-
¿Qué es ransomware? La guía completa
Ransomware es una forma de software malicioso diseñado para bloquear el acceso a un sistema informático o para publicar en línea los datos personales de la víctima. El atacante exige a la víctima un rescate prometiendo (no siempre con sinceridad) restaurar el acceso a los datos una vez que se haya realizado el pago.
Aunque existen desde los años 80, hemos visto el surgimiento de distintos troyanos de ransomware en la última década, pero la verdadera oportunidad para los atacantes ha crecido desde la introducción de Bitcoin. Esta criptomoneda permite a los atacantes obtener fácilmente dinero de sus víctimas, sin pasar por los canales tradicionales.
Un ataque de ransomware comienza cuando el software malicioso se descarga en un dispositivo. Ejemplos de dispositivos: portátiles, teléfonos inteligentes u ordenadores de mesa. El software malicioso normalmente se descarga por error del usuario o por protocolos de seguridad inadecuados.
En los últimos años, los ataques de phishing se han convertido en un modo común de distribuir ransomware. Un ataque de phishing es cuando un ciberdelincuente adjunta un documento o URL infectado a un correo electrónico, aparentando ser un correo legítimo, con la intención de engañar al destinatario para que lo abra. Una vez abierto, el ransomware se instala en el dispositivo.
El "caballo de Troya" es otro estilo popular de ataque que implica camuflar el ransomware como software legítimo e infectar los dispositivos una vez que los usuarios instalan este software.
Una vez que el ransomware ha infectado un sistema, adquirirá el control del proceso crítico del dispositivo; buscando archivos para cifrar; el virus cifrará todos los datos del dispositivo o eliminará los archivos que no pueda cifrar. También infectará cualquier dispositivo externo conectado al equipo anfitrión (host). Además, el virus enviará señales a otros dispositivos en la red infectada para infectarlos también.
Hay muchas variantes diferentes de ransomware y constantemente se crean otras nuevas. A continuación, se muestran los tipos de ransomware más recurrentes y populares:
Suplantación de identidad (phishing)
El sistema de entrega más común de ransomware es a través del spam de suplantación de la identidad: archivos adjuntos que llegan al correo electrónico de la víctima y se hacen pasar por un archivo en el que pueden confiar. Según una investigación de Trend Micro, una firma de investigación de seguridad, el 91% de los ataques cibernéticos y la filtración de datos resultante comienzan con un correo electrónico de suplantación de identidad (spear phishing).
Una vez que se descarga y abre el adjunto, el malware puede apoderarse del ordenador de la víctima y cifrar algunos de los archivos del usuario. Cuando esto sucede, la única forma de poder descifrar los archivos es mediante una clave matemática que solamente el atacante conoce.
En algunos casos el malware muestra un mensaje afirmando que el "Windows" del usuario está bloqueado. A continuación, se anima al usuario a que llame a un número de teléfono de "Microsoft" e introduzca un código de seis dígitos para reactivar el sistema. El mensaje alega que la llamada telefónica es gratuita, pero esto no es cierto. Mientras está al teléfono con el falso "Microsoft", el usuario acumula cargos por llamadas de larga distancia.
Doxware
Otro tipo de malware es el llamado leakware o doxware. En este caso, el atacante amenaza con publicar datos confidenciales del disco duro de la víctima, a menos que se pague un rescate. Suelen están dirigidos a correos electrónicos y documentos de Word, aunque también ha habido casos de variantes móviles en donde se han publicado mensajes privados, imágenes y listas de contactos de los teléfonos de los usuarios.
Doxware es una forma de malware más eficaz que el ransomware, en términos de obtener el dinero de la víctima. Con ransomware, se puede mantener distintas copias de seguridad de datos a los que ya no es posible acceder, pero con doxware, una vez que el atacante accede a la información que la víctima no desea ver publicada, no quedan muchas más opciones al margen pagar.
Anatova
Una detección de malware de 2019 fue el ransomware Anatova. Este nuevo tipo de ransomware extremadamente avanzado se camufla como icono de un juego o aplicación con el objetivo de engañar al usuario para que lo descargue. Una forma de malware extremadamente avanzada, se adapta rápidamente y utiliza técnicas de evasión y propagación para evitar su descubrimiento. Debido al diseño modular, puede incorporar funcionalidades adicionales que le permiten frustrar los métodos anti-ransomware. Afortunadamente, el equipo de McAfee Advanced Threat Research descubrió esta nueva familia de ransomware a principios de 2019 antes de que se convirtiera en una amenaza significativa.
