿Qué medidas se pueden tomar para protegerse de los ataques de cifrado remoto?
Los ataques de cifrado remoto son difíciles de detener una vez que se han iniciado, por lo que la mejor forma de protegerse es prevenirlos. Para ello, se recomienda seguir una serie de buenas prácticas, como por ejemplo:
- Mantener el sistema operativo, las aplicaciones y el software actualizados, para evitar que tengan vulnerabilidades o fallos de seguridad que puedan ser aprovechados por el ransomware.
- Instalar y activar un antivirus y un firewall, que puedan detectar y bloquear el ransomware antes de que se ejecute o se propague.
- Evitar abrir o descargar correos electrónicos, mensajes de texto, enlaces o archivos adjuntos sospechosos o de origen desconocido, que puedan contener el ransomware.
- Verificar la autenticidad y la seguridad de las páginas web, las descargas y las actualizaciones, para asegurarse de que no son falsas o maliciosas.
- Utilizar contraseñas fuertes y únicas, y activar la verificación en dos pasos, para dificultar el acceso no autorizado al dispositivo o sistema.
- Conectar el dispositivo o sistema solo a redes seguras y de confianza, y evitar el uso de redes públicas o abiertas, que puedan ser interceptadas o manipuladas por el ransomware.
- Realizar copias de seguridad periódicas de los datos importantes, en dispositivos externos o en la nube, y desconectarlos después de cada copia, para evitar que el ransomware los cifre o los borre.
- En caso de sufrir un ataque de cifrado remoto, no pagar el rescate, ya que no hay garantía de que los atacantes devuelvan la clave o no vuelvan a atacar. Lo mejor es desconectar el dispositivo o sistema de la red, para evitar que el ransomware se propague, y contactar con un experto en seguridad informática, que pueda ayudar a eliminar el ransomware y a recuperar los datos.
Podría interesarte leer: Evita el Pago de Ransomware: Riesgos del Rescate
Los ataques de cifrado remoto son una amenaza real y creciente, que puede afectar a cualquier usuario, dispositivo o sistema. Por eso, es importante estar informado y preparado, y seguir las medidas de prevención y protección adecuadas. Así, se podrá evitar o minimizar el impacto de estos ataques, y garantizar la seguridad y la privacidad de los datos.