C Y B ER A R K L A B S

DIVULGACIÓN DETALLADA:
EL RANSOMWARE AL DESCUBIERTO
•

UN ANÁLISIS DEL CAMINO HACIA

EL CIFRADO Y UN REPASO DE LAS ESTRATEGIAS DE MITIGACIÓN
 CYBER ARK L ABS SERIES

Introducción
El ransomware es una de las ciberamenazas más extendidas y
peligrosas hoy en día. Los ataques de ransomware más recientes Contents
pueden propagarse rápidamente por toda la empresa, afectando a la Introducción�������������������������������������������������������������2
productividad de los usuarios e interrumpiendo la actividad durante Creación de un laboratorio de
horas o incluso días. El ataque WannaCry de 2017 infectó más de ransomware real�����������������������������������������������������2
300 000 ordenadores en más de 150 países, lo que causó estragos
Análisis del camino hacia el cifrado��������������������3
en organizaciones como el Servicio Nacional de Salud (NHS)
británico, que se vio obligado a cerrar instalaciones sanitarias críticas, Repaso de los puntos comunes entre familias
de ransomware������������������������������������������������������ 5
cancelar operaciones y rechazar pacientes durante varios días. La
firma de investigación Cybersecurity Ventures predice que el coste Evaluación de las estrategias de mitigación���� 6
global anual del ransomware para las empresas superará los 20 000 Recomendaciones��������������������������������������������������7
millones de dólares en 2021.1
Resumen����������������������������������������������������������������� 8
El ransomware se ha convertido en el medio de extorsión preferido
por los atacantes oportunistas por dos razones fundamentales. En
primer lugar, muchas organizaciones no consiguen mantener una
buena higiene en materia de copias de seguridad y recuperación.
Las copias de seguridad pueden ser escasas y distantes entre sí, lo El verdadero coste de un ataque de
que significa que una vez que los datos de los endpoints y servidores ransomware es mucho más que el
se cifran y se pide un rescate, las empresas se ven obligadas a elegir
entre perder datos importantes para siempre o desembolsar bitcoins
mero pago del rescate. Los ataques de
para, con suerte, recuperar sus datos. En segundo lugar, muchas ransomware pueden entorpecer el negocio,
organizaciones confían en las soluciones antivirus tradicionales,
que a menudo no son eficaces para bloquear el ransomware. Estas
dañar la reputación de una empresa y
soluciones funcionan manteniendo un inventario del malware afectar a los resultados. FedEx atribuyó
conocido y bloqueando las futuras ejecuciones de ese malware. Dado
una pérdida de 300 millones de dólares
que los archivos de ransomware se modifican ligeramente con cada
nueva versión, y que se crean nuevas versiones cada minuto, las en ganancias al ataque del ransomware
soluciones antivirus tradicionales tienen pocas posibilidades reales de
NotPetya en 2017. 2
prevenir una infección.

Este monográfico documenta la investigación llevada a cabo por

CyberArk Labs para investigar el ransomware y conocer las posibles
estrategias de mitigación que podrían ser más eficaces. Una de
las principales conclusiones fue que cuando se eliminaron los
derechos de administrador local y se aplicaron políticas de control de
aplicaciones, se impidió que el 100 % de las muestras de ransomware
cifraran archivos.

Creación de un laboratorio de ransomware real

Para llevar a cabo esta investigación, CyberArk necesitaba muestras reales de ransomware y un entorno de laboratorio realista en el que se
pudiera probar el ransomware. El equipo de CyberArk Labs, un equipo interno que se puso en marcha para desarrollar soluciones innovadoras de
seguridad de la información para combatir las amenazas emergentes y los desafíos de cumplimiento, creó un laboratorio dedicado con equipos
físicos reales y archivos reales para que el ransomware pudiera ejecutarse y propagarse como lo haría dentro de una organización víctima.

Cybersecurity Ventures, 2020

1

https://www.reuters.com/article/us-fedex-results/cyber-attack-hurricane-weigh-on-fedex-quarterly-profit-idUSKCN1BU2RG
2

www.cyberark.com Página 2 de 8
 CYBER ARK L ABS SERIES

Hasta la fecha, el equipo ha analizado más de 3 millones de muestras de ransomware y actualmente están probando nuevas muestras cada día.
Estas muestras representan ransomware de decenas de familias de malware diferentes, siendo el mayor número de muestras procedentes de
Cryptolocker, Petya y Locky, que son las familias de ransomware más comunes y notorias.

Dada la cantidad de cepas individuales de ransomware, estos más de 3 millones de muestras representan un pequeño subconjunto de todo el
ransomware. Sin embargo, dada la naturaleza polimórfica del ransomware, esta muestra es muy representativa del ransomware en su conjunto.
Aunque cada nueva pieza individual de ransomware es ligeramente diferente de una versión anterior, todas las versiones comparten métodos
comunes de infección y ejecución. Simplemente tienen diferentes hashes de archivo para ayudar a eludir la detección.

El objetivo de esta investigación era analizar el comportamiento de las muestras de ransomware probadas para determinar qué estrategias
podrían ser más eficaces a la hora de mitigar los daños causados por estos ataques. Por ello, el equipo consideró las ventajas y los retos de las
siguientes estrategias:
• Usar listas de aplicaciones permitidas • Mínimo privilegio
• Usar listas de aplicaciones bloqueadas • Copia de seguridad y recuperación
• Usar listas de aplicaciones rechazadas

Análisis del camino hacia el cifrado

Antes de evaluar las posibles estrategias de mitigación, el equipo de investigación trató primero de entender cómo se comporta normalmente
el ransomware. La figura 1 muestra el flujo de trabajo típico que siguen la mayoría de las muestras de ransomware una vez que comienzan a
ejecutarse. Una observación interesante fue que, a pesar de que las distintas familias de ransomware tenían flujos de trabajo similares, las
diferentes familias tenían diferentes “desencadenadores” o acciones que provocaban la ejecución del ransomware. Algunas familias comenzaban
a ejecutarse inmediatamente, otras esperaban a que hubiera una conexión a Internet, otras a que se moviera el puntero del ratón y otras a que se
ejecutara una aplicación de Microsoft Office.

Al descubierto: cuatro familias de ransomware

Ransomware Maze: forma parte de una nueva tendencia de ransomware; las muestras filtran los archivos del usuario en lugar de limitarse a
cifrarlos. Los atacantes amenazan con publicar los datos si no se paga el rescate.

Ransomware CoronaVirus: ransomware que se subió a la ola de infecciones por la COVID-19. Se distribuía junto con un ladrón de
credenciales (KPOT).

Ransomware Snake: ransomware dirigido a empresas escrito en Golang y ofuscado. Después de infectar un equipo, Snake se comporta
como un ransomware habitual, por ejemplo eliminando las instantáneas y las copias de seguridad del sistema y cifrando los archivos de los
usuarios. Lo que lo hace destacar es que detiene todos los procesos del sistema relacionados con los sistemas de control industrial y SCADA
para poder cifrar sus archivos.

Ransomware Snatch: ransomware único que puede desactivar muchos productos de seguridad realizando sus actividades maliciosas en
modo seguro.

www.cyberark.com Página 3 de 8
 CYBER ARK L ABS SERIES

1 Infección inicial
2

Servidor de claves 3
Escanear y cifrar 4 Propagarse cuando
sea posible

Archivos de Microsoft,
archivos de Adobe,
archivos de imagen,
archivos de código

Figura 1: flujo del ransomware

Una vez que el ransomware se activaba para ejecutarse, el 90 % de las muestras analizadas intentaba primero comunicarse con un servidor de
claves gestionado por el atacante, que tenía la clave pública única utilizada para cifrar los archivos en el equipo. En el 20 % de los casos, si no
se podía establecer la conexión, el ransomware fallaba. Sin embargo, un 70 % de las muestras de ransomware pudieron ejecutarse utilizando
una clave pública por defecto, aunque no se pudiera recuperar una clave única del servidor de claves. Cabe destacar que este enfoque puede
ser menos eficaz para el atacante, ya que una víctima puede utilizar potencialmente una única clave de descifrado por defecto que ya ha sido
comprada para descifrar todos los archivos que fueron cifrados con la misma clave. El 10 % restante de las muestras incluía la clave pública
única dentro del propio archivo de ransomware, eliminando así la necesidad de una conexión externa. Basándose en esta observación, el
equipo de investigación observó que si las organizaciones podían limitar la capacidad del ransomware para establecer una conexión externa,
las organizaciones normalmente podían evitar que el ransomware se ejecutara u obligar a los atacantes a utilizar una clave predeterminada,
minimizando así el impacto económico del ataque.

20%
Required unique key

70% from key server; failed

if unavailable

Asked for unique key

from key server;
proceeded with default
key if unavailable
10%
Required unique key
embedded in file

Figura 2: Percent of ransomware that was reliant upon a unique encryption key

A continuación, el ransomware comenzó a escanear los equipos infectados para localizar tipos de archivo específicos. Las muestras de
ransomware buscaban varios tipos de archivos y extensiones, entre ellos los siguientes:
• Archivos de Microsoft Office: .doc, .docx, .xls, .xlsx, .ppt, .pptx
• Archivos Adobe: .pdf, .ai, .psd, .indd, .ps, .eps
• Archivos de imagen: .jpeg, .png, .gif, .bmp, .tiff, .pcx, .emf, .rle, .dib
• Archivos de código: .c, .h, .cpp, .py, .vb

www.cyberark.com Página 4 de 8
 CYBER ARK L ABS SERIES

Tras localizar los archivos, el ransomware iniciaba el proceso de cifrado. Algunas familias de ransomware escaneaban metódicamente los archivos,
directorio por directorio, y los cifraban inmediatamente después de detectarlos. En estos casos, todo el proceso de cifrado a notificación tardó
entre unos segundos y minutos. Otras operaban con más sigilo para no ser detectadas. Las muestras de estas familias generaban primero una
lista de todos los archivos que debían cifrar y, a continuación, iniciaban el proceso de cifrado de forma aleatoria para pasar desapercibidas ante
las soluciones de detección de amenazas para endpoints.

Mientras el ransomware se dedicaba a cifrar archivos, también intentaba maximizar el número de equipos afectados. Para ello, el ransomware
buscaba en el equipo infectado unidades, endpoints y servidores conectados y se propagaba lo máximo posible para maximizar el número de
sistemas secuestrados. Esto solía hacerse de dos maneras. Por un lado, la mayoría de las muestras de ransomware podían localizar unidades
compartidas y unidades de red accesibles desde los endpoints infectados. Si la cuenta de usuario tenía acceso a estas unidades, también lo tenía
el ransomware. Por otro lado, las muestras de ransomware a menudo buscaban equipos conectados e intentaban reutilizar las credenciales de
usuarios para acceder a estos equipos. Si el inicio de sesión se realizaba correctamente, el ransomware podía propagarse, aumentando así el
número total de equipos infectados y elevando el coste de recuperación para la víctima.

Una vez finalizado el proceso de cifrado y después de que el ransomware comenzara a propagarse por la red, los usuarios recibían un aviso
de rescate similar al de la figura 4. Para recibir la clave necesaria para descifrar los archivos afectados, los usuarios debían enviar el pago –(el
rescate) a los atacantes. El pago se exigía normalmente en bitcoins, y para los principiantes en el uso de esta moneda, algunos atacantes llegaron
a establecer “ servicios de asistencia” para ayudar a las víctimas a comprar bitcoins y completar la transferencia de fondos.

Figura 3: Ransomware notice presented to users infected by CTB-Locker.

Repaso de los puntos comunes entre familias de ransomware

Aunque las muestras de diferentes familias de ransomware tenían características ligeramente diferentes, todas tenían tres cosas en común:
• Podían infectar fácilmente los equipos
• Una vez que se producía la infección, la gran mayoría de los archivos se cifraban con éxito
• Los propios archivos de ransomware podían eliminarse fácilmente

Infección
Una de las principales conclusiones es que el software antivirus tradicional a menudo no era eficaz a la hora de detener el ransomware. Esto se
debe a que el software antivirus tradicional se basa en listas de bloqueo conocidas, lo que significa que un programa malicioso específico debe
ser conocido (es decir, debe haber infectado al menos un equipo) para ser añadido a una lista de bloqueo. Debido a la naturaleza polimórfica de
la mayoría de familias de ransomware, no había dos muestras exactamente iguales. En su lugar, con cada nueva víctima, los atacantes crearán
rápidamente un nuevo programa malicioso, ligeramente modificado, para adelantarse a las tecnologías de bloqueo y burlar la detección.

Esta facilidad de infección llevó al equipo de investigación a concluir que, aunque el uso de antivirus representa una buena higiene de seguridad,
no es eficaz contra el malware polimórfico. Para evitar que el ransomware infecte los equipos, las empresas deben adoptar un enfoque más
proactivo a la seguridad de endpoints y servidores, como restringir o bloquear ciertas aplicaciones.

www.cyberark.com Página 5 de 8
 CYBER ARK L ABS SERIES

Cifrado
Una segunda conclusión importante es que, aunque muchas cepas de malware moderno requieren derechos de administrador local para
ejecutarse correctamente, no todas las cepas de ransomware requieren estos derechos.

Esto llevó al equipo de investigación a concluir que, aunque las organizaciones deben eliminar los derechos de administrador local, también
deben controlar las aplicaciones de forma proactiva para evitar el cifrado de archivos. En concreto, el equipo de CyberArk Labs demostró que
cuando se denegaban los privilegios de lectura, escritura y modificación de archivos de las aplicaciones desconocidas y se eliminaban también los
derechos de administrador local, se evitaba el cifrado de archivos causado por el ransomware en el 100 % de los casos.

Eliminación
A diferencia de algunas cepas de malware sofisticado que pueden ser difíciles de localizar y eliminar, las muestras de ransomware analizadas eran
fáciles de localizar y eliminar una vez detectadas. Esto significa que las organizaciones víctimas que realizan copias de seguridad de los archivos de
forma proactiva pueden reducir drásticamente el impacto del ransomware y evitar tener que elegir entre pagar un costoso rescate o perder los
datos para siempre. En su lugar, una vez cifrados los archivos, las empresas víctimas pueden localizar los archivos de ransomware en los equipos
infectados, eliminarlos del sistema y restaurar los archivos afectados a partir de una copia de seguridad.

Como resultado, la copia de seguridad proactiva de archivos en endpoints y servidores puede ayudar a mitigar los daños causados por el
ransomware. Las copias de seguridad frecuentes de los archivos valiosos pueden hacer que sea mucho más fácil recuperarse de los ataques de
ransomware y reducir el impacto de los daños causados por esta cepa de malware.

Evaluación de las estrategias de

mitigación
La investigación demostró que la restricción
Antes de seleccionar una o más técnicas para mitigar los riesgos
de las aplicaciones, junto con la eliminación
asociados con el ransomware, las organizaciones deben tener en
cuenta las ventajas y los retos de cada opción. En esta sección se de los derechos de administrador local, era
describen las estrategias de mitigación evaluadas y probadas por el 100 % eficaz para evitar que el ransomware
equipo de CyberArk Labs, así como las ventajas y desventajas de cada
una de ellas. cifrara los archivos.

Usar listas de aplicaciones permitidas

Por naturaleza, usar listas de aplicaciones permitidas es 100 %
efectivo para bloquear el ransomware, ya que bloquea todas las aplicaciones que no son explícitamente de confianza para que no penetren en
el entorno. Aunque esta estrategia de mitigación es muy eficaz a la hora de evitar ataques de ransomware, es extremadamente difícil de hacer
bien en la práctica. Para usar listas de aplicaciones permitidas de forma eficaz, los equipos de TI deben saber exactamente qué aplicaciones y
versiones necesita cada usuario y sistema de la organización, y cada versión individual de la aplicación debe ser explícitamente permitida por
el equipo de TI. Las listas de permitidos pueden ser un enfoque óptimo para los servidores, que suelen ser estáticos, pero en los endpoints de
usuario dinámicos, que a menudo requieren una amplia variedad de aplicaciones empresariales, este enfoque puede hacer que la productividad de
los usuarios se detenga.

Usar listas de aplicaciones bloqueadas

Al usar listas de aplicaciones bloqueadas, las organizaciones pueden evitar que el malware conocido (es decir, el que ya ha infectado al menos
un equipo) se ejecute en su entorno. Aunque esto es útil para detectar y bloquear versiones antiguas de malware oportunista, es muy ineficaz
para proteger contra el ransomware. Cada día empiezan a circular miles de nuevas muestras de ransomware y los bloqueos de aplicaciones
tradicionales simplemente no pueden seguir el ritmo. 3 Como resultado, el equipo de investigación determinó que, aunque el bloqueo de
aplicaciones es una práctica recomendada en general, no es eficaz para detectar o prevenir el ransomware.

http://www.businessinsider.com/fighting-ransomware-with-antivirus-2016-1
3

www.cyberark.com Página 6 de 8
 CYBER ARK L ABS SERIES

Usar listas de aplicaciones rechazadas

Al aplicar listas de aplicaciones rechazadas, las empresas pueden evitar que el malware conocido y bloqueado se ejecute en sus entornos, así
como limitar los permisos disponibles para todas las aplicaciones que no son explícitamente de confianza. Este enfoque ofrece más flexibilidad
que aplicar listas de aplicaciones permitidas y puede utilizarse para evitar que aplicaciones desconocidas hagan cosas como acceder a Internet y
leer, escribir o modificar archivos. Y lo que es mejor, al restringir los permisos de lectura, escritura y modificación de archivos, el ransomware no
pudo obtener los permisos necesarios para acceder a los archivos y cifrarlos. Cuando el equipo de CyberArk Labs puso a prueba este enfoque
con las muestras de ransomware, tuvo una eficacia del 99,97 % en la prevención del cifrado de archivos en los casos en que el usuario infectado
tenía derechos de administrador local, y del 100 % en la prevención del cifrado de archivos en los casos en que el usuario no tenía derechos de
administrador local.

Mínimo privilegio
Este paso no es solo una buena higiene, sino que también se incluye como una de las “diez leyes inmutables de seguridad” de Microsoft.
Curiosamente, aunque la eliminación de los derechos de administrador local por sí sola suele ser eficaz para prevenir los daños de la mayoría de
los programas maliciosos modernos, el equipo de CyberArk Labs observó que este paso por sí solo solamente era eficaz para prevenir los daños
del 10 % de las muestras de ransomware analizadas. Basándose en esta observación, el equipo de CyberArk Labs reiteró la importancia tanto de
eliminar los derechos de administrador local como de controlar las aplicaciones. Cabe destacar que, antes de eliminar por completo los privilegios
de administrador local de los usuarios, las organizaciones deben evaluar su entorno para comprender los posibles problemas de productividad que
pueden derivarse de esta medida. Algunas aplicaciones y tareas empresariales legítimas requieren privilegios de administrador para funcionar
correctamente, y la eliminación inmediata de estos permisos sin políticas de excepción para las tareas necesarias podría detener la productividad
de la empresa.

Copia de seguridad y recuperación

La copia de seguridad de los datos debe formar parte de la estrategia de recuperación ante desastres de cualquier organización, y la copia de
seguridad automatizada ayuda a garantizar que los archivos de copia de seguridad estén completos y actualizados. La copia de seguridad de
archivos no puede evitar los ataques de ransomware, pero puede reducir considerablemente los daños causados por estos ataques. En lugar de
pagar un rescate para recuperar los datos cifrados, las organizaciones pueden simplemente restaurar los archivos afectados desde la copia de
seguridad más reciente. Las empresas deben tener en cuenta el coste de las copias de seguridad y el almacenamiento en relación con los costes
de la pérdida de datos, la remediación y la recuperación, y priorizar los archivos o activos a los que hay que hacer una copia de seguridad en
función de la tolerancia al riesgo y el presupuesto únicos de la organización.

Recomendaciones
Según la investigación llevada a cabo en CyberArk Labs, el equipo recomienda que las organizaciones apliquen las siguientes técnicas de
mitigación para atenuar los riesgos asociados con el ransomware sin afectar negativamente a la productividad empresarial.
• Restrinja las aplicaciones en los endpoints de los usuarios para evitar que aplicaciones desconocidas, como nuevas instancias de ransomware,
accedan a Internet y obtengan los permisos de lectura, escritura y modificación necesarios para cifrar archivos.
• Permita ciertas aplicaciones en los servidores para maximizar la seguridad de estos activos.
• Elimine los derechos de administrador local de las cuentas de usuario estándar para reducir la superficie expuesta a ataques.
• Aumente automáticamente los privilegios de cuentas para tareas autorizadas específicas a fin de mantener la productividad de los usuarios
sin proporcionarles privilegios innecesarios.
• Utilice herramientas antivirus para protegerse contra malware común y conocido.
• Realice copias de seguridad frecuentes y automáticas de los datos de los endpoints y servidores para permitir una recuperación eficaz en
caso de desastre.

www.cyberark.com Página 7 de 8
 CYBER ARK L ABS SERIES

Para obtener los mejores resultados, CyberArk Labs recomienda que las organizaciones evalúen sus entornos para localizar todos los endpoints y
servidores que contengan archivos confidenciales o valiosos. Después de permitir aplicaciones en servidores estáticos, las organizaciones deben
determinar qué tipos de archivo en los endpoints contienen la información más importante (por ejemplo: .xlsx, .pptx, .pdf, etc.). Esta evaluación
puede ayudar a las organizaciones a comprender qué tipos de archivo son más valiosos, lo que a su vez puede ayudarles a crear políticas eficaces
de listas de aplicaciones rechazadas para proteger estos tipos de archivo de aplicaciones desconocidas.

Resumen
Tras analizar y probar más de 3 millones de muestras de ransomware, CyberArk Labs ha demostrado que un enfoque alternativo a la
seguridad proactiva puede ser eficaz a la hora de protegerse contra el ransomware y, por lo tanto, minimizar drásticamente el impacto
de este tipo de ataques.

Además de eliminar los derechos de administrador de las cuentas de usuario estándar y hacer copias de seguridad de los datos con
regularidad, que se consideran prácticas recomendadas de TI estándar, las organizaciones también deberían considerar el control de
las aplicaciones en los endpoints. Las organizaciones pueden impedir que aplicaciones desconocidas, que no son explícitamente de
confianza ni están bloqueadas, accedan a Internet y obtengan permisos de lectura, escritura y modificación sobre tipos de archivo
definidos. Esto permite a las organizaciones centrarse en la protección del acceso al objetivo de las aplicaciones maliciosas (los
archivos) en lugar de depender únicamente de la capacidad de detectar malware polimórfico, algo increíblemente difícil de hacer
en la práctica. Al probarse en el laboratorio de CyberArk, la combinación de la restricción de aplicaciones y la eliminación de los
derechos de administrador local demostró ser 100 % eficaz a la hora de evitar que el ransomware obtuviera los permisos necesarios
para acceder a los tipos de archivo protegidos y completar el proceso de cifrado.

©Copyright 1999-2021 CyberArk Software. All rights reserved. No portion of this publication may be reproduced in any form or by any means without the express written consent of
CyberArk Software. CyberArk ®, the CyberArk logo and other trade or service names appearing above are registered trademarks (or trademarks) of CyberArk Software in the U.S. and
other jurisdictions. Any other trade and service names are the property of their respective owners. U.S., 04.21. Doc. 237319-ES. CyberArk believes the information in this document is
accurate as of its publication date. The information is provided without any express, statutory, or implied warranties and is subject to change without notice.

THIS PUBLICATION IS FOR INFORMATIONAL PURPOSES ONLY AND IS PROVIDED “AS IS” WITH NO WARRANTIES WHATSOEVER WHETHER EXPRESSED OR IMPLIED,
INCLUDING WARRANTY OF MERCHANTABILITY, FITNESS FOR ANY PARTICULAR PURPOSE, NON-INFRINGEMENT OR OTHERWISE. IN NO EVENT SHALL CYBERARK
BE LIABLE FOR ANY DAMAGES WHATSOEVER, AND IN PARTICULAR CYBERARK SHALL NOT BE LIABLE FOR DIRECT, SPECIAL, INDIRECT, CONSEQUENTIAL, OR
INCIDENTAL DAMAGES, OR DAMAGES FOR LOST PROFITS, LOSS OF REVENUE OR LOSS OF USE, COST OF REPLACEMENT GOODS, LOSS OR DAMAGE TO DATA
ARISING FROM USE OF OR IN RELIANCE ON THIS PUBLICATION, EVEN IF CYBERARK HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

www.cyberark.com Página 8 de 8