Internet está plagado de peligros en estos días, pero nada asusta más a los usuarios y profesionales de la seguridad de TI que la amenaza del ransomware. Un ataque de ransomware es tan malo como puede llegar a ser un ciberataque. Puede cerrar tu negocio, en el caso de organizaciones de atención médica que pueden poner en peligro la vida de los pacientes, dañar tu reputación con los clientes y empleados e invitar a más ataques, ya que los ciberdelincuentes ven tu organización como una marca fácil. Aquí tienes una completa guía sobre el ransomware, qué es y cómo funciona, cómo prevenirlo y qué hacer si te conviertes en una de sus desafortunadas víctimas.

¿Qué es el ransomware?

Sabes que eres víctima de ransomware si tu escritorio tiene un mensaje que dice algo como:

“!!! INFORMACIÓN IMPORTANTE !!! Todos sus archivos están cifrados con cifrados RSA-2048 y AES-128″.

O puede que veas un archivo readme.txt que diga: “Sus archivos han sido reemplazados por estos contenedores cifrados y no se puede acceder a ellos; perderá sus archivos el [ingrese la fecha] a menos que pague $ 2500 en Bitcoin«.

El ransomware es bastante simple: el malware se instala de forma encubierta en un sistema y ejecuta un ataque de criptovirología que bloquea o cifra archivos valiosos en la red. Sin una política integral de segmentación o microsegmentación de la red, los actores malintencionados también pueden moverse lateralmente dentro de la red de tu organización, infectar terminales y servidores, y exigir un rescate por el acceso a sus datos.

Un ataque de ransomware es un ciberataque que involucra a una parte no deseada (pirata informático) que usa malware para evitar que accedas a tus dispositivos o datos. Pero lo que empeora esto, y es la razón por la que se conoce como un ataque de ransomware, es que quieren algo a cambio de devolverte el acceso.

En realidad, aquí hay dos componentes:

  • La infección de ransomware. Un ciberdelincuente infecta un dispositivo con un software malicioso (malware) conocido como ransomware. Este malware crea la denegación de acceso al dispositivo y / o sus datos, ya sea bloqueando el dispositivo o encriptando todos sus archivos y otros datos.
  • La demanda de rescate del atacante. El ciberdelincuente utiliza la influencia que tiene para hacer una demanda. Por lo general, solicitan criptomonedas a cambio de una clave de descifrado para devolverte el acceso a tus datos.

Pero, ¿a qué están tratando exactamente los operadores de ransomware de negarte el acceso? Un pirata informático podría estar negando el acceso a:

  • Computadoras del hogar o del trabajo,
  • Dispositivos móviles,
  • Sitio web o servidores web,
  • Otros tipos de servidores (como el ataque mencionado anteriormente al servidor de correo electrónico de ISS World),
  • Sistemas de TI, o
  • Cualquier otro tipo de datos o red.

Lo que se pide a cambio de la devolución del acceso es, típicamente, una demanda monetaria. Los piratas informáticos de ransomware son conocidos por exigir pagos en monedas digitales como Bitcoin, Ethereum y Monero. Esto se debe a que muchos tipos de criptomonedas son seudónimos.

Origen y evolución

Algunas de las primeras infecciones de ransomware ocurrieron en 2005 y 2006. Estos casos involucraron a víctimas en Rusia, utilizando la compresión para evitar el acceso a archivos protegidos por contraseña. en los puntos finales de las víctimas. Estas infecciones también incluyeron la carga de un archivo en las computadoras de las víctimas para presentar la nota de rescate, que exigía 300 dólares por el acceso devuelto a los datos y archivos.

Estas primeras muestras de ransomware no funcionaron exactamente como lo hacen las muestras actuales. A menudo, el ransomware generalizado del que estamos acostumbrados a escuchar hoy se incluye en una de dos categorías: ransomware de bloqueo o ransomware de cifrado. En ambos casos, las víctimas no pueden abrir y recuperar archivos y datos.

Sin embargo, las primeras muestras de ransomware solo podían bloquear archivos específicos, pero los autores de malware se aseguraron de que su código malicioso se dirigiera a algunos de los tipos más utilizados, incluidos .JPG, .PDF, .ZIP y .DOC.

En 2012, vimos algunas de las primeras infecciones que buscaban sacar provecho del temor al pago. En 2012, los atacantes en Rusia y Europa utilizaron una artimaña que involucraba notas de ransomware que parecían ser advertencias legítimas de las fuerzas del orden. Esta táctica hizo que las víctimas creyeran que de alguna manera habían violado la ley y tenían que pagar una multa para resolver el asunto.

Con el paso del tiempo, los autores de malware utilizaron métodos cada vez más dañinos para alentar a las víctimas a pagar. Para 2013, los piratas informáticos no solo estaban bloqueando archivos e impidiendo el acceso con demandas de rescate en pantalla. Este fue el año en que surgieron las muestras de cripto-ransomware, que tenían la capacidad de eliminar datos y bloquearlos.

Una familia que seguramente no se convertirá en una nota a pie de página en la evolución de ransowmare es WannaCry. Se extendió por redes en numerosos países diferentes en mayo de 2017 y rápidamente se convirtió en una de las amenazas de ransomware más generalizadas hasta la fecha.

Siguiendo de cerca a WannaCry estaba Petya, que representó el segundo gran ataque global de ransomware que tuvo lugar en el espacio de solo ocho cortas semanas. Petya también aprovechó la misma vulnerabilidad de Windows, pero tenía un plan de respaldo en caso de que se instalara un parche: el ransomware también podría buscar debilidades en las herramientas administrativas de Windows para estimular el ataque.

¿Cómo funciona el secuestro de datos?

La forma más común de que los delincuentes infecten una organización es enviando un correo electrónico con un enlace o archivo adjunto malicioso en el que un empleado hace clic sin saberlo para iniciar un ataque. Estos pueden ser correos electrónicos enviados a millones de víctimas potenciales o correos electrónicos dirigidos enviados a una persona específica en una organización en particular.

Los atacantes informarán a la víctima que sus datos están encriptados. Para acceder a la clave de descifrado, la víctima debe realizar un pago rápido, a menudo en criptomonedas que protegen la identidad del atacante. Si no se paga dentro de un período inicial, generalmente 72 horas, los atacantes no tienen vergüenza de aumentar el rescate y, a menudo, amenazan con eliminar sus datos también. Y dado que no puedes esperar negociaciones de buena fe, no hay garantía de que el atacante proporcione el pospago clave.

El ransomware contiene con frecuencia capacidades de extracción que pueden robar información crítica como nombres de usuario y contraseñas, por lo que detener el secuestro de datos es un asunto serio. Con vulnerabilidades arraigadas en usuarios desprevenidos, la tarea de prevenir estos ataques significa tanto la capacitación del personal como un sólido sistema de seguridad de red y correo electrónico que incluye un sólido programa de respaldo para que tengas una copia reciente de tus datos a la que puedas acudir.

El vector de ataque por correo electrónico puede hacer que el ransomware sea un problema difícil de detener. Si el atacante está decidido, es casi imposible evitar que encuentre una manera de atraer a un empleado. Los atacantes pueden engañar incluso a usuarios sofisticados para que hagan clic en una factura que están esperando, o una fotografía que aparentemente es de alguien que conocen, o un documento que parece provenir de su jefe. Las organizaciones deben prepararse para lo peor y tomar todas las medidas necesarias para minimizar el impacto potencial.

Tipos de ransomware

A lo largo de los años, hemos visto varias variedades de ransomware en los titulares: CryptoLocker en 2013, Locky en 2016, WannaCry y Hermes en 2017, GandCrab en 2018, y ahora, Ryuk se une al paquete de nombres notables en malware criminal. En esta nueva década, el ransomware Ryuk sigue siendo la cepa más peligrosa.

Veamos los diferentes tipos de ransomware que existen.

Scareware

El scareware es el tipo más simple de ransomware. En concreto, utiliza tácticas de amedrentamiento o intimidación para hacer que las víctimas paguen. Este tipo de malware puede adoptar la forma de un programa de software antivirus que muestra un mensaje en el que se informa que la computadora tiene varios problemas y el usuario debe efectuar un pago en línea para corregirlos.

El nivel de este tipo de ataque es variable. En ocasiones, abruma a los usuarios con alertas y mensajes emergentes interminables. En otros, la computadora deja de funcionar por completo.

Bloqueadores de pantalla

Los ataques de ransomware de casilleros bloquean toda la computadora en lugar de cifrar archivos específicos. Los atacantes prometen desbloquear el dispositivo si la víctima paga el rescate.

Un ataque de casillero normalmente permite al usuario iniciar el dispositivo. Sin embargo, el dispositivo tiene acceso limitado y permite que la víctima solo interactúe con el atacante.

Los atacantes detrás del ransomware de casilleros a menudo utilizan la ingeniería social para presionar a la víctima para que pague el rescate. Imitar a las autoridades fiscales o las agencias de aplicación de la ley es una táctica común.

De cifrado

Los ataques de ransomware criptográfico (o casilleros de datos) cifran archivos en una computadora para evitar que la víctima acceda a los datos. La forma más sencilla de restaurar datos es utilizar una clave de descifrado, que es lo que ofrecen los atacantes a cambio de un rescate.

El ransomware criptográfico no suele cifrar todos los datos de un dispositivo. En cambio, el programa escanea silenciosamente la computadora en busca de datos valiosos y encripta solo esos archivos. Los objetivos típicos de un ataque criptográfico son la información financiera, los proyectos laborales y los archivos comerciales confidenciales.

Este tipo de ransomware no bloquea la computadora. Las víctimas pueden seguir usando sus dispositivos incluso si se niegan a pagar el rescate.

¿Quién es más vulnerable a los ataques de ransomware?

Los ataques de ransomware se dirigen a empresas de todos los tamaños (el 5% o más de las empresas de los 10 principales sectores industriales han sido atacadas), desde pequeñas y medianas empresas hasta las grandes empresas, nadie es inmune. Los ataques van en aumento en todos los sectores y empresas de todos los tamaños.

Además, el reciente intento de phishing dirigido a la Organización Mundial de la Salud (OMS), aunque no tuvo éxito, demuestra que los atacantes no tienen límites cuando se trata de elegir a sus víctimas. Estos intentos indican que las organizaciones, que a menudo tienen controles más débiles y sistemas de TI desactualizados o poco sofisticados, deben tomar precauciones adicionales para protegerse a sí mismas y a sus datos.

Estados Unidos ocupa el primer lugar en el número de ataques de ransomware, seguido de Alemania y Francia. Las computadoras con Windows son los principales objetivos, pero también existen cepas de ransomware para Macintosh y Linux.

La desafortunada verdad es que el ransomware se ha generalizado tanto que para la mayoría de las empresas es seguro que estarán expuestas hasta cierto punto a un ataque de ransomware o malware. Lo mejor que pueden hacer es estar preparados y comprender las mejores formas de minimizar el impacto del ransomware.

Los correos electrónicos de phishing, los archivos adjuntos de correo electrónico maliciosos y las visitas a sitios web comprometidos han sido vehículos comunes de infección, pero otros métodos se han vuelto más comunes recientemente. Las debilidades en el Bloque de mensajes del servidor (SMB) y el Protocolo de escritorio remoto (RDP) de Microsoft han permitido que los gusanos criptográficos se propaguen. Las aplicaciones de escritorio, en un caso un paquete de contabilidad, e incluso Microsoft Office también han sido agentes de infección.

Las cepas de ransomware recientes como Petya, CryptoLocker y WannaCry han incorporado gusanos para propagarse a través de las redes, ganándose el apodo de «gusanos criptográficos».

Ransomware en móvil

Recientemente, el malware móvil siguió los pasos del malware de PC, como lo ha hecho muchas veces antes, ya que varios proveedores de seguridad detectaron un fuerte aumento en la propagación del ransomware móvil. El ransomware ha crecido más del 50% durante el último año.

Es probable que el ransomware móvil intente infiltrarse en Google Play, la tienda oficial de aplicaciones de Google, para lograr una amplia distribución, lo que aumentará las ganancias de los atacantes en consecuencia. Aunque es más difícil para el ransomware eludir las protecciones de seguridad debido a su inconfundible naturaleza maliciosa, ya se ha detectado una nueva variante de ransomware, llamada Charger, que logró ingresar a Play Store utilizando varias técnicas de ofuscación.

El ransomware móvil actual cifra solo algunas partes del dispositivo y los archivos almacenados en él, dejando el resto intacto, o incluso es suficiente para bloquear el acceso del usuario al dispositivo sin cifrar nada en absoluto. Esto se debe a los mayores privilegios necesarios para cifrar ciertas partes del dispositivo, que a su vez exigen más esfuerzo por parte de los piratas informáticos. Sin embargo, a medida que avanza el ransomware móvil, es seguro asumir que los perpetradores intentarán cifrar todos los activos en el dispositivo, incluida la tarjeta SD, que a menudo contiene los datos más valiosos, incluso si el proceso implica rootear el dispositivo. Una vez que el ransomware encripta todo el dispositivo, el usuario no tendrá más opción que pagar.

Ransomware en Mac

No ha habido demasiadas cepas diseñadas específicamente para infectar las computadoras Mac de Apple desde que apareció el primer ransomware Mac completo hace solo cuatro años. Este ransomware se conoce como ThiefQuest.

Además del ransomware, ThiefQuest tiene un conjunto completo de capacidades de software espía que le permiten filtrar archivos de una computadora infectada, buscar contraseñas y datos de billetera de criptomonedas en el sistema, y ​​ejecutar un registrador de teclas robusto para obtener contraseñas, números de tarjetas de crédito u otros. información financiera a medida que un usuario la ingresa.

Para que tu Mac se infecte, necesitarías descargar un instalador comprometido y luego descartar una serie de advertencias de Apple para ejecutarlo. De ahí la importancia de descargar software únicamente de fuentes oficiales.

Ejemplos de ataques de ransomwre

Aquí tienes algunos de los ejemplos de ransomware más conocidos:

CryptoLocker

El primer informe de CryptoLocker ocurrió en septiembre de 2013. Este troyano apuntaba a dispositivos que ejecutaban Microsoft Windows y se propagaba a través de archivos adjuntos de correo electrónico infectados y una botnet Gameover ZeuS.

Una vez activado, CryptoLocker cifró los archivos en unidades locales y montadas con criptografía de clave pública RSA. CryptoLocker fue el primer ransomware en cifrar datos con una clave simétrica diferente para cada archivo. El programa pudo cifrar 70 formatos de archivo.

CryptoWall

CryptoWall apareció por primera vez a principios de 2014. Este ransomware se propaga a través de correos electrónicos de phishing, kits de explotación y anuncios maliciosos. Tras la instalación, el programa:

  • Cifra los datos.
  • Codifica los nombres de los archivos para confundir a la víctima.
  • Elimina los puntos de restauración del sistema.

El servidor de comando y control almacena las claves de descifrado, por lo que el descifrado local es imposible. Una característica notable de CryptoWall es que los atacantes siempre ofrecen descifrar un archivo de forma gratuita.

TeslaCrypt

TeslaCrypt fue un troyano ransomware lanzado en febrero de 2015 que apuntaba a los jugadores que usaban computadoras con Windows. Este programa se difundió a través de un exploit de Angler Adobe Flash.

Una vez dentro del sistema, TeslaCrypt buscó archivos de datos y los cifró con cifrado AES. TeslaCrypt apuntó a 185 tipos de datos en 40 videojuegos diferentes, entre los que destacan World of Warcraft y Minecraft. Datos guardados cifrados con ransomware, perfiles de jugadores, mapas personalizados y modificaciones de juegos.

SamSam

Comenzó a aparecer a finales de 2015. Este ransomware no depende de ninguna forma de ingeniería social. En cambio, SamSam se propaga explotando las vulnerabilidades del sistema en los servidores host de JBoss.

Una vez dentro del sistema, los atacantes obtienen derechos de administrador y ejecutan un archivo ejecutable que cifra los datos. La víctima no necesita abrir un archivo adjunto o una aplicación infectada.

SamSam extorsionó más de $ 6 millones y causó más de $ 30 millones en daños. Entre las víctimas notables de este ransomware se incluyen:

  • La ciudad de Farmington en Nuevo México.
  • Condado de Davidson en Carolina del Norte.
  • El Departamento de Transporte de Colorado.
  • La infraestructura de Atlanta.

Petya

Es un programa que apareció por primera vez en marzo de 2016. En lugar de cifrar archivos, Petya cifra todo el disco duro. Petya se distribuye principalmente a través de los departamentos de RR.HH. de empresas medianas y grandes. Los atacantes suelen enviar solicitudes de empleo falsas con archivos PDF infectados o enlaces de Dropbox.

Un ataque comienza con una infección del registro de inicio maestro de la computadora. Petya luego sobrescribe el cargador de arranque de Windows y reinicia el sistema. Al iniciarse, la carga útil cifra la tabla maestra de archivos del sistema de archivos NTFS. Luego, la víctima ve una nota de rescate solicitando el pago en Bitcoins.

Ryuk

La familia de ransomware Ryuk surgió en 2018 de un sofisticado grupo de ciberdelincuencia con sede en Rusia. Al igual que Samas y BitPaymer ransomware, Ryuk se dirige a grandes organizaciones con altas demandas de rescate. Pero lo que distingue la letalidad de Ryuk son sus niveles de cifrado de grado militar, la capacidad de eliminar instantáneas en el punto final y cifrar las unidades y los recursos de la red. Sin copias de seguridad externas o tecnología de reversión, la recuperación es imposible.

Este ransomware ha sido el responsable del ciberataque sufrido por el SEPE hace unas semanas y que inhabilitó todo su sistema informático.

Prevención del ransomware

Un ataque de ransomware puede ser devastador para un hogar o una empresa. Se pueden perder archivos valiosos e irreemplazables y se pueden requerir decenas o incluso cientos de horas de esfuerzo para deshacerse de la infección y hacer que los sistemas vuelvan a funcionar.

Los ataques de ransomware continúan evolucionando y los métodos de ataque se vuelven cada vez más sofisticados. No es necesario que formes parte de las estadísticas. Con una buena planificación y prácticas inteligentes, puedes evitar que el ransomware afecte tus sistemas. Estas son las actuaciones para protegerse del ransomware:

  • Parchea las vulnerabilidades y mantén tus sistemas actualizados. Las actualizaciones y los parches son la forma que tienen los fabricantes de corregir las vulnerabilidades que existen dentro de sus productos.
  • Ejecuta un análisis de vulnerabilidades
  • Protege tu correo electrónico: Los filtros de spam, las listas negras y la formación en conciencia cibernética son algunas de las cosas que puedes usar para proteger el correo.
  • Realiza copias de seguridad: Otra forma de luchar contra el ransomware es hacer una copia de seguridad de tus datos o sitio web. Si un ciberdelincuente se apodera de la computadora, no tendrá mucha influencia si mantienes copias de seguridad actuales de tus valiosas fotos, documentos y otros archivos en un disco duro externo.
  • Considera la posibilidad de implementar software de seguridad para proteger los puntos finales, los servidores de correo electrónico y los sistemas de red contra infecciones.
  • Practica la higiene cibernética, por ejemplo, ten cuidado al abrir enlaces y adjuntos de correo electrónico.
  • Segmenta tus redes para mantener aisladas las computadoras críticas y evitar la propagación de malware en caso de ataque.
  • Desactiva los recursos compartidos de red innecesarios.
  • Desactiva los derechos de administrador para los usuarios que no los requieran. Otorga a los usuarios los permisos de sistema más bajos que necesitan para realizar su trabajo.
  • Restringe los permisos de escritura en los servidores de archivos tanto como sea posible.

¿Cómo eliminarlo del equipo?

Si has sido atacado por ransomware, ¿Que deberías hacer después?

  • Aislar la infección: evita que la infección se propague separando todas las computadoras infectadas entre sí, el almacenamiento compartido y la red.
  • Identifica la infección: a partir de mensajes, evidencia en la computadora y herramientas de identificación, determina con qué cepa de malware estás tratando.
  • Informe: Informa a las autoridades para apoyar y coordinar medidas de contraataque.
  • Determina tus opciones: tienes varias formas de lidiar con la infección. Determina cuál es el mejor método para ti.
  • Restaurar y actualizar: utiliza copias de seguridad seguras y fuentes de programas y software para restaurar tu computadora o equipar una nueva plataforma.
  • Planifica para prevenir la recurrencia: haz una evaluación de cómo ocurrió la infección y qué puedes hacer para implementar medidas que evitarán que vuelva a ocurrir.

Una vez que hayas identificado el tipo de ransomware que atacó tu computadora, el siguiente paso que debes hacer es identificar cómo eliminar el ransomware de la computadora.

Una forma de hacerlo es restaurando una copia de seguridad limpia. Si puedes asegurar una copia de seguridad limpia en otro disco separado o en la nube y has sido atacado por el ransomware, podrás reformatear tu disco y restaurar su copia de seguridad limpia. De esa manera, eliminarás con éxito el virus ransomware de tu computadora.

Otra forma de eliminar el ransomware es mediante el uso de herramientas de descifrado. Esta herramienta de descifrado está desarrollada por programadores informáticos con el objetivo de ayudar a las víctimas a recuperar sus datos robados por el ransomware. Esta herramienta dependerá del tipo de ransomware que haya ingresado en tu computadora. Aparentemente, esta utilidad de descifrado no cubre todos los ransomware.

Si no sabes cómo eliminar el virus ransomware, la negociación podría ser tu última acción y la más peligrosa. Esta opción es muy común para algunas pequeñas empresas que valoran tanto sus datos. Están dispuestos a pagar el rescate solo para recuperar sus valiosos datos. Otros intentan negociar y evitan pagar la tarifa de rescate exigida. Pagan la cantidad más pequeña, las posibilidades son altas porque todo lo que quieren es dinero, es mejor para ellos obtener una cantidad pequeña en lugar de nada.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.