¿Qué es el ransomware?





por Víctor Ruiz, fundador de SILIKN

El ransomware es un tipo de malware que encripta los archivos de una víctima. El atacante luego exige un rescate de la víctima para restablecer el acceso a los datos tras el pago.

Los usuarios reciben instrucciones sobre cómo pagar para obtener la clave de descifrado. Los costos pueden variar desde unos pocos cientos hasta miles de dólares, por lo general pagaderos a los cibercriminales en Bitcoin.

Hay varios vectores que el ransomware puede atacar para acceder a una computadora. Uno de los sistemas de entrega más comunes es el phishing, que se hace a través de archivos adjuntos que llegan a la víctima en un correo electrónico, disfrazados como un archivo en el que deben confiar. Una vez que se descargan y abren, pueden hacerse cargo de la computadora de la víctima, especialmente si incluyen herramientas de ingeniería social incorporadas que engañan a los usuarios para que permitan el acceso. Algunas otras formas más agresivas de ransomware, como NotPetya, explotan agujeros de seguridad para infectar computadoras sin necesidad de engañar a los usuarios.

El malware puede realizar varias acciones una vez que se apodera de la computadora de la víctima, pero la más común es cifrar algunos o todos los archivos del usuario. Al final del proceso, los archivos no se pueden descifrar sin una clave matemática conocida solo por el atacante. Al usuario se le presenta un mensaje que explica que sus archivos ahora son inaccesibles y solo se descifrarán si la víctima envía un pago de Bitcoin no rastreable al atacante.

En algunas variantes del malware, el atacante podría afirmar que es una autoridad que apaga la computadora de la víctima debido a la presencia de pornografía o software pirata, por lo que exige el pago de una “multa”, esto con la finalidad de hacer que las víctimas sean menos propensas a reportar el ataque a las verdaderas autoridades. Pero la mayoría de los ataques no se molestan con esta pretensión. También hay una variación, llamada fuga o doxware, en la que el atacante amenaza con publicitar datos confidenciales ubicados en el disco duro de la víctima a menos que se pague un rescate. Pero debido a que encontrar y extraer dicha información es una propuesta muy complicada para los atacantes, el ransomware de cifrado es el tipo más común.

¿Quién puede ser víctima del ransomware?

Son múltiples y muy variadas las formas en que los atacantes eligen las organizaciones a las que se dirigen con ransomware. A veces es una cuestión de oportunidad: por ejemplo, los atacantes pueden atacar a las universidades porque tienden a tener equipos de seguridad más pequeños y una base de usuarios dispares que comparte muchos archivos, lo que facilita la penetración de sus defensas.

Por otro lado, algunas organizaciones son objetivos tentadores porque parecen más propensas a pagar un rescate rápidamente. Por ejemplo, las agencias gubernamentales o las instituciones médicas a menudo necesitan acceso inmediato a sus archivos. Los bufetes de abogados y otras organizaciones con datos confidenciales pueden estar determinados a pagar para mantener en secreto los asuntos y problemas de sus clientes, y estas organizaciones pueden ser especialmente sensibles a los ataques provocados por la fuga de información.

Pero realmente nadie está seguro, porque algunos ransomware se propagan de manera automática e indiscriminada a través de Internet.

¿Cómo se puede prevenir el ransomware?

Hay varios pasos defensivos que se pueden tomar para prevenir la infección por ransomware. Estos pasos son, por supuesto, buenas prácticas de seguridad en general, por lo que seguirlos mejora sus defensas contra todo tipo de ataques:
Mantenga su sistema operativo parchado y actualizado para garantizar que tenga menos vulnerabilidades que explotar.
No instale software ni le otorgue privilegios administrativos a menos que sepa exactamente qué es y qué hace.
Instale software antivirus de nueva generación que detecta programas maliciosos como el ransomware a medida que llegan, y el software de lista blanca, que evita que se ejecuten aplicaciones no autorizadas.
Y, muy importante, haga una copia de seguridad de sus archivos, frecuente y automáticamente. Eso no detendrá un ataque de malware, pero puede hacer que el daño causado por uno sea mucho menos significativo.

Podemos citar como ejemplo, las tecnologías de la empresa Check Point, Threat Emulation y Threat Extraction.

El motor de emulación de amenazas detecta malware en la fase de explotación, antes de que ingrese a la red. Rápidamente pone en cuarentena y ejecuta los archivos en una caja de arena virtual, que imita un sistema operativo estándar, para descubrir comportamientos maliciosos antes de que los hackers puedan aplicar técnicas de evasión para evitar la caja de arena.

En cuanto a la extracción de amenazas, permite quitar el contenido potencialmente malicioso de los archivos antes de que ingresen a la red corporativa. Para eliminar posibles amenazas, la extracción de amenazas realiza una de estas dos acciones: extrae el contenido explotable del archivo, o crea una copia segura del archivo al convertirlo a PDF.

¿Por qué sigue siendo peligroso el ransomware?

El ransomware es un gran negocio de gran expansión. En 2017, el ransomware dio como resultado una pérdida de $ 5 mil millones de dólares, tanto en términos de rescate pagado como de gasto y pérdida de tiempo para recuperarse de los ataques. Eso es 15 veces más que en 2015. En el primer trimestre de 2018, solo un tipo de software de ransomware, “SamSam”, recaudó $ 1 millón de dólares en dinero de rescate.

Una variante en especial del ransomware es la que ha estado creciendo recientemente: el llamado malware de criptominería, que infecta la computadora víctima y usa su poder de cómputo para crear bitcoins sin que el propietario lo sepa. Esta es una ruta ordenada para usar los recursos de otra persona para obtener bitcoins que evita la mayoría de las dificultades para obtener un rescate.

Sin embargo, esto no significa que la amenaza haya terminado, pues hay dos tipos diferentes de atacantes de ransomware: ataques “básicos” que intentan infectar computadoras indiscriminadamente por gran volumen e incluyen las llamadas plataformas de “ransomware como servicio” — que los delincuentes pueden alquilar — ; y grupos específicos que se centran en segmentos y organizaciones del mercado particularmente vulnerables.

¿Se debe pagar el rescate?

Si su sistema ha sido infectado con malware y ha perdido datos vitales que no puede restaurar desde la copia de seguridad, ¿debe pagar el rescate?

Las autoridades y la mayoría de los expertos en ciberseguridad coinciden en que no se debe pagar a los atacantes de ransomware, con la lógica de que hacerlo solo alienta a los piratas informáticos a crear más ransomware. Dicho esto, muchas organizaciones que se ven afectadas por malware rápidamente y comienzan a hacer un análisis de costo-beneficio, sopesando el precio del rescate contra el valor de los datos cifrados.

Los atacantes de ransomware mantienen los precios relativamente bajos, es decir, una cantidad que las empresas generalmente pueden pagar en poco tiempo. Algún malware particularmente sofisticado detectará el país donde se está ejecutando la computadora infectada y ajustará el rescate para que coincida con la economía de esa nación.

A menudo se ofrecen descuentos por actuar rápido, para alentar a las víctimas a pagar rápidamente antes de pensar demasiado en ello. En general, el precio se establece de modo que sea lo suficientemente alto como para valer la pena del criminal, pero lo suficientemente bajo como para que a menudo sea más barato de lo que la víctima tendría que pagar para restaurar su computadora o reconstruir los datos perdidos. Con eso en mente, algunas compañías están analizando la posibilidad de pagar el rescate como parte de sus planes de seguridad.

No obstante, recuerde que está usted tratando con criminales, por lo que es importante verificar primero, que lo que parece ransomware puede no haber cifrado sus datos. En este caso asegúrese de no estar tratando con el llamado “scareware” antes de enviar dinero a alguien. Y segundo, pagarle a los atacantes no garantiza que recuperará sus archivos. A veces, los delincuentes simplemente toman el dinero y corren, y es posible que ni siquiera incorporen la funcionalidad de descifrado en el malware.

Por lo tanto, es importante tener un respaldo de datos frecuente y automático; algunos sistemas como los de Check Point que identifica los ataques antes de que ingresen a la red y, muy importante, entrenar a sus empleados para que no caigan en engaños provocados por el phishing que deriva en los ataques de ransomware. Recordemos que una buena ciberseguridad se compone de tecnología avanzada, pero sobre todo, de gente preparada.

Comentarios