Desde mediados de la década de 2000, el ransomware ha sido una amenaza prominente para las personas, las corporaciones y las pequeñas y medianas empresas. Según el FBI, el Centro de Quejas de Crímenes en Internet (IC3, Internet Crime Complaint Center) recibió 1783 denuncias en 2017, lo que representa un costo total de más de 2,3 millones de dólares. No obstante, estas quejas solo son por ataques reportados a la IC3.
El número real de ataques y sus costos son mucho más altos, ya que muchas organizaciones optan por manejar sus asuntos internamente para evitar cualquier reacción pública o de las partes interesadas que pudiera dañar su reputación. Según Statista, en el año 2017, se produjeron aproximadamente 184 millones de ataques.
Inicialmente, el ransomware estaba dirigido a personas, y la mayoría de los ataques hasta la fecha son de este tipo. Sin embargo, con el paso del tiempo, los atacantes comenzaron a apuntar a instituciones que no podían realizar operaciones sin el acceso completo a sus datos, incluidos hospitales, universidades y oficinas gubernamentales. En este artículo, analizaremos todo sobre el ransomware, cómo prevenirlo, qué hacer si está infectado y la importancia de los respaldos.
Es un tipo de malware que está diseñado exclusivamente para bloquear su equipo informático o para cifrar sus datos de modo que no pueda acceder a ellos. Además, puede aprovechar las vulnerabilidades de su sistema operativo y extenderse a otras redes o sistemas.
Una vez que el ransomware infecta con éxito sus sistemas informáticos, el atacante exigirá un rescate a cambio de renunciar a todo acceso y control de sus sistemas o descifrar sus datos. Algunos tipos de ransomware incluyen software malicioso criptográfico, bloqueadores, scareware, doxware (software de filtración) y ransomware como servicio (RaaS, Ransom-as-a-service).
Estos cibercriminales suelen lanzar dichos ataques desde algún lugar lejano y exigen pagos no reembolsables y no rastreables en forma de criptomonedas, como bitcoins. En algunos de los últimos ataques de ransomware, los delincuentes han ido un paso más allá y solicitaron el pago en forma de tarjetas de regalo como Google Play o Apple iTunes, que más tarde se pueden convertir en mercancía o efectivo.
Lamentablemente, los ataques de ransomware exitosos rara vez dejan atrás la evidencia digital que se puede utilizar para rastrear a los perpetradores o recuperar el dinero pagado. Además, no hay garantía de que sus datos se descifren por completo, incluso si paga el rescate.
El primer incidente se remonta a 1989 cuando, supuestamente, un biólogo que estudió en Harvard infectó las computadoras de varios asistentes a la conferencia internacional sobre el SIDA de la OMS. Desde mediados de la década de 2000, los cibercriminales se volvieron más creativos en sus ataques y, a partir de 2012, el ransomware se propaga a nivel mundial con el uso del cifrado RSA asimétrico.
Hoy en día, las variedades de ransomware se volvieron cada vez más avanzadas en lo que respecta a sus capacidades para cifrar archivos, evadir la detección, propagarse entre sistemas y coaccionar los rescates de los usuarios. La nueva era de los ataques implica técnicas avanzadas de desarrollo, como el uso de cifradores para hacer extremadamente difícil la ingeniería inversa o el uso de mecanismos de distribución avanzada, incluidas infraestructuras preintegradas que distribuyen nuevas variedades de manera fácil y extensiva.
Las campañas de suplantación de identidad (spear phishing) están reemplazando rápidamente los envíos masivos de correos electrónicos de phishing tradicional, ya que ahora se filtran con frecuencia como spam. Los atacantes más sofisticados desarrollaron kits de herramientas descargables que pueden implementar personas con menos habilidades técnicas. Otras formas de esquemas de monetización por ransomware incluyen programas RaaS que revolucionaron CryptoLocker, Locky, CryptoWall y TeslaCrypt.
Además, los atacantes ahora utilizan métodos de cifrado sin conexión que aprovechan las funciones legítimas del sistema (como CryptoAPI de Microsoft) para eliminar la necesidad de comunicaciones de comando y control.
