Ransomware: ejemplos y tendencias en 2022

El ransomware es malware que encripta los archivos en la PC de la víctima y luego solicita el pago del rescate. La inyección de ransomware es una de las formas más peligrosas de ataques cibernéticos.

Quizás le interese echar un vistazo a nuestras otras herramientas antivirus:
Trojan Killer, Trojan Scanner.

¿Qué es el ransomware? Ejemplos y tendencias de ransomware en 2022 | Gridinsoft

¿Qué es el ransomware?

November 08, 2022

Es probable que sea la peor pesadilla descubrir que los archivos en su PC están encriptados. Estaba revisando su buzón y haciendo clic en los archivos adjuntos para ver qué contenían. El extraño archivo, que no tenía nada más que ofrecer habilitar macros, no parecía sospechoso. Pero de repente, menos de 15 minutos después de abrir ese documento, ve que todos los archivos en su PC tienen extensiones extrañas, y al menos un archivo readme.txt está dentro de cada carpeta. ¿Como paso?

La definición abreviada de ransomware está oculta en su nombre, al igual que en muchos otros virus. El "software de rescate" es un programa que se inyecta en su computadora, cifra sus archivos y luego le pide que pague el rescate para recuperar sus archivos. Algunos ejemplos de ransomware pueden amenazar a sus víctimas con eliminar sus archivos o publicar algunos datos confidenciales si no paga el rescate. Si bien el primer peligro es una mentira al 100 %, la segunda tesis puede ser real, ya que el ransomware a menudo se propaga con spyware o ladrones.

Varios ejemplos de ransomware usan diferentes métodos de encriptación. En la mayoría de los casos, se utilizan los principios de cifrado AES-256 y RSA-1024, pero a veces puede cumplir con los estándares utilizando RSA-2048. El número al final significa principalmente el grado que necesita traer dos para obtener la cantidad de llaves posibles. Incluso en el caso de AES-256, el número de claves es un número de 78 dígitos. ¿Puedes usar la fuerza bruta? Tal vez, si tienes 2 millones de años libres. O un PC cuántico con un rendimiento mucho mejor que los existentes actualmente. ~ Equipo de Gridinsoft

Para cada víctima, el ransomware genera una clave en línea única. Esa clave se almacena en el servidor mantenido por los ciberdelincuentes. Si el virus no puede conectarse a ese servidor, cifra los archivos con la clave fuera de línea, que se almacena localmente en la máquina cifrada. La cantidad de claves fuera de línea es limitada. Por lo tanto, tiene una clave de descifrado en común con varias otras víctimas.

Desafortunadamente, no existe una garantía del 100 % de recuperar sus archivos. Si tiene suerte y el ransomware usa la clave sin conexión, puede descifrar sus datos mucho más rápido. No obstante, la obtención de claves es bastante larga y es posible que tengas que esperar varias semanas. La aplicación de descifrado, que se supone que se usa para descifrar archivos, recibirá la actualización con la clave que más le convenga tan pronto como los analistas la encuentren.

Las claves en línea son mucho más difíciles de resolver. Dado que cada clave es única, puede esperar meses. Es probable que los distribuidores de ransomware sean atrapados y obligados a descubrir todas las claves que tienen en los servidores. Otro caso en el que todas las claves se hacen públicas es cuando los creadores de ransomware deciden cerrar su actividad maliciosa. Tal situación fue solo una vez: en 2018, cuando los desarrolladores de GandCrab afirmaron que ganaron 2 mil millones de dólares y suspendieron su actividad.

Etapas de ataque de ransomware

La mayoría de los analistas definen las seis etapas principales de un ataque de ransomware. Pueden ocurrir durante un solo día o dentro de un mes. Sin embargo, el orden, así como el sentido de estos pasos, siempre es el mismo.

Compromiso. A veces también se le llama inyección inicial. En ese momento, los atacantes inyectan el malware en la red (o en el dispositivo si se trata de un ataque contra el usuario individual). El compromiso generalmente se realiza a través de infracciones de RDP, spam de correo electrónico o uso de software sin licencia.

Infección. En esta etapa, los delincuentes usan la presencia inicial en la red que obtuvieron para inyectar la carga maliciosa. Rara vez usan descargas directas; es fácil de detectar y prevenir con soluciones de seguridad. Es por eso que la descarga de malware generalmente explota los errores de Windows y el software de la aplicación. Sin embargo, incluso puede preferir la descarga directa cuando golpea una red desprotegida o un único usuario.

Escalamiento. Todo el malware se ejecuta con privilegios de administrador. Esta propiedad permite disminuir el riesgo de malware al usar la cuenta con privilegios de usuario. Sin embargo, incluso en ese caso, los ciberdelincuentes pueden encontrar una forma de pasar. La mayoría de las etapas de escalada en las redes corporativas se realizan a través de la explotación de vulnerabilidades, particularmente aquellas que escalan privilegios.

Escanear. Ese paso supone escanear la(s) máquina(s) infectada(s) para detectar todos los archivos que el ransomware puede cifrar. Por lo general, el ransomware toma los formatos de datos más confidenciales, los que pertenecen a archivos, imágenes y música de MS Office. Sin embargo, algunos actúan de manera diferente y cifran todo lo que alcanzan, a pesar de los archivos que pueden dañar la funcionalidad de los programas.

Cifrar. El cifrado puede tardar minutos u horas, según la cantidad de archivos en las máquinas atacadas y la calidad del software de cifrado. El grupo LockBit, por ejemplo, es conocido por tener el cifrado más rápido: solo lleva 5 minutos cifrar 100 GB de datos.

Pay Day. Cuando finaliza el cifrado, el malware notifica a la víctima sobre el ataque. Por lo general, genera un archivo de nota de rescate en el escritorio y en cada carpeta con archivos cifrados. Opcionalmente, también puede cambiar el fondo de escritorio a la nota de rescate. En los casos más extremos (como el ransomware Petya), el malware infectará el cargador de arranque y le mostrará el banner de la nota de rescate cuando presione el botón de encendido en lugar de cargar el sistema operativo.

Etapas del ataque de ransomware
Ataque de ransomware Etapas

Tipos de ransomware

Actualmente existen varios tipos de ransomware. Todos los usuarios de la comunidad de ciberseguridad están acostumbrados al tipo de ransomware llamado crypto. Ese es precisamente el virus sobre el que puede leer más arriba. Otro tipo de ransomware estaba activo mucho antes, antes de 2014. Se llamaba locker ransomware. Como puede entender por su nombre, este virus estaba bloqueando su sistema, pidiendo un rescate para desbloquear el escritorio. Déjame mostrarte la diferencia crítica entre el casillero y el ransomware criptográfico:

Locker ransomware:


  • Bloquea tu escritorio;
  • Cubre el escritorio con una pancarta con una nota de rescate;
  • Modifica las claves de registro que son responsables del trabajo del Explorador de Windows;
  • Suspende el proceso explorer.exe;
  • Bloquea la mayoría de las combinaciones del sistema (Ctrl+Alt+Del, Ctrl+Shift+Esc);
  • Algunas versiones pueden infectar el BIOS, haciendo imposible cargar el sistema;
  • A veces, se puede eliminar fácilmente después de manipulaciones complicadas con las funciones del sistema;
  • Pedirle que pague un rescate como recarga de número de teléfono móvil, así como a través del sistema de pago en línea (PayPal, WebMoney, Qiwi, etc.);

Crypto ransomware:


  • Cifra los archivos de las extensiones más populares (.docx, .png, .jpeg, .gif, .xslx) y les agrega su extensión específica;
  • Cambia las claves de registro que son responsables de la creación de redes y programas de inicio;
  • Agrega un archivo .txt que tiene las instrucciones de pago del rescate a cada carpeta donde se encuentran los archivos cifrados;
  • Puede bloquear el acceso a algunos de los sitios web;
  • Evita la ejecución de los archivos de instalación del software antimalware;
  • Puede cambiar sus fondos de pantalla en una nota de rescate;
  • El pago del rescate está a punto de realizarse solo con el uso de criptomonedas, principalmente Bitcoin;

Últimos ataques de ransomware

Lista de familias de ransomware, actual para November, 2022:

  • Avaddon ransomware mostró una vida corta pero bastante activa: sus desarrolladores decidieron cerrar su actividad en mayo de 2021
  • STOP Djvu ransomware es una de las familias de ransomware más difundidas. La primera actividad de ese tipo de virus se detectó en 2018 y, aún así, su actividad es muy alta. Al estar dirigido principalmente a usuarios simples, este ransomware puede ser un ejemplo perfecto de un ransomware "clásico"
  • Conti ransomware. Este grupo delictivo ataca a organizaciones en las que los cortes de TI pueden tener consecuencias mortales: hospitales, operadores de despacho del 911, servicios médicos de emergencia y organismos encargados de hacer cumplir la ley
  • Matrix ransomware es un veterano del sector ransomware, que apareció en diciembre de 2016
  • MedusaLocker ransomware apareció en septiembre de 2019 y tuvo un comienzo muy rápido con ataques a empresas de todo el mundo
  • Snatch ransomware usa el truco con el modo seguro de Windows y el servicio privilegiado
  • VoidCrypt ransomware utiliza varias funciones que son más típicas de los virus orientados a empresas
  • Xorist ransomware utiliza un constructor criptográfico y puede cambiar tanto que es difícil reconocerlo
  • Dharma ransomware apareció alrededor de 2016, esta familia de ransomware apunta a una pequeña empresa. Casi el 77 % de todos los casos de Dharma están relacionados con la explotación de vulnerabilidades de RDP
  • Egregor ransomware ha atacado a grandes empresas de todo el mundo
  • HiddenTear: creado inicialmente con fines educativos
  • LockBit un ransomware extremadamente rápido
  • Magniber ransomware que intenta usar una vulnerabilidad conocida de PrintNightmare para comprometer a las víctimas
  • Makop no se basa en un único algoritmo de cifrado
  • Ryuk es un veterano que posiblemente esté relacionado con los piratas informáticos de Corea del Norte

¿Es una solución pagar el rescate?

La mayoría de los ingresos que reciben los desarrolladores de ransomware se utilizan para financiar diversas actividades ilegales, como terrorismo, otras campañas de distribución de malware, tráfico de drogas, etc. Dado que todos los pagos de rescate se realizan en criptomonedas, no hay forma de descubrir la personalidad de los delincuentes. Sin embargo, las direcciones de correo electrónico a veces pueden indicar distribuidores de ransomware en Oriente Medio.

Como ya puede concluir, pagar el rescate equivale a participar en actividades fuera de la ley. Por supuesto, nadie lo culpará por financiar el terrorismo. Pero no tiene nada de grato entender que el dinero que se obtiene por un trabajo justo se gasta en terrorismo o en drogas. A menudo, incluso las grandes corporaciones que son chantajeadas con amenazas de publicar algunos datos internos no les pagan ni un centavo a esos ladrones.

¿Cómo puedo proteger mi computadora del ransomware?

Por lo general, los programas antimalware actualizan sus bases de datos de detección todos los días. GridinSoft Anti-Malware puede ofrecerle actualizaciones cada hora, lo que reduce la posibilidad de que una muestra de ransomware completamente nueva se infiltre en su sistema. Sin embargo, hacer uso de software antimalware no es una panacea. Sería mejor si tuvieras cuidado en todos los lugares peligrosos. Esos son:

  • Mensajes de correo electrónico. La mayoría de los casos de ransomware, independientemente de la familia, están relacionados con mensajes de correo electrónico maliciosos. Las personas solían confiar en todos los mensajes enviados por correo electrónico y no creían que pudiera haber algo malicioso dentro del archivo adjunto. Mientras tanto, los ladrones cibernéticos usan esa debilidad y engañan a las personas para habilitar macros en los archivos de Microsoft Office. Macros es una aplicación específica que permite aumentar la interacción con el documento. Puede construir cualquier cosa en Visual Basic y agregarlo al documento como macros. Los ladrones, sin pensarlo más, agregan un código de ransomware.
  • Utilidades dudosas y programas no confiables. Es posible que vea varios consejos mientras navega por la Web. Foros en línea, redes sociales y redes de siembra: estos lugares se conocen como fuentes de varias herramientas específicas. Y no hay nada malo en dicho software: a veces, las personas necesitan las funciones que no se exigen (o aceptan) para la producción corporativa. Dichas herramientas son los llamados generadores de claves para varias aplicaciones, activadores de claves de licencia (KMS Activator es uno de los más conocidos) y utilidades para ajustar elementos del sistema. La mayoría de los motores antimalware detectan esas aplicaciones como maliciosas, por lo que probablemente desactive el antivirus o agregue la aplicación a la lista blanca. Mientras tanto, esta utilidad puede estar limpia o infectada con troyanos o ransomware.

Una cronología de los mayores ataques de ransomware: