Ransomware

Estás trabajando en tu ordenador y notas que va más lento. O que no puedes acceder a documentos o archivos que antes eran accesibles.

Es posible que recibas mensajes de error de Windows que te indican que un archivo es un «Tipo de archivo desconocido» o que «Windows no puede abrir este archivo». Si tu ordenador es Mac, es posible que veas el mensaje «No hay una aplicación asociada» o «No hay ninguna aplicación configurada para abrir el documento».

Otra posibilidad es que esté completamente bloqueado tu sistema. Si estás en una oficina, puede estar mirando y viendo que otras personas están experimentando el mismo problema. Algunos ya están bloqueados, y otros ahora se preguntan qué está pasando, tal como tú.

Entonces ves un mensaje que confirma tus miedos.

Has sido infectado con ransomware.

Este tipo de ciberataques son los más frecuentes hoy en día así que es importante conocer en qué consiste el ransomware, los tipos que existen y cómo evitarlo. A continuación te lo explico.

¿Qué es el ransomware?

El ransomware es un tipo de software malicioso, o malware, diseñado para negar el acceso a un sistema informático o datos hasta que se pague un rescate. Se propaga a través de correos electrónicos de phishing, publicidad maliciosa, visitando sitios web infectados o explotando vulnerabilidades .

Los ataques de ransomware causan tiempo de inactividad, fugas de datos, robo de propiedad intelectual e infracciones de datos.

Las cantidades por pagos de rescates pueden llegar a ser de cientos de miles de dólares. Normalmente el pago se realiza en criptomonedas como Bitcoin.

El número de ataques de ransomware en las empresas aumentó en 2017 de un ataque cada dos minutos en el primer trimestre a uno cada 40 segundos en el tercer trimestre.

El ransomware les cuesta a las empresas más de 75 mil millones de dólares al año y el coste medio de un ataque de ransomware en las empresas es de  133.000 dólares. Y lo más preocupante es que el 75% de las empresas infectadas con ransomware estaban ejecutando una protección de punto final actalizada.

Las perspectivas no están mejorando. Se espera que los daños del ransomware aumenten y una nueva empresa será víctima del ransomware cada 13 segundos en 2020, y cada 11 segundos para 2021.

¿Cómo funciona?

El ransomware normalmente se extiende a través de phishing o correos no deseados. También se puede propagar a través de sitios web o descargas automáticas para infectar un punto final y penetrar en la red.

Los métodos de infección evolucionan constantemente y hay muchas otras formas en que uno puede infectarse también. Una vez en su lugar, el ransomware bloquea todos los archivos a los que puede acceder utilizando un cifrado seguro.

Finalmente, el atacante exige un rescate (generalmente pagable en bitcoins) para descifrar los archivos y restaurar las operaciones completas en los sistemas informáticos afectados.

Muchos ataques cibernéticos dan a los atacantes acceso a su computadora para instalar ransomware. Dentro de ellos están:

  • Ingeniería social y phishing: el ransomware se propaga engañando a los usuarios para que descarguen un archivo adjunto de correo electrónico infectado que se hace pasar por un archivo de un amigo o jefe.
  • Malvertising: Malvertising utiliza un iframe infectado o un elemento invisible para propagar el ransomware. El iframe redirige a una página que ejecuta código malicioso o un kit de exploits para realizar una descarga sin permiso del usuario.
  • Vulnerabilidades: formas más agresivas de ransomware como WannaCry explota vulnerabilidades para infectar computadoras sin la acción del usuario.

Una vez infectado, el ransomware puede cifrar algunos o todos los archivos.

Después de la infección inicial del ransomware, una nota de rescate explica que los archivos son inaccesibles. La víctima debe enviar un pago de rescate para comprar la clave de descifrado para descifrar sus archivos.

Otros ransomware afirman ser agentes de la ley que han bloqueado la computadora de la víctima, debido a software pirateado o pornografía. Luego exige el pago de una multa para desbloquear la computadora.

Leakware o doxware es otra forma de ransomware. Amenaza con publicitar datos confidenciales en el disco duro de la víctima.

Esta forma de ransomware puede ser peligrosa. Conduciendo a grandes violaciones de datos o exposición de información de identificación personal.

Objetivos de estos ataques

Los ataques de ransomware se dirigen a empresas de todos los tamaños: más del 5% de las empresas en los 10 principales sectores industriales han sido atacadas, y las pequeñas y medianas empresas tampoco son inmunes. Los ataques están en aumento en todos los sectores y en todos los tamaños de negocios.