El ransomware se puede distribuir de muchas maneras, ya que los correos electrónicos de suplantación de identidad más comunes contienen archivos adjuntos maliciosos. En este caso, los archivos adjuntos de correo electrónico se hacen pasar por archivos legítimos de una fuente confiable. Una vez que descarga y abre un archivo infectado, este toma el control de su computadora, sobre todo si tiene una herramienta de ingeniería social integrada para engañarlo y que permita el acceso administrativo. Otros tipos más agresivos de familias de ransomware aprovechan los agujeros de seguridad en su sistema para infectar y cifrar su computadora sin la necesidad de ningún truco.
Los atacantes también utilizan mensajes engañosos en las redes sociales para obtener acceso a las computadoras de las víctimas. Uno de los canales más utilizados es Facebook Messenger. Aquí, el atacante crea una cuenta que imita a uno de sus amigos actuales. Luego envían mensajes con archivos adjuntos. Cuando los abre, el atacante obtiene acceso a su dispositivo y bloquea todas sus redes conectadas.
Su computadora también puede infectarse a través de una descarga involuntaria. Esto ocurre cuando visita un sitio web sin saber que está infectado, lo que provoca la descarga e instalación de malware sin su conocimiento. A continuación, el atacante puede cifrar los datos de su equipo.
Una variante llamada cripto-ransomware se utiliza para cifrar sus archivos y se propaga de manera similar a través de las redes sociales (como en aplicaciones de mensajería instantánea basadas en la Web). Otros métodos de infección incluyen la explotación de servidores web vulnerables para obtener acceso a la red de su organización y el uso de ventanas emergentes en línea.
Una vez que un atacante se ha apoderado de sus sistemas informáticos, lo primero que hace es bloquear o cifrar sus archivos. Al final del ataque, los archivos no se pueden abrir o descifrar sin una clave conocida solo por su atacante y probablemente almacenada en su sistema.
En este momento, recibirá un mensaje que explica el estado inaccesible de sus archivos y se le solicitará un rescate por dinero a través de un método de pago imposible de rastrear como la criptomoneda. A veces, el atacante puede ser lo suficientemente creativo como para asumir la identidad de una agencia de aplicación de la ley y afirmar que ha cerrado sus sistemas debido a la presencia de contenido ilegal, como software pirata o pornografía. Luego exigen el pago en forma de multa.
En un ataque de leakware o doxware, el atacante amenazará con publicar cualquier dato confidencial de su dispositivo a menos que usted le pague. Sin embargo, dado que encontrar y extraer dichos datos requiere experiencia técnica, los tipos más comunes de ataques están relacionados con el cifrado.
El ransomware ha evolucionado a lo largo de los años desde simples archivos adjuntos de correo electrónico hasta sitios web, aplicaciones móviles e incluso anuncios digitales infectados. Su eficacia ha aumentado su demanda en la Dark Web, donde se vende como portales de ransomware como servicio (RaaS, Ransomware-as-a-Service). Los posibles objetivos incluyen:
Según el Departamento de Justicia de los EE. UU., este delito cibernético tiene el potencial de causar impactos en todo el mundo. Al igual que la mayoría de otros softwares maliciosos, el ransomware suele infectar un equipo informático cuando el usuario hace clic en vínculos no seguros o descarga programas no seguros.
Sin embargo, a diferencia de otros ataques de malware, no se elimina cuando actualiza su BIOS, borra su disco o intenta devolver el sistema operativo a un punto de restauración anterior. El programa bloquea sus archivos antes de que se solicite el rescate. Al mismo tiempo, el atacante crea una clave de descifrado única y la almacena en sus servidores.
No pagar el rescate a tiempo o cualquier intento de alterar el programa de cifrado conduce a la eliminación permanente de la clave de descifrado, lo que hace que todos sus archivos bloqueados sean inaccesibles. Por lo general, la mayoría de los ataques similares solo terminan cuando la víctima paga la cantidad exigida.
Aunque es posible usar una computadora infectada, el riesgo de perder datos valiosos puede afectar significativamente la productividad. Otros impactos de este ataque incluyen:
El ransomware puede ser aterrador, ya que puede hacerle perder datos personales y comerciales críticos en el proceso, y puede conllevar otros efectos a corto y largo plazo, incluso si paga el rescate. Sin embargo, existen algunas estrategias anti-ransomware que puede utilizar para protegerse a sí mismo y a su empresa.
No almacene todos sus datos en un solo lugar. Es necesario realizar un respaldo de datos periódico porque permite restaurar los datos perdidos como resultado de ataques de ransomware y otros desastres. Tenga en cuenta que CryptoLocker también encuentra y cifra datos en unidades asignadas. Ergo, necesita una programación de respaldos regular en un servicio o una unidad de respaldo externa que no tenga una letra de unidad asignada o que esté desconectado cuando no se está realizando ningún respaldo.
