El ransomware, cómo actúa y por qué lo usan los ciberdelincuentes

Hace algunos años, las amenazas a la seguridad consistían en el robo de información de los sistemas que los atacantes podían usar para cometer delitos suplantando la identidad.

El ransomware es malware (software maligno o malintencionado). Es un tipo de ataque que se caracteriza por mantener el control del dispositivo y, por lo tanto, los datos almacenados localmente a cambio de un rescate.

Los ciberdelincuentes, emplean cifrado a nivel de disco o de archivo, lo que hace imposible recuperar archivos sin pagar el rescate que exigen, manteniendo sus dispositivos (y datos) como rehenes.

Resulta relativamente sencillo implementar un ransomware, puesto que, en la mayoría de los casos, aprovechan brechas de seguridad de los sistemas que se hacen públicas.

Por ello los criminales confían cada vez más en este tipo de ataques de malware para generar beneficios. Los ataques de ransomware han crecido rápidamente desde 2013 y son cada vez más numerosos y sofisticados y, por tanto, más difíciles de defender.

Las 5 fases de un ataque de randsomware

Podemos identificar 5 fases en un ataque de ransomware. En la medida en la que seamos capaces de identificar esas fases y los indicadores de cada una de ellas la probabilidad de controlar o mitigar el ataque, será más alto.

1. Explosión y expansión (t₀). Para que un ataque tenga éxito, el archivo ransomware malicioso debe ejecutarse en un ordenador. Esto suele ser a través de un correo electrónico de phishing o un kit de explotación.
2. Entrega y ejecución (t₀ + 5 seg.). Durante esta fase, los ejecutables de ransomware se propagan al sistema de la víctima. Tras la ejecución, se pondrán en marcha mecanismos de persistencia para mantenerse en el sistema.
3. Eliminación de respaldo (t₀ + 10 seg.). Unos segundos más tarde, el ransomware se dirige a los archivos y carpetas de copia de seguridad en el sistema de la víctima y los elimina para evitar la restauración desde la copia de seguridad.
4. Cifrado de archivos (t₀ + 2 min). Una vez que se eliminan por completo las copias de seguridad, el malware realizará un intercambio seguro de claves con el servidor de comandos y control, estableciendo las claves de cifrado que se utilizarán en el sistema local.
5. Notificación al usuario y rescate (t₀ + 15 min). Con los archivos de respaldo eliminados y el trabajo sucio de cifrado hecho, se presentan las instrucciones de extorsión y pago. Habitualmente, se ofrecen unos días para pagar y de no hacerlo, el rescate va aumentando.

Finalmente, el malware se limpia a sí mismo del sistema para no dejar evidencia forense significativa que ayudaría a construir mejores defensas contra él.

El éxito de una organización en la defensa contra un ataque de ransomware depende en gran medida de su nivel de preparación y de las herramientas que implemente para monitorizar sus sistemas para detectar, responder y neutralizar actividades sospechosas.

¿Cómo puedo protegerme de un ataque de ransomware?

Las diferentes familias de ransomware utilizan diferentes puntos de entrada, como redes de intercambio de archivos, publicidad maliciosa, phishing, archivos adjuntos de correo electrónico, enlaces maliciosos y el uso de sistemas infectados para buscar puertos abiertos vulnerables en ordenadores conectados a Internet. Como resultado, protegerse de un ataque de ransomware simplemente requiere una higiene de seguridad diligente. Para los ordenadores dentro de una empresa, el uso de “Políticas de Grupo” para evitar la ejecución de programas desconocidos es una medida de seguridad eficaz para el ransomware y otros tipos de malware.

Asegurarse de que todos los dispositivos de su red reciban parches de seguridad regulares y rápidos es la mayor defensa contra cualquier intento de piratería, incluido el ransomware. Además, un ciclo de vida sano del dispositivo también es importante para la seguridad de la red: los sistemas obsoletos que ejecutan sistemas operativos no compatibles, como Windows XP, no tienen cabida en una red conectada a Internet.

El proyecto No More Ransom, una colaboración entre Europol, la Policía Nacional Holandesa, Kaspersky Lab y McAfee, proporciona a las víctimas de una infección de ransomware herramientas de descifrado para eliminar el ransomware de más de 80 variantes de tipos de ransomware generalizados, incluidos GandCrab, Popcorn, LambdaLocker, Jaff, CoinVault y muchos otros.

Más cosas que debemos saber sobre el ransomware.

• Las pérdidas ocasionadas a las empresas son cada vez mayores. En el último año se han duplicado en Estados Unidos, por ejemplo.
• Se produce un ataque de ransonware cada 10 segundos.
• No es fácil recuperarse. Las empresas afectadas por el ransomware pueden perder ingresos, no solo por pagar el rescate. También pueden sufrir daños a la marca, reputacionales e, incluso algunas empresas terminan reduciendo su plantilla o cerrando por completo.
• Pagar no es una vacuna. No te hace inmune. De hecho, más del 75% de las empresas que pagan, vuelven a sufrir ataques, la mayoría de las veces por parte de los mismos ciberdelincuentes.
• Tu punto más débil es tu gente. Tu mejor defensa es tu gente. La principal solución a implantar por las empresas después de un ataque de ransomware es la capacitación en conciencia de seguridad de sus empleados.

En definitiva, sabemos que el ransomware es una amenaza y que debemos tener un plan. Tenemos que hacer una labor de previsión y de concienciación

En Tritón somos consultores de tecnología y ayudamos a las compañías en materia de ciberseguridad, para poder tner actualizadas sus politicas y evitar ataques maliciosos tanto desde el exterior como desde el interior de la organización.