El ransomware causa daños en los datos críticos
El ransomware es devastador para una empresa porque causa daños en los datos críticos. Durante un ataque, el ransomware analiza los archivos importantes, los cifra con un cifrado de alta seguridad que no se puede deshacer y paraliza a una organización más rápido que otras aplicaciones maliciosas.
La mayoría de los ataques de ransomware comienzan con un email malicioso. El email normalmente contiene un enlace a un sitio web controlado por el atacante en el que el usuario descarga el malware. También podría contener un archivo adjunto malicioso con un código que descargue el ransomware después de que el usuario abra el archivo.
Los atacantes normalmente utilizan documentos de Microsoft Office como archivos adjuntos. Office tiene una interfaz de Visual Basic para Aplicaciones (VBA) que los atacantes usan para programar scripts. Las últimas versiones de Office han deshabilitado la función que ejecuta el script con una macro al abrir el archivo. El malware solicita al usuario que ejecute el script y muchos usuarios acceden a ello. Ese es el motivo por el que las macros maliciosas siguen siendo peligrosas.
La macro de Office descarga el ransomware desde un servidor del atacante y el malware se ejecuta en el dispositivo local. El ransomware analiza la red y el almacenamiento local de archivos importantes y cifra lo que encuentra. El cifrado normalmente consiste en una criptografía simétrica del Estándar de cifrado avanzado (AES) de 128 o 256 bits. Esto hace que el proceso resista ataques de fuerza bruta. Algún ransomware también utiliza una criptografía de clave privada/pública como Rivest-Shamir-Adleman (RSA).
Los desarrolladores de ransomware incluyen una funcionalidad que bloquea la opción de los usuarios de eliminar la aplicación a no ser que primero paguen el rescate. Algunos hackers utilizan bloqueadores de pantalla para que los usuarios no puedan acceder al escritorio de Windows. Debido a que las librerías criptográficas que se han utilizado para cifrar los archivos son seguras, al eliminar el malware los datos siguen estando cifrados e inaccesibles.
El FBI recomienda que las empresas afectadas no paguen el rescate. Otros expertos dicen que con el pago del rescate se ha conseguido descifrar los archivos. En ocasiones, los atacantes no proporcionan la clave de descifrado ni siquiera después de que se haya pagado el rescate. De esta forma, la empresa a la que iba dirigido el ataque se queda sin archivos y sin dinero. Puede eliminar el ransomware, pero es poco probable que consiga recuperar los archivos sin pagar el rescate a menos que tenga una copia de seguridad.
La mayoría de los proveedores tienen parches y soluciones que se pueden descargar y que eliminan el ransomware. Después de eliminar el malware, puede restablecer los archivos desde una copia de seguridad. También puede restaurar la configuración de fábrica del equipo. Mediante esta última solución el equipo vuelve al mismo estado en el que estaba cuando usted lo compró. Necesitará reinstalar cualquier software de terceros.
Sophos Group, una compañía británica de seguridad, identificó el flujo de ataque de Ryuk, que también se denomina «cadena de exterminio del ataque». Vea el siguiente diagrama.
Puede proteger dispositivos y datos contra el ransomware de diferentes formas. Como la infección normalmente comienza con un mensaje de email malicioso, empiece con una ciberseguridad anti-malware que analice los mensajes entrantes en busca de enlaces o archivos adjuntos sospechosos. Si los encuentra, ponga en cuarentena los mensajes para evitar que lleguen a la bandeja de entrada del usuario.
El filtrado de contenido de la red también es efectivo. Evita que los usuarios accedan a los sitios web controlados por los atacantes. Si lo combina con los filtros de email, el filtrado de contenido es una manera efectiva de evitar que el ransomware y la mayoría del malware acceda a su red interna.
El software anti-malware debería ejecutarse en todos los dispositivos de la red, incluyendo los smartphones. El anti-malware evita que el ransomware cifre los archivos y los elimine del sistema antes de que envíe la carga. Si la organización tiene una política de «trae tu propio dispositivo» (BYOD, por sus siglas en inglés), es importante ejecutar una aplicación anti-malware aprobada en los dispositivos de los usuarios.
El entrenamiento de los usuarios es una manera proactiva de protegerse contra el ransomware. Ya que el ransomware suele comenzar con el phishing y la ingeniería social, es conveniente tener usuarios formados para identificar los ataques, además de otras medidas anti-malware. Al combinar la formación con los sistemas anti-malware, el riesgo de ciberseguridad se reduce de forma importante. Si los sistemas anti.malware no funcionan, los usuarios formados para identificar un ataque no van a caer en la trampa de ejecutar archivos maliciosos.
Muchos tipos de ransomware siguen afectando a las empresas a pesar de que la amenaza global del malware se eliminó de forma general. Existen con el objetivo de extorsionar a personas o empresas que no tienen la protección efectiva necesaria.
Una de las primeras aplicaciones de ransomware conocidas que tuvo un impacto global fue CryptoLocker. CryptoLocker puso como objetivo los equipos de Windows y se extendió en 2014. La infección suele comenzar con un email y un archivo adjunto malicioso. El software cifraba archivos importantes con un cifrado asimétrico de clave privada/pública (RSA).
Locky es un ejemplo de ransomware que ha utilizado la ingeniería social. Locky se lanzó en 2016 y comenzó con un documento Word malicioso adjunto a un email. Cuando los usuarios abrían el archivo, el contenido aparecía codificado a excepción de un mensaje para activar las macros. Después de activar las macros y volver a abrir el archivo, Locky se ejecuta.
Bad Rabbit es un ejemplo de malware que los usuarios descargan de manera voluntaria. Normalmente se extendía al hacerse pasar por una actualización de Adobe Flash. Después de ejecutar el malware, este cifraba los archivos y el sistema se reiniciaba. Bad Rabbit restringía el reinicio del equipo y, en su lugar, mostraba un mensaje en el que se pedía un rescate para descifrar los archivos.
Los ejemplos anteriores solo son unas pocas versiones de ransomware que aún asolan a las organizaciones. Los desarrolladores de ransomware continúan creando nuevas formas de tomar archivos como rehenes para conseguir un rescate. Si entiende la forma en la que funciona el ransomware, puede implementar las defensas adecuadas. Puede evitar el ransomware con una solución anti-malware efectiva, con formación de usuarios y filtros de email para bloquear los mensajes maliciosos.
Investigaciones relacionadas
Artículos relacionados