¿Qué es el Ransomware?
El término ransomware hace referencia a un tipo de malware que, después de comprometer un equipo, secuestra su información para extorsionar a las víctimas, solicitando el pago de una suma de criptomonedas para recuperar esos datos. La palabra es un acrónimo de las palabras “ransom” (rescate) y “software”.
¿Cómo llega el ransomware a infectar un equipo?
A grandes rasgos, en el mundo del cibercrimen encontramos tantas campañas de malware que buscan distribuir un malware de manera masiva y aleatoria, y también ataques dirigidos que emplean códigos maliciosos para afectar a empresas y organizaciones de todo tipo de industrias.
La forma de distribución más común del ransomware es a través de correos de phishing con archivos adjuntos o enlaces que intentan engañar a los usuarios mediante ingeniería social para convencerlos de descargar la amenaza. Otras formas de distribución son mediante ataques a conexiones remotas, como el Protocolo de Escritorio Remoto (RDP), aprovechando el uso de contraseñas débiles. También a través de la explotación de vulnerabilidades —por ejemplo, mediante sitios web comprometidos utilizados para redirigir a sus visitantes a diferentes tipos de exploits—, así como también dispositivos USB, descarga de software pirata, entre otros.
Como podemos deducir de lo anterior, gran parte de los ataques comienza con el engaño de las personas que hacen uso del sistema, utilizando alguna de las numerosas técnicas que conforman la Ingeniería Social, y también mediante ataques a conexiones remotas como el RDP. No obstante, los atacantes también pueden procurar hacerse del control remoto del sistema aprovechando vulnerabilidades en equipos desactualizados, mal configurados y/o sin ninguna solución de seguridad instalada.
¿Cómo funciona el ransomware?
Existen diferentes tipos de ransomware según las acciones que realizan en el equipo una vez que logran comprometerlo y de acuerdo con el método de extorsión del que se valgan:
Ransomware de cifrado o criptoransomware: utiliza la criptografía para cifrar los archivos del equipo comprometido, impidiendo que el usuario pueda acceder a ellos. Este tipo de ransomware es el más común, el más moderno y el más efectivo, y, aunque pueda removerse del equipo con facilidad, la información que se ha visto comprometida es difícil o, mayormente, imposible de recuperar. Usualmente busca atacar extensiones de archivo que sean de interés para los usuarios, como archivos de ofimática, multimedia, bases de datos, etcétera. También es capaz de cifrar unidades extraíbles y unidades de red mapeadas dentro del computador. El principal síntoma de un equipo comprometido por un criptoransomware es el cambio de extensión en los archivos y la imposibilidad para abrirlos.
Ransomware de bloqueo de pantalla o lockscreen: no muy frecuente en la actualidad, aunque siguen siendo populares en arquitecturas como teléfonos y tabletas con Android, el objetivo de este tipo de ransomware es impedir la utilización y el acceso al equipo hasta que se realice el pago del rescate. Los primeros ransomware de propagación masiva formaban parte de esta categoría y utilizaban técnicas sencillas para tomar control de la pantalla del equipo. Esta forma primitiva de ransomware es más fácil de remover y suele tener consecuencias menores para los usuarios.
No uso Windows… ¿Estoy a salvo del ransomware?
No, igual eres vulnerable.
El motivo principal para la generación de malware es el rédito económico. Por ello, los atacantes suelen generar mayor cantidad de códigos maliciosos para las plataformas más utilizadas y con mayor cantidad de potenciales víctimas. No obstante, en los últimos años los ataques de ransomware dejaron de concentrarse en afectar a la mayor cantidad posible de usuarios para centrarse en un menor grupo de víctimas a las cuales demandar mayores sumas de dinero por el rescate de su información. De hecho, en el último tiempo aumentaron considerablemente los montos que solicitan los atacantes a las víctimas. En parte esto se debe a que los ataques son dirigidos a blancos previamente analizados y que, según el criterio de los atacantes, o cuentan con los recursos para hacer frente al pago del rescate o estiman que las consecuencias que un ataque puede tener sobre un blanco en particular provocarán una presión suficiente para que se inclinen por la opción de pagar.
Aunque existe una mayor variedad de ransomware para plataformas de Microsoft, también los hay para equipos de Apple, distribuciones de Linux, teléfonos móviles y demás arquitecturas de la Internet de las Cosas (IoT). Por eso es tan importante que los usuarios adopten herramientas de protección y buenas prácticas en el uso de todos sus equipos.
RECOMENDACIONES DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD
1. No abrir correos ni mensajes de dudosa procedencia: Evita abrir correos electrónicos o mensajes de origen desconocido o sospechoso, ya que podrían contener malware o intentos de phishing.
2. Desconfiar de los enlaces y archivos adjuntos en los mensajes o correos: Antes de hacer clic en un enlace o abrir un archivo adjunto, verifica la legitimidad del remitente y el contenido. Si tienes dudas, no lo hagas.
3. Mantener actualizadas las plataformas de gestión administrativa y software de seguridad: Asegúrate de que todas las herramientas utilizadas, como Office, Windows, Adobe Acrobat, Oracle Java y similares, estén actualizadas para protegerse contra vulnerabilidades conocidas.
4. Mantener actualizadas las plataformas de antivirus al día.
5. Ser escépticos frente a ofertas, promociones o premios increíbles en Internet: Si algo parece demasiado bueno para ser verdad, probablemente lo sea. Mantén un nivel de escepticismo ante ofertas en línea que parezcan poco realistas.
6. Prestar atención a los detalles en los mensajes y redes sociales: Examina cuidadosamente los mensajes y publicaciones en las redes sociales en busca de errores gramaticales o de ortografía, ya que estos pueden ser indicativos de intentos de estafa.
7. Evaluar el bloqueo preventivo de los indicadores de compromisos reportados por el CSIRT: Si el CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) informa sobre indicadores de compromiso, considera bloquearlos o tomar medidas preventivas adecuadas.
8. Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas: Además de actualizar el software, asegúrate de que las soluciones de detección de amenazas estén actualizadas para proteger tu red.
9. Revisar los controles de seguridad AntiSpam y SandBoxing: Asegúrate de que los controles de seguridad AntiSpam y SandBoxing estén configurados y funcionando correctamente para filtrar correos no deseados y archivos sospechosos.
10. Concientizar a los usuarios sobre amenazas en la web: Educa a los usuarios de la organización sobre los peligros en línea, como el phishing y el malware, y fomenta prácticas seguras en línea.
11. Verificar la autenticidad de los sitios web: Antes de ingresar información sensible en un sitio web, asegúrate de que sea oficial, cuente con certificados de seguridad válidos y sea de emisión legítima.
12. Restringir el acceso a proveedores de red: Si una entidad ha otorgado acceso a la red a un proveedor externo, debe revisar y limitar ese acceso de manera oportuna.
13. Realizar escaneos completos con el antivirus: Escanea regularmente todos los equipos con un antivirus actualizado para detectar y eliminar posibles amenazas.
14. Verificar el rendimiento de procesadores y discos duros: Monitoriza el rendimiento de hardware, como procesadores y discos duros, para detectar anomalías que podrían indicar problemas de seguridad.
15. Revisar la integridad de los datos: Asegúrate de que los datos críticos estén intactos y no hayan sido comprometidos por amenazas de seguridad.
16. Detectar incrementos injustificados en el tráfico de red: Establece alertas para identificar aumentos inesperados en el tráfico de red, lo que podría indicar un ataque o una intrusión.
Fuente:
PMU CIBER (Presidencia de la República)
WELIVESECURITY
Por: Seguridad de la Información Visionamos SPBV
desde DeepSharks 4.0
