Ransomware: ejemplos y tendencias en 2023

El ransomware es malware que encripta los archivos en la PC de la víctima y luego solicita el pago del rescate. La inyección de ransomware es una de las formas más peligrosas de ataques cibernéticos.

Quiz√°s le interese echar un vistazo a nuestras otras herramientas antivirus:
Trojan Killer, Trojan Scanner and Free Online Checker.

¬ŅQu√© es el ransomware? Ejemplos y tendencias de ransomware en 2023 | Gridinsoft

¬ŅQu√© es el ransomware?

November 08, 2022

Es probable que sea la peor pesadilla descubrir que los archivos en su PC est√°n encriptados. Estaba revisando su buz√≥n y haciendo clic en los archivos adjuntos para ver qu√© conten√≠an. El extra√Īo archivo, que no ten√≠a nada m√°s que ofrecer habilitar macros, no parec√≠a sospechoso. Pero de repente, menos de 15 minutos despu√©s de abrir ese documento, ve que todos los archivos en su PC tienen extensiones extra√Īas, y al menos un archivo readme.txt est√° dentro de cada carpeta. ¬ŅComo paso?

La definición abreviada de ransomware está oculta en su nombre, al igual que en muchos otros virus. El "software de rescate" es un programa que se inyecta en su computadora, cifra sus archivos y luego le pide que pague el rescate para recuperar sus archivos. Algunos ejemplos de ransomware pueden amenazar a sus víctimas con eliminar sus archivos o publicar algunos datos confidenciales si no paga el rescate. Si bien el primer peligro es una mentira al 100 %, la segunda tesis puede ser real, ya que el ransomware a menudo se propaga con spyware o ladrones.

Varios ejemplos de ransomware usan diferentes m√©todos de encriptaci√≥n. En la mayor√≠a de los casos, se utilizan los principios de cifrado AES-256 y RSA-1024, pero a veces puede cumplir con los est√°ndares utilizando RSA-2048. El n√ļmero al final significa principalmente el grado que necesita traer dos para obtener la cantidad de llaves posibles. Incluso en el caso de AES-256, el n√ļmero de claves es un n√ļmero de 78 d√≠gitos. ¬ŅPuedes usar la fuerza bruta? Tal vez, si tienes 2 millones de a√Īos libres. O un PC cu√°ntico con un rendimiento mucho mejor que los existentes actualmente. ~ Equipo de Gridinsoft

Para cada v√≠ctima, el ransomware genera una clave en l√≠nea √ļnica. Esa clave se almacena en el servidor mantenido por los ciberdelincuentes. Si el virus no puede conectarse a ese servidor, cifra los archivos con la clave fuera de l√≠nea, que se almacena localmente en la m√°quina cifrada. La cantidad de claves fuera de l√≠nea es limitada. Por lo tanto, tiene una clave de descifrado en com√ļn con varias otras v√≠ctimas.

Desafortunadamente, no existe una garantía del 100 % de recuperar sus archivos. Si tiene suerte y el ransomware usa la clave sin conexión, puede descifrar sus datos mucho más rápido. No obstante, la obtención de claves es bastante larga y es posible que tengas que esperar varias semanas. La aplicación de descifrado, que se supone que se usa para descifrar archivos, recibirá la actualización con la clave que más le convenga tan pronto como los analistas la encuentren.

Las claves en l√≠nea son mucho m√°s dif√≠ciles de resolver. Dado que cada clave es √ļnica, puede esperar meses. Es probable que los distribuidores de ransomware sean atrapados y obligados a descubrir todas las claves que tienen en los servidores. Otro caso en el que todas las claves se hacen p√ļblicas es cuando los creadores de ransomware deciden cerrar su actividad maliciosa. Tal situaci√≥n fue solo una vez: en 2018, cuando los desarrolladores de GandCrab afirmaron que ganaron 2 mil millones de d√≥lares y suspendieron su actividad.

Etapas de ataque de ransomware

La mayoría de los analistas definen las seis etapas principales de un ataque de ransomware. Pueden ocurrir durante un solo día o dentro de un mes. Sin embargo, el orden, así como el sentido de estos pasos, siempre es el mismo.

Compromiso. A veces también se le llama inyección inicial. En ese momento, los atacantes inyectan el malware en la red (o en el dispositivo si se trata de un ataque contra el usuario individual). El compromiso generalmente se realiza a través de infracciones de RDP, spam de correo electrónico o uso de software sin licencia.

Infecci√≥n. En esta etapa, los delincuentes usan la presencia inicial en la red que obtuvieron para inyectar la carga maliciosa. Rara vez usan descargas directas; es f√°cil de detectar y prevenir con soluciones de seguridad. Es por eso que la descarga de malware generalmente explota los errores de Windows y el software de la aplicaci√≥n. Sin embargo, incluso puede preferir la descarga directa cuando golpea una red desprotegida o un √ļnico usuario.