CryptoLocker llega con frecuencia como un archivo con nombre con la extensión ".PDF.EXE" dado que los atacantes cuentan con el comportamiento predeterminado de Windows de encubrir u ocultar las extensiones de archivo conocidas. Por lo tanto, si habilita la capacidad de su computadora para ver extensiones completas de archivos, puede detectar fácilmente los archivos sospechosos.
Un comportamiento notorio de CryptoLocker es ejecutar sus archivos ejecutables desde las carpetas Local AppData y AppData. Por lo tanto, puede crear reglas dentro de su sistema, ya sea a través de Windows o un software de prevención de intrusiones, para no permitir este comportamiento. Siempre es posible excluir archivos de programa legítimos que se ejecutan desde el área AppData.
Si tiene un escáner de correo de gateway con la capacidad de filtrar archivos recibidos según la extensión, puede ser aconsejable rechazar los correos electrónicos con extensiones de archivo ".exe" o cualquier archivo enviado con más de una extensión de archivo, donde una es ejecutable.
Si necesita recibir o enviar archivos ejecutables de forma legítima en su entorno después de rechazar correos electrónicos con extensiones “.exe", puede optar por utilizar archivos ZIP protegidos con contraseña o intercambiar correos electrónicos a través de servicios en la nube.
Cryptolocker y Filecoder acceden a los equipos de destino mediante el protocolo de escritorio remoto (RDP, Remote Desktop Protocol). Esta es una utilidad de Windows que permite que otros usuarios accedan a su escritorio de forma remota. Deshabilitar RDP puede ayudar mucho en la protección de su equipo contra ataques remotos.
La seguridad es siempre una responsabilidad compartida entre usted y sus empleados. Por lo tanto, asegúrese siempre de llevar a cabo capacitaciones de rutina y actualizadas para los empleados sobre la seguridad de su sistema y su red, la evaluación de amenazas y el rol de cada uno en la lucha contra el ciberdelito.
Los autores de malware a menudo cuentan con que las personas ejecuten software obsoleto con vulnerabilidades conocidas que pueden explotar para obtener ganancia personal o financiera. Las actualizaciones periódicas de software pueden reducir significativamente el potencial de ataques. Esto se debe a que algunos proveedores publican actualizaciones de seguridad periódicas, así como actualizaciones de emergencia.
Puede habilitar las actualizaciones automáticas o visitar manualmente el sitio web de un proveedor para recibir actualizaciones. Tenga en cuenta que a los perpetradores también les gusta disfrazar su software de notificaciones de actualización.
Contar con un firewall de software y un software contra software malicioso puede ayudarlo a identificar una amenaza potencial o un comportamiento sospechoso. Necesita ambas capas de defensa porque los autores de software malicioso a menudo envían nuevas variantes para evitar la detección.
La mayoría de los tipos de malware dependen de instrucciones remotas para ejecutarse. Si encuentra una nueva variante de ransomware que ha superado su software de seguridad, lo más probable es que no pase su firewall mientras intenta conectarse de forma remota con su servidor de comando y control (C&C, Command and Control).
Hay varios pasos preventivos que puede realizar para evitar el acceso no autorizado. Estas prácticas de seguridad pueden mejorar significativamente sus defensas y protegerlo de todo tipo de ataques cibernéticos. Algunas de ellas son:
Debe colocar ciertas limitaciones en cualquier contratista o empleado que:
Cualquier persona, empleado o contratista con acceso a sus sistemas crea un punto de vulnerabilidad potencial para los atacantes. La rotación, las restricciones inadecuadas y la falta de actualización de las contraseñas pueden resultar en mayores probabilidades de ataque.
Debe implementar un sistema de detección multifacético para garantizar una protección integral. Debería contar con protección de endpoints para sistemas de usuario, detección de intrusiones, protección contra virus empresariales para servidores, detección de software malicioso conocido, registro central para la correlación de eventos, supervisión de puertos de red y detección de patrones de datos.
La detección rápida de actividad maliciosa permite una contención inmediata antes de que se propague y cause más daño. Todos los sistemas infectados deben ponerse en cuarentena, repararse y restaurarse. A veces, es posible que los sistemas no capten un ataque de ransomware exitoso hasta que sea demasiado tarde y se bloqueen los datos. Incluso los respaldos pueden verse comprometidos, lo que los convierte en inútiles.
Por lo tanto, los administradores del sistema deben mantenerse atentos durante la etapa de detección para que puedan iniciar rápidamente las medidas de contención y, así, detener el ataque y restaurar los datos cifrados. Los administradores del sistema también deben instalar herramientas eficaces de terceros que ayuden a detectar ataques.
Desafortunadamente, no existe una garantía del 100 % cuando se trata de seguridad cibernética. Independientemente de qué tan bien esté su departamento de TI en las etapas de detección y prevención de un ataque, en ocasiones ocurren ataques exitosos que obligan a las organizaciones a pasar a la etapa de recuperación.
Aquí, el tiempo de recuperación depende de cuán extendido fue el ataque y de su nivel de preparación. Independientemente de la escala, desde el cifrado de algunos archivos hasta la pérdida de los datos de un sitio completo, por lo general, son los datos más críticos a los que se apuntan. Los procedimientos y las herramientas de recuperación después de un desastre se utilizarán y probarán durante todo el proceso.
Una defensa eficaz contra el ransomware depende en última instancia de instruirse. Debe tomarse el tiempo para aprender más sobre cuáles son las mejores opciones para actualizaciones de software y respaldos de datos automatizados. Su máxima prioridad para usted y sus empleados es informarse sobre los signos reveladores de una amenaza o un ataque y las tácticas de distribución, como sitios web falsificados, descargas no autorizadas y ataques de phishing.
También necesita implementar soluciones de seguridad que permitan una protección avanzada contra amenazas. Las herramientas de detección y respuesta de endpoints (EDR, Endpoint Detection and Response) son perfectas para supervisar actividades en sus redes y endpoints a fin de identificar, proteger y mitigar amenazas. Las herramientas de NetBackup también sirven para detectar y prevenir el ransomware y otros ataques.
Hay tres tipos de herramientas preventivas y de limpieza de ransomware. La primera categoría son las herramientas de desinfección para los equipos que necesitan una certificación limpia antes de poder restaurar los datos después de un incidente. Esta función está presente en muchos programas antivirus convencionales.
La segunda categoría incluye las herramientas de descifrado que se inician una vez que un ataque está en marcha con éxito. Lamentablemente, estas herramientas son limitadas y dependen de que los investigadores recuperen las bases de datos clave individuales de los atacantes una vez que los descubren.
La tercera categoría son las herramientas de protección que utilizan el análisis conductual para detectar eventos que sugieren presencia de ransomware en un sistema y que se interceptan antes de que se produzcan daños.
Algunas de las mejores herramientas contra ransomware de la actualidad son los dispositivos de Veritas NetBackup, la herramienta de pantalla de bloqueo Trend Micro, las soluciones de Avast, BitDefender, las herramientas y los descifradores de laboratorio de Kaspersky, las herramientas de descifrado de AVG, las herramientas de Webroot SecureAnywhere, Malwarebytes, McAfee Interceptor Review, No More Ransom y CryptoPrevent.
Evaluar la efectividad de las herramientas de protección contra ransomware con muestras reales es increíblemente complicado. Además, algunas herramientas son específicas para incidentes pasados particulares que pueden no estar activos en la actualidad.
Sin embargo, quizás la mejor manera de probar la efectividad de estas herramientas es configurar una máquina virtual que coincida con el entorno de su sistema y no tenga acceso real a la red. Desde aquí, puede probar diferentes situaciones de ataque y usar puntos de restauración de sus respaldos (como los dispositivos de Veritas NetBackup) para comprobar su efectividad.
El cripto-ransomware dirigido a equipos informáticos se ha convertido en un fenómeno de masas en los últimos años. Sin las herramientas y la capacitación adecuadas de protección contra ransomware, cuando vea la demanda de rescate, ya será demasiado tarde para desconectar y detener un daño mayor. El brote de diferentes variedades como WannaCry/NotPetya ha demostrado el extenso daño que un ataque altamente distribuido puede hacer.
Mientras que, en la actualidad, los programas antivirus están mejor diseñados para detectar y bloquear algunos tipos de ransomware (generalmente, al advertir comportamientos sospechosos), contar con el tipo correcto de respaldos sigue siendo la mejor defensa contra este y otros ataques de software malicioso. Los dispositivos de Veritas NetBackup cuentan con una variedad de productos que ayudan a prevenir y detectar ataques, así como a recuperar datos.