De acuerdo con el más reciente informe de amenazas de McAfee, los ataques de ransomware crecieron un 118% durante el primer trimestre de 2019. No solamente aumentó significativamente la cantidad de ataques, sino que también surgieron nuevas familias de ransomware durante el año, además de que los cibercriminales utilizan técnicas cada vez más innovadoras para generar caos.
Nuevas familias de ransomware
Los cibercriminales siguen creando nuevas e innovadoras formas de atacar e infectar compañías. Las tácticas de suplantación de identidad spear continúan siendo una elección popular de muchos de los creadores de amenazas. Sin embargo, los investigadores de McAfee mencionan que “una cantidad cada vez mayor de ataques están relacionados con aquellas compañías que ofrecen puntos de acceso remoto expuestos y abiertos, como el protocolo de escritorio remoto (RDP) y computación en red virtual (VNC)”. Los hackers pueden acceder a estas credenciales ya que las compañías con frecuencia dejan los puertos de cliente RDP abiertos a la Internet, a la vez que resulta fácil escanear bloques de direcciones IP en búsqueda de puertos RDP abiertos. Una vez encontrados, los atacantes intentarán obtener el nombre de usuario y contraseña de escritorio remoto por métodos de fuerza bruta. Es posible también que los hackers obtengan credenciales de RDP en el mercado negro o mediante filtraciones de contraseñas.
Anatova
Una novedad de 2019 fue el ransomware Anatova. Esta nueva familia de ransomware se disfraza como un icono de una aplicación o juego para engañar al usuario para su descarga. Es una forma de malware extremadamente avanzada, se adapta rápidamente y utiliza técnicas de difusión y evasión para evitar ser descubierto. Debido a su diseño modular, es posible que incorpore funciones adicionales, lo que le permite evitar los métodos antiransomware. Afortunadamente, el equipo de Investigación de Amenazas Avanzadas de McAfee descubrió esta nueva familia de ransomware a principios de 2019, antes de que se convirtiera en una amenaza significativa.
Dharma
Al ser una variante del CrySiS, el ransomware Dharma existe desde aproximadamente 2018, pero los cibercriminales continúan creando nuevas variantes, las cuales son imposibles de descifrar.
GandCrab
Un ransomware malicioso que utiliza cifrado AES y descarga un archivo llamado ‘GandCrab.exe’ al sistema. GandCrab ataca tanto a usuarios como a empresas con PC bajo Microsoft Windows. El 31 de mayo de 2019 los cibercriminales de GandCrab publicaron un comunicado en donde mencionaban que dejarían de producir ataques de ransomware de GandCrab, ya que habían logrado obtener más de 2000 millones de dólares en pagos de rescates, por lo que pasaban a un “bien ganado retiro”.
Emotet
Originalmente, Emotet era un malware que atacaba bancos. Lo hacía ingresando a tu computadora y robando información privada y sensible. Luego de su primera aparición en 2014, Emotet atravesó distintas versiones, evolucionando a un ransomware que puede evitar la detección de algunos productos antimalware. Desde su creación, Emotet ha robado usuarios de banco, datos financieros y monederos de Bitcoin de usuarios, compañías y entidades gubernamentales de toda Europa y los Estados Unidos.
Al utilizar capacidades similares a las de los gusanos para propagarse a otras computadoras, los hackers normalmente envían el Emotet mediante correos electrónicos de spam, los cuales lucen legítimos y utilizan un lenguaje atractivo para lograr que la víctima haga clic sobre el vínculo.
Emotet es uno de los malware más destructivos y costosos. De acuerdo al Departamento de Seguridad Interna, el costo de limpieza luego de un ataque de Emotet promedio supera el millón de dólares.
Ryuk
Ryuk ataca específicamente a las grandes organizaciones para obtener grandes resultados financieros. De acuerdo a CrowdStrike, entre agosto de 2018 y enero de 2019, Ryuk embolsó más de 705,80 Bitcoin en 52 transacciones, con un valor total de $ 3.701.893,98. Llamó la atención por primera vez cuando atacó las operaciones de Tribune Publishing durante el periodo navideño de 2018. Inicialmente, la compañía pensó que el ataque era simplemente una caída de servidores, pero pronto resultó claro que se debía al ransomware Ryuk.
Al ransomware como el Ryuk, que apunta a grandes compañías para obtener grandes ROI, también se lo denomina de “caza mayor”. Estos ataques a gran escala implican una detallada personalización de campañas para adecuarse mejor a los objetivos individuales, lo que aumenta la efectividad de los ataques. Por lo tanto, los ataques de “caza mayor” requieren de mucho más trabajo por parte del hacker. Debido a ello, normalmente se lanzan en etapas. Por ejemplo, la etapa uno puede ser un ataque de suplantación de identidad con el objetivo de infectar la red de una compañía con malware para mapear el sistema e identificar activos cruciales a los cuales apuntar. Las etapas dos y tres serán entonces una serie de ataques y demandas extorsivas en búsqueda de lograr el pago del rescate.
Cómo evitar el ransomware
Debemos tener en cuenta muchas cosas al combatir el ransomware. A partir de que actualmente existen muchos tipos diferentes de malware, debes tener presente los siguientes tres consejos fundamentales y actuar en consecuencia.
1. La seguridad del correo electrónico es fundamental
De acuerdo a McAfee, el correo electrónico de publicidad no deseada continúa siendo una de las principales formas de acceso de los virus de ransomware, especialmente en los casos de ataques orientados. Por lo tanto, resultará esencial para todo aquel que administra una red o se conecta a Internet proteger esta vía principal de vulnerabilidades.
La mayor parte de los usuarios inician un ataque de ransomware al abrir lo que parece un correo electrónico normal y que en realidad alberga el virus dentro de un documento, una foto, un video u otro tipo de archivo. La mayor parte de los hackers actuales no necesitan de muchos conocimientos para insertar un malware en un archivo. Existen numerosos artículos y tutoriales de YouTube con instrucciones paso a paso para hacerlo.
Teniendo siempre presente esto, siempre debes evitar abrir un correo electrónico de un remitente desconocido. Si recibes un correo electrónico de origen desconocido, informa de esta situación al equipo de IT o de asesores de seguridad de tu compañía inmediatamente.
Recuerda: siempre será la decisión correcta mantener seguros los datos y sistemas de IT de tu compañía.
2. Protege tu red y tu entorno de IT
Sin dudas, la infección por ransomware de una única computadora es un problema serio. Pero cuando se propaga a toda la red, puede transformarse en no solamente una pesadilla para el departamento de IT, sino que puede poner en peligro a toda la compañía.
Las compañías que no lo hayan hecho ya, deberían evaluar la implementación de un software de seguridad de datos que revise todos los correos electrónicos ingresantes antes de que los reciba el destinatario original. Dicha solución reducirá dramáticamente las probabilidades de que un virus se extienda por dentro de la red de la compañía. Además, los administradores y gestionadores de IT deben evaluar la implementación de un software de seguridad de red que monitoree automáticamente la red y sus archivos en búsqueda de amenazas. La solución también debe alertar a los administradores, si detecta que un ataque de ransomware está intentando cifrar grandes cantidades de archivos en la red.
Por último, aunque no menos importante: Siempre actualiza tu software y sistemas operativos con los parches más recientes, en cuanto estén disponibles. Como mencionamos repetidamente, los hackers solamente pueden alcanzar el éxito en sus ataques cuando las políticas de seguridad de datos de la víctima ofrecen vulnerabilidades.
3. Logra que tus empleados actúen inteligentemente
Incluso los usuarios de computadora más experimentados entran en pánico cuando se dan cuenta de que se enfrentan a un ataque de ransomware. Por lo tanto, resulta importante que todos los empleados de una compañía sepan exactamente qué hacer si ocurre un ataque de ransomware, incluso los directores de IT y los ejecutivos de alto nivel.
Un ataque de ransomware debe ser no solamente parte del plan de continuidad de negocios para los expertos de IT o los puestos superiores, sino que en todas las oficinas deben ser visibles y comprensibles las recomendaciones precisas de qué hacer. Las mismas pueden ser simples, pero efectivas, como las siguientes:
- Desconéctate de Internet y de la red interna.
- Intenta apagar el dispositivo de manera adecuada o llama inmediatamente al departamento de IT/seguridad de IT.
El personal de administración y de seguridad de IT debe informarse de forma continua con respecto a los más recientes desarrollos del ciberdelito y la ciberseguridad. Por lo tanto, debería ser una necesidad para estos empleados la lectura de los más recientes blogs de noticias, la actualización con respecto a los nuevos desarrollos en ese espacio y los puntos débiles en las redes o en las soluciones de software.
¿Qué hacer si sufres una infección por ransomware?
Si por una u otra razón el ransomware supera tus defensas, debes hacer lo siguiente:
- ¡Nunca pagues el rescate! Pagarle los criminales no garantiza que recuperarás tus datos. En muchos casos (y definitivamente si es un ranscam o un wiper) no recuperarás tus datos, ¡lo que te dejará sin datos y con mucho menos dinero!
- No intentes descifrar los datos tú mismo. Algunos especialistas en computación pueden ser capaces de recuperar datos perdidos, pero esto es riesgoso. Si algo sale mal, puedes destruir tus datos para siempre.
Recuperación de datos luego de un ataque de ransomware
Desde la perspectiva de un especialista en recuperación de datos, cada caso de ransomware es diferente. No solamente existen grandes diferencias entre las formas en las que las variantes de ransomware cifran los datos y se dispersan por la red, sino también en las formas en las que atacan a las distintas áreas de los sistemas de almacenamiento de datos.
Algunas estructuras de datos y sistemas son más complejos y requieren de más tiempo que otros para su recuperación. Ya que cada caso es diferente, tiene sentido ponerse en contacto con los especialistas y consultarles si tienen experiencia con ese tipo de ransomware. Ellos podrán recomendarte si vale la pena enviar tu dispositivo para intentar una recuperación de datos y te mencionarán si ya han tenido éxito en casos similares anteriores.
Los ataques de los últimos años muestran que el ransomware continúa siendo una amenaza seria, tanto para los usuarios individuales como para las compañías. Por lo tanto, resulta aconsejable volver a revisar tus procedimientos de copias de respaldo, capacitación de usuarios, políticas de red y seguridad de datos.
Desde la perspectiva de las copias de respaldo, te recomendamos que almacenes los respaldos de los datos críticos de tu compañía en dispositivos de almacenamiento externo que no conectes a tu red. Por ejemplo, en cintas. Es recomendable también comprobar la precisión y funcionamiento de los respaldos de forma regular.
Si tus copias de respaldo no funcionan o se ven afectadas por un ransomware, la mejor opción es contactar a un proveedor de servicios de recuperación de datos profesional, quien puede intentar recuperar tu información a partir del dispositivo de respaldo problemático o intentar sortear el ransomware para llegar a los datos.