Los atacantes tienen varias formas de elegir a qué organizaciones apuntar. Podría ser una cuestión de oportunidad o la probabilidad de pago.

Su organización es un mejor objetivo si es vulnerable a una vulnerabilidad conocida.

Un ejemplo sería EternalBlue. Este es un exploit en versiones heredadas de los sistemas operativos de Microsoft. Los atacantes pueden usar la versión desactualizada del protocolo SMB para instalar ransomware. Así es como se extendió WannaCry.

Los objetivos comunes son agencias gubernamentales e instalaciones médicas. Esto se debe a que a menudo tienen poca seguridad de la información y protección de datos. Y también necesitan acceso inmediato a sus archivos.

Esto significa que es más probable que paguen el rescate.

Otras organizaciones pueden estar dispuestas a pagar para mantener en silencio la violación de seguridad. Estas organizaciones son objetivos clave para los ataques de fuga. Es importante tener en cuenta que muchas jurisdicciones requieren infracciones de datos y fugas de datos para ser reportados. Los ejemplos incluyen Estados Unidos, Australia y la Unión Europea.

Estados Unidos ocupa el lugar más alto en número de ataques de ransomware, seguido por Alemania y luego Francia. Los ordenadores con Windows son los objetivos principales, pero también existen cepas de ransomware para Mac y Linux .

Tipos

El ransomware es un tipo de malware y existen cuatro variantes principales de ransomware.

1. Scareware

Scareware es un software de seguridad falso que afirma que hay malware en la computadora. El usuario final recibe una ventana emergente que exige el pago de la eliminación. Si no se realiza un pago, las ventanas emergentes continuarán, pero los archivos generalmente son seguros.

El software antimalware/antivirus real ya supervisa los ataques de malware. Tampoco le hará pagar para que le eliminen una infección.

2. Bloqueadores de pantalla

Los bloqueadores de pantalla te bloquean fuera de tu ordenador. El ransomware reemplaza la pantalla de inicio de sesión con una pantalla que exige el pago. A menudo, la pantalla tiene el logotipo de organismos o agencias de aplicación de la ley.

Ninguna agencia de aplicación de la ley bloqueará los ordenadores. Tampoco exigirán el pago por una actividad ilegal. Pasarán por los canales legales apropiados.

3. Cifrado ransomware

Aquí se cifran los archivos y se exige el pago para descifrarlos. Este es el ransomware tiene el mayor riesgo de ciberseguridad.

Es difícil recuperar el acceso a los archivos encriptados. La única forma es pagar el rescate o usar una herramienta de descifrado. Incluso si paga el rescate, no hay garantía de que el atacante descifre sus archivos.

4. Mobile ransomware

La popularidad de los dispositivos móviles ha llevado al desarrollo de ransomware móvil. A menudo se dirige a Android, ya que permite la instalación de aplicaciones de terceros. A diferencia del sistema operativo iPhone de Apple.

Pasos en un ataque de ransomware

Los pasos típicos en un ataque de ransomware son los siguientes.

1. Infección

Después de que se haya entregado al sistema mediante un archivo adjunto de correo electrónico, correo electrónico de phishing, aplicación infectada u otro método, el ransomware se instala en el punto final y en cualquier dispositivo de red al que pueda acceder.

2. Intercambio seguro de claves

El ransomware contacta al servidor de comando y control operado por los ciberdelincuentes detrás del ataque para generar las claves criptográficas que se utilizarán en el sistema local.

3. Cifrado

El ransomware comienza a cifrar los archivos que puede encontrar en las máquinas locales y en la red.

4. Extorsión

Una vez realizado el trabajo de cifrado, el ransomware muestra instrucciones para la extorsión y el pago del rescate, amenazando la destrucción de datos si no se realiza el pago.

5. Desbloqueo

Las organizaciones pueden pagar el rescate y esperar que los ciberdelincuentes descifren realmente los archivos afectados (lo que en muchos casos no sucede), o pueden intentar la recuperación eliminando archivos y sistemas infectados de la red y restaurando datos de copias de seguridad limpias.

Diferencias con otras formas de malware

El ransomware usa cifrado para hacer que los archivos sean inaccesibles. Para recuperar el acceso, necesita la clave de descifrado o una herramienta de descifrado.

Los archivos cifrados pueden ser documentos o imágenes, videos y audio u otros tipos de archivos.

Los ataques más sofisticados codifican los nombres de los archivos y agregan diferentes extensiones. Esto hace que sea difícil identificar los archivos afectados y qué ransomware hay en su sistema.