Dharma
Una variante de CrySiS, el ransomware Dharma existe desde 2018, pero los ciberdelincuentes continúan lanzando nuevas variantes que son imposibles de descifrar.
GandCrab
Ransomware malicioso que usa cifrado AES y coloca un archivo llamado "GandCrab.exe" en el sistema. GandCrab se dirige a los consumidores y a las empresas con equipos que ejecutan Microsoft Windows. El 31 de mayo de 2019, los ciberdelincuentes responsables de GandCrab anunciaron que suspendían todos los nuevos ataques del citado ransomware, alegando que habían ganado más de 2 mil millones de dólares en pagos de rescate y que iban a retirarse para disfrutar de una "jubilación bien merecida".
Emotet
En un principio Emotet era un malware que atacaba a bancos: se colaba en el ordenador y robaba información confidencial y privada. Desde su aparición en escena en 2014, Emotet ha pasado por diversas versiones, evolucionando hacia un ransomware que incluso puede evitar ser detectado por algunos productos anti-malware. Desde su creación, Emotet ha robado inicios de sesión bancarios, datos financieros y carteras de Bitcoin de individuos, empresas y entidades gubernamentales en Europa y Estados Unidos.
Utilizando capacidades de tipo gusano para propagarse a otros equipos, los piratas informáticos generalmente introducen Emotet mediante correos electrónicos no deseados creados para parecer legítimos y en los que emplean un lenguaje tentador con el objetivo de engañar a la víctima para que haga clic en el enlace.
Según el Departamento de Seguridad Nacional de EE. UU., Emotet es uno de los programas maliciosos más costosos y destructivos. El coste medio estimado de limpieza de un ataque Emotet es superior a 1 millón de dólares.
Ryuk
Ryuk se dirige específicamente a las grandes organizaciones para obtener un alto rendimiento financiero. Según CrowdStrike, entre agosto de 2018 y enero de 2019, Ryuk obtuvo más de 705,80 bitcoins en 52 transacciones por un valor total de 3 701 893,98 $. Primero llamó la atención con un ataque a las operaciones de Tribune Publishing durante el período navideño de 2018. Al principio, la compañía pensó que el ataque era solo una interrupción del servidor, pero pronto quedó claro que se trataba del ransomware Ryuk.
Otro término para el ransomware como Ryuk que se dirige a las grandes empresas para obtener una alta rentabilidad de la inversión (ROI) es "Big Game Hunting". Estos ataques a gran escala implican una personalización detallada de las campañas para adaptarse mejor a los objetivos individuales, aumentando la efectividad del ataque. Por tanto, el "Big Game Hunting" requiere mucho más trabajo por parte del pirata informático; normalmente también se lanza en fases. Por ejemplo, la fase uno podría ser un ataque de phishing centrado en infectar la red de una empresa con malware para mapear el sistema e identificar los activos esenciales a los que dirigirse. Las fases dos y tres serán entonces una serie de ataques/exigencias de rescate y extorsión.
¿Soy un objetivo de ransomware?
Ningún mercado vertical está a salvo de los efectos del ransomware. Desafortunadamente, algunos son más susceptibles a ataques exitosos que otros. Esto se debe a varios motivos: la tecnología que implementan, la seguridad que aplican, el control de las identidades y la madurez de los privilegios, y sus protocolos generales de ciberseguridad.
Si lee las noticias, habrá notado que organizaciones de diferentes sectores e industrias han sido víctimas de ataques de ransomware. Desde el sector de la salud hasta las aerolíneas, los atacantes no parecen tener preferencia sobre a quién atacan, ¿o sí?
Un atacante normalmente elegirá atacar a una organización basándose en dos cosas:
- Oportunidad
Si una organización tiene un equipo de seguridad pequeño, carece de recursos de TI y tiene una base de usuarios que comparte muchos archivos, por ejemplo, una universidad, entonces un atacante puede considerarlo como un objetivo fácil.
- Potencial ganancia financiera
Es más probable que las organizaciones que necesitan acceso inmediato a sus archivos, por ejemplo, bufetes de abogados o agencias gubernamentales, paguen un rescate rápidamente. Las organizaciones con datos confidenciales también pueden estar dispuestas a pagar para mantener en secreto las noticias sobre la filtración de datos.
¿Debo pagar el rescate?
Cabría pensar que pagar un rescate para obtener acceso a sus datos ya es suficientemente malo, pero podría ser un mal menor en comparación con los costes reales por daños involucrados en un ataque.
Las implicaciones adicionales incluyen:
- Daño y destrucción (o pérdida) de datos
- Productividad perdida
- Interrupción posterior al ataque en el curso normal de los negocios
- Investigación forense
- Restauración y eliminación de datos y de sistemas tomados como rehenes
- Daño reputacional
- Capacitación de los empleados en respuesta directa a los ataques
Cuando se tiene en cuenta lo anterior, no es de extrañar que se pronostique que los daños del ransomware aumenten a 11,5 mil millones de dólares este año, con un ataque previsto cada 14 segundos para finales de año, frente a cada 40 segundos del año pasado.
Cuando se habla con expertos en ciberdelincuencia, la mayoría insta a no pagar los rescates, ya que financiar a los atacantes de ransomware solo ayudará a crear más ransomware. Aunque muchas organizaciones van en contra de este consejo al sopesar el coste de los datos cifrados con el rescate que se solicita. El año pasado, el 45 % de empresas de EE. UU. que fueron víctimas de ransomware pagaron a sus atacantes. ¿Pero por qué?
Si bien lo sugerido para la comunidad empresarial en general es negarse a pagar ransomware, puede que no sea la mejor medida a seguir para la empresa en sí. Cuando existe la posibilidad de que la empresa pierda permanentemente el acceso a datos esenciales, incurra en multas de los reguladores o quiebre por completo, las opciones al alcance de las empresas pueden parecer desoladoras. Entre pagar un rescate relativamente modesto y mantener la actividad del negocio o negarse a pagar para ayudar a la comunidad empresarial, la elección que se plantea está clara para la mayoría.
En algunos casos de ransomware, el rescate exigido se suele establecer en un punto que vale la pena para el atacante, pero es lo suficientemente bajo como para que a la víctima le sea más barato pagar que reconstruir los datos perdidos. A veces también se ofrecen descuentos si la víctima paga dentro de un plazo determinado, por ejemplo, 3 días.
Con eso en mente, algunas empresas están acumulando reservas de Bitcoin específicamente para el pago de rescates. Por ejemplo, en el Reino Unido, las organizaciones parecen más propensas a pagar rescates. Según Gotham Sharma, director gerente de Exeltek Consulting Group, "Aproximadamente un tercio de las medianas empresas británicas informan que tienen Bitcoin a mano para responder a emergencias de ransomware cuando no sea posible agotar otras opciones de inmediato".
Qué hacer cuando está bajo un ataque de ransomware
Si se encuentra infectado por ransomware, debe averiguar qué tipo de ransomware es antes de seguir adelante.
Si no puede ir más allá de la nota de ransomware en su pantalla, probablemente haya sido infectado por un ransomware de bloqueo de pantalla. Si puede navegar a través de sus aplicaciones pero no puede abrir sus archivos, películas, etc., es víctima de un ransomware cifrado, el peor escenario de los dos. Si puede navegar por su sistema y leer todos los archivos, entonces probablemente sea víctima de una versión falsa de ransomware que solo intenta asustarlo para que pague.
Para comprender mejor qué hacer cuando se es víctima tanto del bloqueo de pantalla como de ransomware cifrado, le recomendamos el blog "¿De qué manera puedes evitar el ransomware hoy?"
Incluso cuando se cuenta con las mejores precauciones y políticas, es posible sufrir un ataque. En el caso de que sus datos sean rehenes de un ransomware, recomendamos lo siguiente:
1. Mantenga la calma. Las decisiones precipitadas podrían provocar una mayor pérdida de datos. Por ejemplo, si descubre una infección y de repente corta la alimentación de un servidor en lugar de apagarlo correctamente, podría perder más datos además de los infectados.
2. Nunca pague el rescate, ya que es posible que los atacantes no desbloqueen sus datos. Hay muchos casos de víctimas que pagan el rescate exigido y no reciben sus datos a cambio. En lugar de correr este riesgo, las empresas deberían trabajar con expertos en recuperación de datos que quizás podrían recuperar el acceso a los datos mediante ingeniería inversa del malware.
3. Verifique su conjunto de copias de seguridad más reciente.Si están intactos y actualizados, la recuperación de datos es más fácil de restaurar en un sistema diferente.
4. Comuníquese con un experto para explorar las opciones de recuperación. Un especialista experto en recuperación de datos examinará su escenario para ver si ya tienen una solución; si no es así, deberían poder desarrollar una a tiempo.
Cómo prevenir un ataque de ransomware
Las variantes de ransomware se dirigen a diferentes mercados verticales. Los objetivos de mayor riesgo son el sector de la salud, las instituciones financieras y las agencias gubernamentales. Aquellos que están en situación de riesgo deben tomar precauciones para reducirlo y disminuir los efectos de un ataque.
Uno de los planes más importantes que su organización debe tener es un plan de recuperación ante desastres. Si no tiene uno establecido, es probable que las consecuencias sean graves. Según la Administración Nacional de Archivos y Registros, el 93 % de las empresas que experimentan pérdida de datos y tiempo de inactividad durante diez días o más se declaran en quiebra en un plazo de 12 meses.
Un plan de recuperación ante desastres describe varios escenarios para reanudar el trabajo rápidamente después de un desastre, es decir, un ataque de ransomware. Una parte clave del plan de continuidad del negocio de una organización debe permitir una adecuada recuperación de TI y prevención de pérdida de datos. Un plan de recuperación ante desastres describe diferentes escenarios para reanudar el trabajo rápidamente después de un desastre, es decir, un ataque de ransomware. Una parte vital del plan de continuidad del negocio de una organización debe incluir un plan de recuperación ante desastres que permita una adecuada recuperación de TI y prevención de pérdida de datos.
Si no tiene un plan de recuperación ante desastres, puede descargar nuestra plantilla gratuita aquí.
-
Otras recomendaciones incluyen:
1. Asegúrese de tener copias de seguridad actualizadas - De esta manera, si algo sucede, la restauración de los archivos desde una copia de seguridad es la forma más rápida de recuperar el acceso a los datos.
- 2. Esté preparado probando las copias de seguridad con regularidad.Las organizaciones deben estar familiarizadas con lo que se almacena en los archivos de copia de seguridad y asegurarse de que se pueda acceder a los datos más esenciales en caso de que el objetivo de ransomware sean las copias de seguridad.
- 3. Implemente políticas de seguridad. Utilice el software antivirus y antimalware más reciente y realice un seguimiento constante para evitar infecciones.
- 4. Desarrolle políticas de TI que limiten las infecciones en otros recursos de la red. Las empresas deben implementar medidas de seguridad para que, si un dispositivo se infecta con ransomware, no se propague por toda la red.
- 5. Realice cursos de formación para los usuarios con el objetivo de asegurarse de que todos los empleados puedan detectar un posible ataque. Asegúrese de que los empleados conozcan las mejores prácticas para evitar descargar accidentalmente ransomware o abrir la red a personas externas.
- 6. Asegúrese de tener el contenido escaneado y filtrado en sus servidores de correo. Escanee cada correo electrónico entrante en busca de amenazas conocidas y bloquee cualquier tipo de archivo adjunto que pueda representar una amenaza.
- 7. Vea nuestro seminario web sobre ransomware Prevention and Recovery from Ransomware with Ontrack and NetApp (ENG).
Reducción de la superficie de ataque
Para muchas organizaciones, la gestión de datos a lo largo de su ciclo de vida no suele tenerse en consideración. Pero si una organización no cuenta con una estrategia del ciclo de vida de los datos, se expone a riesgos y costes de seguridad graves. Hoy en día, el coste de salvaguardar los datos de manera ineficaz tiene un "precio demasiado alto".
Los ataques de ransomware no es lo único que las organizaciones deben vigilar, las filtraciones de datos, la reputación dañada, la pérdida de clientes, el tiempo de inactividad y las grandes multas son riesgos potenciales para una organización que no gestiona de manera efectiva el ciclo de vida de sus datos.
Aquellas organizaciones que invierten esfuerzos y recursos necesarios para la gestión del ciclo de vida de los datos pueden minimizar los riesgos y los costes de los datos esenciales para el negocio en todas las etapas.
Cómo ha ayudado Ontrack a las organizaciones víctimas de ransomware
En Ontrack, estamos rastreando continuamente 271 tipos diferentes de ransomware. Ransomware cambia y se desarrolla continuamente, por lo que queremos asegurarnos de estar observando y estudiando los últimos cambios y avances. El estudio de ransomware y los continuos cambios de sus variantes proporciona conocimientos y experiencia adicionales, lo que aumenta la probabilidad de que recuperemos los datos que se han perdido como resultado de un ataque.
Actualmente tenemos capacidades de cifrado en 138 tipos de ransomware. Un gran aumento con respecto a hace un par de años cuando solo teníamos seis. Hemos trabajado en cientos de casos de ransomware que nos han proporcionado información sobre qué esperar en cada tipo.
Cuando se trata de datos inaccesibles, siempre es mejor ponerse en contacto con un experto. Si es víctima de un ataque de ransomware, póngase en contacto con expertos como Ontrack para que le ayuden a conseguir el acceso a sus datos.
A continuación, se muestran algunos ejemplos de casos de éxito en la recuperación de datos de ransomware que hemos completado: