El ransomware WannaCry hizo su aparición en mayo de 2017, infectando al menos 75,000 computadoras en 99 países y afectando a hospitales y empresas. Este ransomware tenía como objetivo las computadoras que utilizaban Microsoft Windows como sistema operativo y cifraba datos esenciales para luego extorsionar pagos en forma de Bitcoin para su devolución. El ransomware afectó a alrededor de 230,000 computadoras en todo el mundo. En 2018, el malware WannaCry también afectó a Taiwan Semiconductor Manufacturing, el mayor fabricante de chips por contrato del mundo.
¿Qué es el Ransomware?
El ransomware es un tipo de software malicioso utilizado por ciberdelincuentes para retener datos por un precio de rescate establecido, exigiendo el pago para recuperar los archivos. Por lo general, el software funciona mediante la encriptación de los datos y solo ofrece la clave de desencriptación una vez que se ha realizado el rescate. Desde su descubrimiento, el ransomware ha sido un arma cibernética que crece y evoluciona rápidamente, infectando tanto a usuarios individuales como a empresas. Durante la primera mitad de 2022, Statista informa que hubo un total de 236.1 millones de ataques de ransomware en todo el mundo.
Otro informe estima que el 71% de las empresas en todo el mundo se vieron afectadas por el ransomware solo en 2022, y un total del 62.9% de las víctimas de ataques de ransomware pagaron el rescate. Así que profundicemos más en esta amenaza cibernética.
Principales Ataques de Ransomware Utilizan
Los atacantes de ransomware modifican e innovan su munición habitual utilizando el anonimato y la naturaleza dinámica de la mayoría de los ciberespacios.
Ataque WannaCry Attack - Mayo de 2017
Ataque a Acer - Marzo de 2021
El gigante taiwanés de la informática, Acer, fue víctima de un ataque de ransomware en marzo de 2021, en el que se exigió un rescate de 50 millones de dólares, la mayor suma solicitada a cualquier víctima hasta ese momento. El grupo de ransomware REvil se atribuyó el ataque y publicó imágenes de estados financieros y otros documentos supuestamente robados de la empresa como una forma de reclamar la responsabilidad por el ataque.
Ataque a Brenntag - Mayo de 2021
El distribuidor alemán de productos químicos Brenntag SE supuestamente pagó un rescate de 4.4 millones de dólares en Bitcoin al grupo de ransomware DarkSide el 11 de mayo para obtener un descifrador de archivos que los hackers habían cifrado durante un reciente ataque de ransomware a la empresa. Los actores de amenazas cifraron dispositivos en la red y afirmaron haber robado 150 GB de datos durante su ataque, lo que demostraron creando una página de filtración de datos privada con una descripción de los datos tomados y capturas de pantalla de archivos.
Ataque al Colonial Pipeline - Mayo de 2021
A principios de mayo, la empresa Colonial Pipeline anunció que había sido víctima de un ataque de ransomware. La empresa suspendió sus activos de tecnología de la información afectados, así como su oleoducto principal, que es responsable de transportar 100 millones de galones de combustible todos los días entre Texas y Nueva York. A lo largo de la asistencia a la empresa Colonial Pipeline en sus esfuerzos de recuperación, el FBI confirmó que el grupo de ransomware DarkSide había sido responsable del ataque.
Ataque a Accenture - Agosto de 2021
La gigante consultora de tecnologías de la información a nivel global, Accenture, confirmó que los operadores del ransomware LockBit robaron datos de sus sistemas durante un ataque que afectó a las redes de la empresa. Según informó Bleeping Computer, el grupo de ransomware afirmó haber sustraído seis terabytes de datos de la red de Accenture y exigieron un rescate de 50 millones de dólares estadounidenses. En septiembre, la empresa negó las afirmaciones hechas por el grupo LockBit de que también habían robado credenciales pertenecientes a clientes de Accenture, lo que les permitiría comprometer sus redes.
Ataque al Ultimate Kronos Group - Diciembre de 2021
Una de las mayores empresas de recursos humanos reveló un devastador ataque de ransomware en diciembre de 2021 que afectó a los sistemas de nómina de múltiples trabajadores en diversas industrias. Según NBC News, la empresa informó que sus programas que dependen de servicios en la nube, incluidos los utilizados por Whole Foods, Honda y gobiernos locales para pagar a sus empleados, no estarían disponibles durante varias semanas. En un comunicado, la ciudad de Cleveland advirtió que información sensible podría haber sido comprometida en el ataque, como nombres de empleados, direcciones y los últimos cuatro dígitos de los números de seguridad social.
Ataque a Nvidia - Febrero de 2022
Nvidia, la empresa de semiconductores más grande del mundo, fue comprometida por un cciberataque en febrero de 2022. La empresa con sede en California confirmó que el actor de amenazas comenzó a filtrar credenciales de empleados e información propietaria en línea. El grupo de hackers Lapsus$ , se atribuyó la responsabilidad del ataque y afirmó que tenían acceso a 1 terabyte de datos cruciales de la empresa, luego exigieron un rescate de 1 millón de dólares y un porcentaje de una tarifa no especificada por parte de Nvidia. En enero, Lapsus$ también se atribuyó el ataque de ransomware a Impresa, el conglomerado mediático más grande de Portugal.
Ataque en Costa Rica - Abril de 2022
El presidente de Costa Rica declaró un estado de emergencia después de que el ataque de ransomware Conti sumió al país en el caos en abril de este año. El ataque afectó a los sistemas de atención médica en medio de las pruebas de covid-19 y probablemente tendrá efectos duraderos en el país.
Ataque al Grupo Nikkei Asia - Mayo de 2022
Por último, la sede en Singapur del gigante de los medios de comunicación Grupo Nikkei también fue víctima de un ataque de ransomware en mayo de 2022. Se detectó un acceso no autorizado a sus servidores internos y la compañía descubrió una brecha, afirmando que es probable que los datos de los clientes se hayan visto afectados. Esto ocurrió después del incidente de 2019 en el que un empleado recibió instrucciones fraudulentas para transferir una suma de dinero a un tercero a través de una estafa de compromiso de correo electrónico (BEC), lo que le costó a la organización aproximadamente 29 millones de dólares.
La mayoría de estos ataques fueron llevados a cabo por grupos de piratas informáticos que tienden a utilizar modelos de Ransomware como servicio. Estos son similares a los marcos de software como servicio, excepto que facilitan la instalación y ejecución de malware en una red. Los usuarios de este servicio pagan para lanzar ransomware desarrollado por los operadores.
Ataque WannaCry Attack - Mayo de 2017
El ransomware WannaCry hizo su aparición en mayo de 2017, infectando al menos 75,000 computadoras en 99 países y afectando a hospitales y empresas. Este ransomware tenía como objetivo las computadoras que utilizaban Microsoft Windows como sistema operativo y cifraba datos esenciales para luego extorsionar pagos en forma de Bitcoin para su devolución. El ransomware afectó a alrededor de 230,000 computadoras en todo el mundo. En 2018, el malware WannaCry también afectó a Taiwan Semiconductor Manufacturing, el mayor fabricante de chips por contrato del mundo.
Ataque a Acer - Marzo de 2021
El gigante taiwanés de la informática, Acer, fue víctima de un ataque de ransomware en marzo de 2021, en el que se exigió un rescate de 50 millones de dólares, la mayor suma solicitada a cualquier víctima hasta ese momento. El grupo de ransomware REvil se atribuyó el ataque y publicó imágenes de estados financieros y otros documentos supuestamente robados de la empresa como una forma de reclamar la responsabilidad por el ataque.
Ataque a Brenntag - Mayo de 2021
El distribuidor alemán de productos químicos Brenntag SE supuestamente pagó un rescate de 4.4 millones de dólares en Bitcoin al grupo de ransomware DarkSide el 11 de mayo para obtener un descifrador de archivos que los hackers habían cifrado durante un reciente ataque de ransomware a la empresa. Los actores de amenazas cifraron dispositivos en la red y afirmaron haber robado 150 GB de datos durante su ataque, lo que demostraron creando una página de filtración de datos privada con una descripción de los datos tomados y capturas de pantalla de archivos.
Ataque al Colonial Pipeline - Mayo de 2021
A principios de mayo, la empresa Colonial Pipeline anunció que había sido víctima de un ataque de ransomware. La empresa suspendió sus activos de tecnología de la información afectados, así como su oleoducto principal, que es responsable de transportar 100 millones de galones de combustible todos los días entre Texas y Nueva York. A lo largo de la asistencia a la empresa Colonial Pipeline en sus esfuerzos de recuperación, el FBI confirmó que el grupo de ransomware DarkSide había sido responsable del ataque.
Ataque a Accenture - Agosto de 2021
La gigante consultora de tecnologías de la información a nivel global, Accenture, confirmó que los operadores del ransomware LockBit robaron datos de sus sistemas durante un ataque que afectó a las redes de la empresa. Según informó Bleeping Computer, el grupo de ransomware afirmó haber sustraído seis terabytes de datos de la red de Accenture y exigieron un rescate de 50 millones de dólares estadounidenses. En septiembre, la empresa negó las afirmaciones hechas por el grupo LockBit de que también habían robado credenciales pertenecientes a clientes de Accenture, lo que les permitiría comprometer sus redes.
Ataque al Ultimate Kronos Group - Diciembre de 2021
Una de las mayores empresas de recursos humanos reveló un devastador ataque de ransomware en diciembre de 2021 que afectó a los sistemas de nómina de múltiples trabajadores en diversas industrias. Según NBC News, la empresa informó que sus programas que dependen de servicios en la nube, incluidos los utilizados por Whole Foods, Honda y gobiernos locales para pagar a sus empleados, no estarían disponibles durante varias semanas. En un comunicado, la ciudad de Cleveland advirtió que información sensible podría haber sido comprometida en el ataque, como nombres de empleados, direcciones y los últimos cuatro dígitos de los números de seguridad social.
Ataque a Nvidia - Febrero de 2022
Nvidia, la empresa de semiconductores más grande del mundo, fue comprometida por un cciberataque en febrero de 2022. La empresa con sede en California confirmó que el actor de amenazas comenzó a filtrar credenciales de empleados e información propietaria en línea. El grupo de hackers Lapsus$ , se atribuyó la responsabilidad del ataque y afirmó que tenían acceso a 1 terabyte de datos cruciales de la empresa, luego exigieron un rescate de 1 millón de dólares y un porcentaje de una tarifa no especificada por parte de Nvidia. En enero, Lapsus$ también se atribuyó el ataque de ransomware a Impresa, el conglomerado mediático más grande de Portugal.
Ataque en Costa Rica - Abril de 2022
El presidente de Costa Rica declaró un estado de emergencia después de que el ataque de ransomware Conti sumió al país en el caos en abril de este año. El ataque afectó a los sistemas de atención médica en medio de las pruebas de covid-19 y probablemente tendrá efectos duraderos en el país.
Ataque al Grupo Nikkei Asia - Mayo de 2022
Por último, la sede en Singapur del gigante de los medios de comunicación Grupo Nikkei también fue víctima de un ataque de ransomware en mayo de 2022. Se detectó un acceso no autorizado a sus servidores internos y la compañía descubrió una brecha, afirmando que es probable que los datos de los clientes se hayan visto afectados. Esto ocurrió después del incidente de 2019 en el que un empleado recibió instrucciones fraudulentas para transferir una suma de dinero a un tercero a través de una estafa de compromiso de correo electrónico (BEC), lo que le costó a la organización aproximadamente 29 millones de dólares.
La mayoría de estos ataques fueron llevados a cabo por grupos de piratas informáticos que tienden a utilizar modelos de Ransomware como servicio. Estos son similares a los marcos de software como servicio, excepto que facilitan la instalación y ejecución de malware en una red. Los usuarios de este servicio pagan para lanzar ransomware desarrollado por los operadores.