Los pagos de rescate generalmente tienen un límite de tiempo y aumentan con el tiempo. Esto agrega presión para pagar. En casos extremos, los archivos se destruyen o se filtran. El ransomware que hace esto extrae datos confidenciales y los envía a servidores de control.

¿Tengo que pagar el rescate?

Si eres víctima de un ataque de ransomware, debes pensar en tus opciones. Muchas agencias de aplicación de la ley instan a no pagar el rescate. Este es generalmente un buen consejo, ya que reduce el incentivo para crear más ransomware.

Pero, si ha perdido datos vitales, puede tener sentido pagar el rescate.

Superar el cifrado sofisticado puede ser imposible. Por eso, lo más importante es reducir el riesgo de ser infectado por ransomware.

Muchos ataques de ransomware han mantenido los precios bajos. Estos varían entre 500 y 1.500 dólares para que las empresas puedan pagar.

Los atacantes a menudo detectan el país en el que se encuentra el ordenador y ajustan la cantidad del rescate. Esto les permite exigir más de las empresas en los países ricos y menos de las regiones más pobres.

Y a menudo hay descuentos por pagar rápido.

El precio debe ser lo suficientemente alto como para que valga la pena el tiempo del atacante y lo suficientemente bajo como para que la víctima lo pueda pagar. Esto puede ser una gran cantidad si la víctima no puede reproducir los datos perdidos.

Con esto en mente, las compañías han comenzado a incluir pagos de rescate en sus planes de seguridad. Pero esta no es la solución. La clave es la prevención.

Los atacantes no pueden entregar la clave de descifrado en el pago del rescate. La funcionalidad de descifrado puede que ni siquiera esté en el malware.

¿Qué hacer en caso de ser víctima de ransomware?

Una vez que has recibido un ataque de ransomware, los pasos que debes seguir son los siguientes:

1. Aislar la infección

La velocidad de la detección de ransomware es fundamental para combatir los ataques rápidos antes de que se propaguen por las redes y cifren datos vitales.

Lo primero que debes hacer cuando sospeches que un ordenador está infectado es aislarlo de otros ordenadores y dispositivos de almacenamiento. Desconéctalo de la red (tanto cableada como wifi) y de cualquier dispositivo de almacenamiento externo. Cryptoworms busca activamente conexiones y otros ordenadores, por lo que debe evitarse que eso suceda.

Ten en cuenta que puede haber más de un paciente cero, lo que significa que el ransomware puede haber entrado en tu organización u hogar a través de múltiples ordenadores, o puede estar inactivo y aún no se muestra en algunos sistemas. Sospecha de todos los ordenadores conectados y en red y aplica medidas para garantizar que todos los sistemas no estén infectados.

2. Identificar la infección

Muy a menudo, el ransomware se identificará cuando solicite un rescate. Existen numerosos sitios que lo ayudan a identificar el ransomware, incluido ID Ransomware.

Identificar el ransomware te ayudará a comprender qué tipo de ransomware tienes, cómo se propaga, qué tipos de archivos encripta y quizás cuáles son sus opciones de eliminación y desinfección. También te permitirá informar el ataque a las autoridades, lo cual se recomienda.

3. Informar a las autoridades

Hará un favor a todos al informar todos los ataques de ransomware a las autoridades. La policía insta a las víctimas de ransomware a denunciar incidentes de ransomware independientemente del resultado.

El informe de las víctimas proporciona a las fuerzas del orden público una mayor comprensión de la amenaza, justifica las investigaciones de ransomware y aporta información relevante a los casos de ransomware en curso.

Saber más sobre las víctimas y sus experiencias con el ransomware ayudará a determinar quién está detrás de los ataques y cómo están identificando o atacando a las víctimas.

4. Determinar las opciones

Sus opciones cuando se infecta con ransomware son:

  • Pagar el rescate
  • Intentar eliminar el malware
  • Limpiar los sistemas y volver a instalarlos desde cero

Generalmente se considera una mala idea pagar el rescate. Pagar el rescate fomenta más ransomware y, en muchos casos, el desbloqueo de los archivos cifrados no es exitoso.

En una encuesta reciente , más de las tres cuartas partes de los encuestados dijeron que no es probable que su organización pague el rescate para recuperar sus datos. Solo una pequeña minoría dijo que estaban dispuestos a pagar un rescate.

Incluso si decide pagar, es muy posible que no recupere sus datos .

Eso deja otras dos opciones: eliminar el malware y restaurar selectivamente su sistema, o borrar todo e instalar desde cero.

5. Restaurar o comenzar de nuevo

Tienes la opción de tratar de eliminar el malware de tus sistemas o limpiar tus sistemas y reinstalar desde copias de seguridad seguras y limpiar el sistema operativo y las fuentes de las aplicaciones.

Hay sitios de Internet y paquetes de software que afirman que pueden eliminar el ransomware de los sistemas.

Si se puede eliminar con éxito y por completo una infección está en debate. No existe un descifrador que funcione para cada ransomware conocido, y desafortunadamente es cierto que cuanto más nuevo sea el ransomware, más sofisticado será y menos tiempo tendrán los buenos para desarrollar un descifrador.

La forma más segura de asegurarse de que se haya eliminado el malware o el ransomware de un sistema es borrar completamente todos los dispositivos de almacenamiento y volver a instalar todo desde cero. Formatear los discos duros en tu sistema asegurará que no queden restos del malware.

Si has seguido una estrategia de copia de seguridad sólida, debes tener copias de todos tus documentos, medios y archivos importantes hasta el momento de la infección.

Asegúrate de determinar la fecha de infección lo mejor que puedas a partir de las fechas del archivo de malware, los mensajes y otra información que hayas descubierto sobre cómo funciona ese malware en particular. Ten en cuenta que una infección podría haber estado latente en tu sistema durante un tiempo antes de activarse y realizar cambios significativos en el sistema.

Identificar y aprender sobre el malware particular que atacó tus sistemas te permitirá comprender cómo funciona ese malware y cuál debería ser la mejor estrategia para restaurar los sistemas.

Selecciona una copia de seguridad o copias de seguridad realizadas antes de la fecha de la infección inicial del ransomware. Un buen programa de respaldo te permite retroceder en el tiempo y especificar la fecha anterior a la que deseas restaurar los archivos.

Medidas para prevenir el ransomware

Para evitar el ransomware, necesitas prácticas básicas de ciberseguridad . Muchos ataques dependen de vulnerabilidades o puertos abiertos.

Las configuraciones y vulnerabilidades prevenibles pueden causar estragos globales. WannaCry provocó la pérdida de productividad de miles de millones de dólares.

Las infecciones de ransomware a menudo provienen de fallos en los procesos y las prioridades. En lugar de problemas de software, código y firewall. Aunque esos también ayudan.

Lo preocupante es cuán vulnerables son muchas organizaciones a las amenazas cibernéticas avanzadas .

Los datos confidenciales y la información de identificación personal nunca deben almacenarse en un solo lugar.

Las funciones comerciales críticas tampoco deberían tener un proceso establecido para restaurar sus sistemas.

Aquí te mostramos cómo prevenir los ataques de ransomware y minimizar su impacto si ocurren.

Realiza copias de seguridad

No hay un solo punto de error. Ya sea ransomware, fallo de hardware, error de la base de datos u otra cosa. Si tus datos son importantes, entonces debes hacer una copia de seguridad, al menos en otra ubicación segura.

Automatiza el proceso de aprovisionamiento

Si un ransomware o cualquier otra cosa elimina un activo, deberías poder devolverlo a un estado de funcionamiento lo antes posible.

Actualiza los sistemas

Mantén tus sistemas actualizados para evitar exploits conocidos.

Concienciación en seguridad

Es más fácil prevenir infecciones de malware que revertirlas. No instales software en el que no confíes. Y no otorgues privilegios administrativos a todos los empleados.

Software antivirus

El software antivirus como Kaspersky o McAfee puede detectar familias conocidas de ransomware y el software de lista blanca puede evitar que se ejecuten aplicaciones no autorizadas.

Soluciones de respaldo

En caso de una infección de ransomware, es esencial tener una copia de respaldo de los datos. Si tus datos están respaldados y son seguros, tu organización puede recuperarse rápidamente de un ataque.

Utiliza una solución de almacenamiento en línea y/o una copia de seguridad del disco duro externo como Google Drive o Dropbox para todos los archivos importantes.

Estas tácticas reducen el riesgo de ciberseguridad del ransomware, convirtiéndolo de un desastre en una molestia menor.

Es por eso que la ciberseguridad es importante, no es suficiente instalar un antivirus y esperar. Es necesario monitorizar la seguridad cibernética en tiempo real de tu empresa y tus proveedores externos para reducir el riesgo de terceros. Debes establecer un proceso de evaluación de riesgos de seguridad cibernética.

¿Por qué los antivirus no detectan el ransomware?

Se está desarrollando constantemente nuevo ransomware y los antivirus son realmente buenos para detener amenazas que han visto antes, pero no las nuevas.

Es por esto que se deben seguir los pasos anteriores. Cuando consideramos lo que hace el ransomware, la pregunta que las empresas deberían hacerse es por qué no podemos volver a restaurar los sistemas afectados.

Las razones por las que el ransomware funciona son, bien porque los datos importantes no se almacenan en otro lugar o porque el sistema no tiene ningún proceso para restaurar su funcionamiento normal.

Si tienes implementados los procesos correctos, no debería importarte que los antivirus no sean buenos para detectar ransomware. Deberías poder restaurar la funcionalidad rápidamente a cualquier sistema afectado.

Además, debes centrarte en capacitar a tus empleados para evitar que ellos instalen ransomware.

Ejemplos de ransomware famosos

A continuación mencionaremos algunos de los ataques de ransomware más famosos.

WannaCry

El gusano criptográfico WannaCry ransomware se dirige a las computadoras que ejecutan el sistema operativo Microsoft Windows. Inicialmente se lanzó el 12 de mayo de 2017. El ransomware cifró los datos y exigió un rescate de 300 a 600 dólares, pagados en la criptomoneda Bitcoin.

Ryuk

Ryuk es operado por GRIM SPIDER, un sofisticado grupo de cibercrimen que se dirige a grandes empresas para obtener pagos de rescate elevados. GRIM SPIDER ha ganado millones de dólares de Ryuk con alrededor de 50 pagos de rescate. Generalmente se propaga a través de correos electrónicos de phishing o mediante la función de descarga geográfica basada en Emotet.

SamSam

Surgió en 2016 y se dirige a los servidores JBoss. Se propaga explotando vulnerabilidades conocidas en lugar de a través de la ingeniería social. Utiliza el Protocolo de escritorio remoto y los ataques de fuerza bruta para adivinar contraseñas débiles. Los costes ocasionados por estos ataques son de 6 millones de dólares por extorsión y más de 30 millones en daños causados.

Cryptolocker

CryptoLocker ocurrió entre septiembre de 2013 y mayo de 2014. El ataque utilizó un troyano para apuntar a ordenadores que ejecutan Windows y se propagó a través de archivos adjuntos de correo electrónico infectados y una botnet Gameover ZeuS existente. Una vez activado, el malware cifró ciertos archivos almacenados en unidades de red locales utilizando criptografía de clave pública RSA y almacenó la clave privada en los servidores de control del malware. Luego mostró un mensaje que ofrecía descifrar los datos si se realizaba un pago a través de Bitcoin y amenazaba con eliminar la clave si el pago no se realizaba a tiempo. El pago del rescate no siempre condujo al descifrado.

TeslaCrypt

Es un troyano de ransomware ya desaparecido ya que sus desarrolladores lanzaron su clave maestra. En sus primeras formas, TeslaCrypt apuntó datos de juego para videojuegos específicos como Call of Duty, World of Warcraft, Minecraft y World of Tanks. El malware infectó ordenadores a través del exploit Angler Adobe Flash.

Locky

Locky se lanzó en 2016 y se difundió por correo electrónico, que decía que una factura requería pago, con un documento adjunto de Microsoft Word que contenía macros maliciosas. Una vez que el usuario abría el documento, parecía estar lleno de basura e incluyó la frase «Habilitar macro si la codificación de datos es incorrecta», una forma de ingeniería social. Si el usuario habilitaba macros, guardaba y ejecutaba un archivo que descargaría el troyano de cifrado real y cifraría todos los archivos con una extensión particular.

Reveton

Reveton pretende ser de la policía y evita que el usuario acceda a su ordenador, alegando que este ha sido bloqueado por una agencia local de aplicación de la ley. Se le conoce comúnmente como el «troyano de policía» e informa a los usuarios que deben pagar una multa para desbloquear sus sistemas. Para hacer creer que la policía está rastreando el ordenador, la pantalla muestra la dirección IP del ordenador y, a menudo, la cámara web para que el usuario crea que está siendo grabado.

Bad Rabbit

Bad Rabbit siguió un patrón similar a WannaCry y fue distribuido por una actualización falsa de Adobe Flash. Interfax, el aeropuerto internacional de Odessa, el metro de Kiev y el Ministerio de Infraestructura de Ucrania se vieron afectados por Bad Rabbit. Los expertos creen que el ransomware está vinculado al ataque de Petya en Ucrania porque el código de Bad Rabbit tiene muchas similitudes superpuestas con el código de Petya.