Escalamiento. Todo el malware se ejecuta con privilegios de administrador. Esta propiedad permite disminuir el riesgo de malware al usar la cuenta con privilegios de usuario. Sin embargo, incluso en ese caso, los ciberdelincuentes pueden encontrar una forma de pasar. La mayoría de las etapas de escalada en las redes corporativas se realizan a través de la explotación de vulnerabilidades, particularmente aquellas que escalan privilegios.

Escanear. Ese paso supone escanear la(s) m√°quina(s) infectada(s) para detectar todos los archivos que el ransomware puede cifrar. Por lo general, el ransomware toma los formatos de datos m√°s confidenciales, los que pertenecen a archivos, im√°genes y m√ļsica de MS Office. Sin embargo, algunos act√ļan de manera diferente y cifran todo lo que alcanzan, a pesar de los archivos que pueden da√Īar la funcionalidad de los programas.

Cifrar. El cifrado puede tardar minutos u horas, seg√ļn la cantidad de archivos en las m√°quinas atacadas y la calidad del software de cifrado. El grupo LockBit, por ejemplo, es conocido por tener el cifrado m√°s r√°pido: solo lleva 5 minutos cifrar 100 GB de datos.

Pay Day. Cuando finaliza el cifrado, el malware notifica a la víctima sobre el ataque. Por lo general, genera un archivo de nota de rescate en el escritorio y en cada carpeta con archivos cifrados. Opcionalmente, también puede cambiar el fondo de escritorio a la nota de rescate. En los casos más extremos (como el ransomware Petya), el malware infectará el cargador de arranque y le mostrará el banner de la nota de rescate cuando presione el botón de encendido en lugar de cargar el sistema operativo.

Etapas del ataque de ransomware
Ataque de ransomware Etapas

Tipos de ransomware

Actualmente existen varios tipos de ransomware. Todos los usuarios de la comunidad de ciberseguridad están acostumbrados al tipo de ransomware llamado crypto. Ese es precisamente el virus sobre el que puede leer más arriba. Otro tipo de ransomware estaba activo mucho antes, antes de 2014. Se llamaba locker ransomware. Como puede entender por su nombre, este virus estaba bloqueando su sistema, pidiendo un rescate para desbloquear el escritorio. Déjame mostrarte la diferencia crítica entre el casillero y el ransomware criptográfico:

Locker ransomware:


  • Bloquea tu escritorio;
  • Cubre el escritorio con una pancarta con una nota de rescate;
  • Modifica las claves de registro que son responsables del trabajo del Explorador de Windows;
  • Suspende el proceso explorer.exe;
  • Bloquea la mayor√≠a de las combinaciones del sistema (Ctrl+Alt+Del, Ctrl+Shift+Esc);
  • Algunas versiones pueden infectar el BIOS, haciendo imposible cargar el sistema;
  • A veces, se puede eliminar f√°cilmente despu√©s de manipulaciones complicadas con las funciones del sistema;
  • Pedirle que pague un rescate como recarga de n√ļmero de tel√©fono m√≥vil, as√≠ como a trav√©s del sistema de pago en l√≠nea (PayPal, WebMoney, Qiwi, etc.);

Crypto ransomware:


  • Cifra los archivos de las extensiones m√°s populares (.docx, .png, .jpeg, .gif, .xslx) y les agrega su extensi√≥n espec√≠fica;
  • Cambia las claves de registro que son responsables de la creaci√≥n de redes y programas de inicio;
  • Agrega un archivo .txt que tiene las instrucciones de pago del rescate a cada carpeta donde se encuentran los archivos cifrados;
  • Puede bloquear el acceso a algunos de los sitios web;
  • Evita la ejecuci√≥n de los archivos de instalaci√≥n del software antimalware;
  • Puede cambiar sus fondos de pantalla en una nota de rescate;
  • El pago del rescate est√° a punto de realizarse solo con el uso de criptomonedas, principalmente Bitcoin;

√öltimos ataques de ransomware

Lista de familias de ransomware, actual para October, 2023:

  • Avaddon ransomware mostr√≥ una vida corta pero bastante activa: sus desarrolladores decidieron cerrar su actividad en mayo de 2021
  • STOP Djvu ransomware es una de las familias de ransomware m√°s difundidas. La primera actividad de ese tipo de virus se detect√≥ en 2018 y, a√ļn as√≠, su actividad es muy alta. Al estar dirigido principalmente a usuarios simples, este ransomware puede ser un ejemplo perfecto de un ransomware "cl√°sico"
  • Conti ransomware. Este grupo delictivo ataca a organizaciones en las que los cortes de TI pueden tener consecuencias mortales: hospitales, operadores de despacho del 911, servicios m√©dicos de emergencia y organismos encargados de hacer cumplir la ley
  • Matrix ransomware es un veterano del sector ransomware, que apareci√≥ en diciembre de 2016
  • MedusaLocker ransomware apareci√≥ en septiembre de 2019 y tuvo un comienzo muy r√°pido con ataques a empresas de todo el mundo
  • Snatch ransomware usa el truco con el modo seguro de Windows y el servicio privilegiado
  • VoidCrypt ransomware utiliza varias funciones que son m√°s t√≠picas de los virus orientados a empresas
  • Xorist ransomware utiliza un constructor criptogr√°fico y puede cambiar tanto que es dif√≠cil reconocerlo
  • Dharma ransomware apareci√≥ alrededor de 2016, esta familia de ransomware apunta a una peque√Īa empresa. Casi el 77 % de todos los casos de Dharma est√°n relacionados con la explotaci√≥n de vulnerabilidades de RDP
  • Egregor ransomware ha atacado a grandes empresas de todo el mundo
  • HiddenTear: creado inicialmente con fines educativos
  • LockBit un ransomware extremadamente r√°pido
  • Magniber ransomware que intenta usar una vulnerabilidad conocida de PrintNightmare para comprometer a las v√≠ctimas
  • Makop no se basa en un √ļnico algoritmo de cifrado
  • Ryuk es un veterano que posiblemente est√© relacionado con los piratas inform√°ticos de Corea del Norte

¬ŅEs una soluci√≥n pagar el rescate?

La mayor√≠a de los ingresos que reciben los desarrolladores de ransomware se utilizan para financiar diversas actividades ilegales, como terrorismo, otras campa√Īas de distribuci√≥n de malware, tr√°fico de drogas, etc. Dado que todos los pagos de rescate se realizan en criptomonedas, no hay forma de descubrir la personalidad de los delincuentes. Sin embargo, las direcciones de correo electr√≥nico a veces pueden indicar distribuidores de ransomware en Oriente Medio.

Como ya puede concluir, pagar el rescate equivale a participar en actividades fuera de la ley. Por supuesto, nadie lo culpar√° por financiar el terrorismo. Pero no tiene nada de grato entender que el dinero que se obtiene por un trabajo justo se gasta en terrorismo o en drogas. A menudo, incluso las grandes corporaciones que son chantajeadas con amenazas de publicar algunos datos internos no les pagan ni un centavo a esos ladrones.

¬ŅC√≥mo puedo proteger mi computadora del ransomware?

Por lo general, los programas antimalware actualizan sus bases de datos de detección todos los días. GridinSoft Anti-Malware puede ofrecerle actualizaciones cada hora, lo que reduce la posibilidad de que una muestra de ransomware completamente nueva se infiltre en su sistema. Sin embargo, hacer uso de software antimalware no es una panacea. Sería mejor si tuvieras cuidado en todos los lugares peligrosos. Esos son:

  • Mensajes de correo electr√≥nico. La mayor√≠a de los casos de ransomware, independientemente de la familia, est√°n relacionados con mensajes de correo electr√≥nico maliciosos. Las personas sol√≠an confiar en todos los mensajes enviados por correo electr√≥nico y no cre√≠an que pudiera haber algo malicioso dentro del archivo adjunto. Mientras tanto, los ladrones cibern√©ticos usan esa debilidad y enga√Īan a las personas para habilitar macros en los archivos de Microsoft Office. Macros es una aplicaci√≥n espec√≠fica que permite aumentar la interacci√≥n con el documento. Puede construir cualquier cosa en Visual Basic y agregarlo al documento como macros. Los ladrones, sin pensarlo m√°s, agregan un c√≥digo de ransomware.
  • Utilidades dudosas y programas no confiables. Es posible que vea varios consejos mientras navega por la Web. Foros en l√≠nea, redes sociales y redes de siembra: estos lugares se conocen como fuentes de varias herramientas espec√≠ficas. Y no hay nada malo en dicho software: a veces, las personas necesitan las funciones que no se exigen (o aceptan) para la producci√≥n corporativa. Dichas herramientas son los llamados generadores de claves para varias aplicaciones, activadores de claves de licencia (KMS Activator es uno de los m√°s conocidos) y utilidades para ajustar elementos del sistema. La mayor√≠a de los motores antimalware detectan esas aplicaciones como maliciosas, por lo que probablemente desactive el antivirus o agregue la aplicaci√≥n a la lista blanca. Mientras tanto, esta utilidad puede estar limpia o infectada con troyanos o ransomware.

Una cronología de los mayores ataques de ransomware: