5 biggest ransomware attacks in history

Los ataques de ransomware destacados resultaron en pérdidas financieras sustanciales, alcanzando miles de millones de dólares colectivamente. Los atacantes emplearon tácticas sofisticadas, como la explotación de vulnerabilidades de software y el uso de técnicas de ingeniería social como correos electrónicos de phishing, para infiltrarse en los sistemas y maximizar su impacto. Los ataques de ransomware tuvieron como objetivo organizaciones de diversas industrias a nivel mundial, lo que demuestra la naturaleza generalizada de la amenaza. Los ataques de ransomware representan una amenaza significativa en el panorama digital actual, dejando impactos devastadores en las organizaciones de todo el mundo. En esta publicación del blog, mostraremos los cinco ataques de ransomware más significativos de la historia, cada uno mostrando el alcance de las pérdidas financieras, las sofisticadas estrategias de los atacantes y la necesidad apremiante de medidas sólidas de ciberseguridad. 1. ExPetr Tipo de ataque: Ransomware (un wiper que explota una vulnerabilidad SMB) Año: 2017 Atacantes: Probablemente actores patrocinados por el estado ruso Empresa objetivo: Varias, pero impactó severamente a Maersk y Merck Impacto monetario: Estimado en 10 mil millones de dólares En junio de 2017, el ataque de ransomware ExPetr, también conocido como NotPetya, se extendió por todo el mundo, causando interrupciones y daños sustanciales. A diferencia de las tácticas típicas de ransomware, ExPetr no fue diseñado para exigir un rescate; más bien, su objetivo era causar el máximo daño. Inicialmente dirigido a Ucrania, resultó ser demasiado virulento para ser confinado. Pronto se identificó a NotPetya como un wiper, una forma de malware diseñado para borrar datos haciéndose pasar por ransomware. Aprovechó una vulnerabilidad en los sistemas Windows conocida como EternalBlue. El wiper se propagó rápidamente, cifrando el registro de arranque maestro (MBR) para hacer que los sistemas afectados no pudieran arrancar. Una vez infiltrado en una red, empleó varias técnicas, incluida la herramienta Mimikatz, para recopilar credenciales y propagarse lateralmente. El costo financiero colectivo atribuido a NotPetya se estimó en aproximadamente 10 mil millones de dólares, lo que lo convierte en el ataque documentado más costoso de la historia. Lea también: El banco más grande del mundo afectado por la banda de ransomware LockBit vinculada a ataques a Boeing e Ion 2. WannaCry Tipo de ataque: Ransomware (vulnerabilidad en el protocolo SMB) Año: 2017 Atacantes: Se cree que es el Grupo Lazarus Empresa objetivo: Múltiple (ataque global); usuarios de Microsoft Windows Impacto monetario: Estimado en 4 mil millones de dólares En mayo de 2017, el ataque de ransomware WannaCry afectó a 150 países, afectando a más de 200.000 computadoras. Las estimaciones iniciales de costos alcanzaron los 4 mil millones de dólares, y se proyecta que las pérdidas futuras solo en EE. UU. superen los 7 billones de dólares. WannaCry explotó una vulnerabilidad crítica en la implementación de Microsoft del protocolo Server Message Block (SMB) conocida como EternalBlue, supuestamente desarrollada por la Agencia de Seguridad Nacional de EE. UU. (NSA) y filtrada por el grupo Shadow Brokers. El ransomware cifraba archivos en las computadoras de las víctimas, exigiendo el pago en Bitcoin por una clave de descifrado, típicamente 300 dólares, que se duplicaba si no se pagaba en tres días. Actuando como un gusano, WannaCry se propagó automáticamente a través de las redes, causando una interrupción generalizada en infraestructuras críticas como la atención médica, las finanzas y el transporte. Lea también: Campaña de phishing EvilProxy apunta a usuarios de Microsoft 365 y se centra en ejecutivos de alto nivel 3. GandCrab Tipo de ataque: Ransomware como servicio (RaaS) (phishing, kits de exploits) Año: 2018-2019 Atacantes: contexto documentado públicamente, los operadores anunciaron su 'retiro' en 2019 Empresa objetivo: Varias, incluidas empresas e individuos (PC con MS Windows) Impacto monetario: Estimado en más de 2 mil millones de dólares En 2018, GandCrab surgió como un ataque de ransomware altamente generalizado y rentable. Lo que distinguió a GandCrab fue su enfoque de Ransomware como Servicio (RaaS), en el que los afiliados tenían licencia para llevar a cabo ataques y compartir las ganancias con los desarrolladores. GandCrab se propagó principalmente a través de correos electrónicos de phishing y kits de exploits, en particular los kits GrandSoft y RIG. Al infectar el sistema de una víctima, GandCrab cifraba archivos y exigía un rescate en la criptomoneda Dash para su descifrado. 4. Locky Tipo de ataque: Ransomware (correos electrónicos de phishing que distribuyen una macro en un documento de Word) Año: 2016-2018 Atacantes: contexto documentado públicamente, posiblemente los hackers de Dridex (también conocidos como Evil Corp o TA505) Empresa objetivo: Varias (principalmente proveedores de atención médica en EE. UU., Canadá, Francia, Japón, Corea y Tailandia) Impacto monetario: Estimado en 1 mil millones de dólares Locky, activo principalmente entre 2016 y 2018, se destacó como una de las variantes de ransomware más extendidas, propagada a través de extensas campañas de phishing. Se infiltraba en los sistemas a través de archivos adjuntos de correo electrónico que contenían documentos maliciosos de Word. Al abrir el documento y habilitar las macros, la carga útil del ransomware se descargaba y activaba. Locky cifraba varios tipos de archivos de datos, alteraba sus nombres y exigía el pago en Bitcoin para el descifrado. En particular, podía cifrar archivos almacenados en recursos compartidos de red, aumentando su potencial de daño. Utilizando una combinación de cifrado RSA y AES, Locky hacía que los archivos de las víctimas fueran inaccesibles hasta que se pagara un rescate, que generalmente oscilaba entre 0,5 y 1 Bitcoin. Lea también: HKBN ofrece evaluaciones de phishing gratuitas a SPO 5. Ryuk Tipo de ataque: Ransomware (generalmente infección por TrickBot) Año: 2018-2020 Atacantes: No está claro, posiblemente varios grupos que usan el malware Ryuk o Wizard Spider (Rusia) Empresa objetivo: Varias, principalmente atención médica y municipios Impacto monetario: Estimado en 150 millones de dólares Debutando a mediados de 2018, el ransomware Ryuk surgió rápidamente como una amenaza significativa para las empresas a gran escala. A diferencia de las tácticas típicas de ransomware que dependen de la distribución automatizada, Ryuk se implementa manualmente después de una violación inicial de la red. Los atacantes mapean meticulosamente las redes, extraen datos y recopilan credenciales antes de desatar el ransomware Ryuk, con el objetivo de causar la máxima interrupción. Ryuk emplea una combinación de cifrado RSA-2048 y AES-256, lo que lo hace altamente resistente al descifrado sin las claves necesarias. Además, el malware está diseñado para cifrar unidades de red, recursos y hosts remotos. Ryuk se ha relacionado con numerosos ataques de alto perfil, con demandas de rescate que van desde 15 a 500 Bitcoin (aproximadamente $100,000 a $3.7 millones de dólares). Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.