Krypton Solid

Blog

Ransomware: cómo funciona y cómo eliminarlo

Ransomware

A pesar de una disminución reciente, el ransomware sigue siendo una amenaza grave. Aquí encontrará todo lo que necesita saber sobre el malware de cifrado de archivos y cómo funciona.

Definición de ransomware

El ransomware es una forma de  malware  que encripta los archivos de una víctima. El atacante luego exige un rescate de la víctima para restablecer el acceso a los datos tras el pago. 

Los usuarios reciben instrucciones sobre cómo pagar una tarifa para obtener la clave de descifrado. Los costos pueden variar desde unos pocos cientos de dólares hasta miles, pagaderos a los cibercriminales en Bitcoin.

Cómo funciona el ransomware

Hay varios vectores que el ransomware puede tomar para acceder a una computadora. Uno de los sistemas de entrega más comunes es el phishing , archivos adjuntos que llegan a la víctima en un correo electrónico, disfrazados como un archivo en el que deben confiar. Una vez que se descargan y abren, pueden hacerse cargo de la computadora de la víctima, especialmente si tienen herramientas integradas de ingeniería social que engañan a los usuarios para que permitan el acceso administrativo. Algunas otras formas más agresivas de ransomware, como NotPetya , explotan agujeros de seguridad para infectar computadoras sin necesidad de engañar a los usuarios.

Hay varias cosas que el malware puede hacer una vez que se apodera de la computadora de la víctima, pero la acción más común es, con mucho, cifrar algunos o todos los archivos del usuario. Si desea los detalles técnicos, el Instituto Infosec tiene una gran mirada en profundidad sobre cómo varios tipos de ransomware encriptan archivos . Pero lo más importante que debe saber es que al final del proceso, los archivos no se pueden descifrar sin una clave matemática conocida solo por el atacante. Al usuario se le presenta un mensaje que explica que sus archivos ahora son inaccesibles y solo se descifrarán si la víctima envía un pago de Bitcoin no rastreable al atacante.

En algunas formas de malware, el atacante podría afirmar que es una agencia de aplicación de la ley que apaga la computadora de la víctima debido a la presencia de pornografía o software pirateado, y exige el pago de una «multa», tal vez para hacer que las víctimas sean menos propensas a reportar el ataque a las autoridades. Pero la mayoría de los ataques no se molestan con esta pretensión. También hay una variación, llamada fuga o doxware , en la que el atacante amenaza con publicitar datos confidenciales en el disco duro de la víctima a menos que se pague un rescate. Pero debido a que encontrar y extraer dicha información es una propuesta muy complicada para los atacantes, el ransomware de cifrado es, con mucho, el tipo más común.

¿Quién es un objetivo para el ransomware?

Hay varias formas diferentes en que los atacantes eligen las organizaciones a las que se dirigen con ransomware . A veces es una cuestión de oportunidad: por ejemplo, los atacantes pueden atacar a las universidades porque tienden a tener equipos de seguridad más pequeños y una base de usuarios dispares que comparte muchos archivos, lo que facilita la penetración de sus defensas.

Por otro lado, algunas organizaciones son objetivos tentadores porque parecen más propensas a pagar un rescate rápidamente. Por ejemplo, las agencias gubernamentales o las instalaciones médicas a menudo necesitan acceso inmediato a sus archivos. Es posible que las firmas de abogados y otras organizaciones con datos confidenciales estén dispuestas a pagar para mantener en secreto las noticias de un compromiso, y estas organizaciones pueden ser especialmente sensibles a los ataques de filtraciones.

Pero no se sienta seguro si no se ajusta a estas categorías: como hemos señalado, algunos ransomware se propagan de manera automática e indiscriminada a través de Internet.

Cómo prevenir el ransomware

Hay varios pasos defensivos que puede tomar para prevenir la infección por ransomware . Estos pasos son, por supuesto, buenas prácticas de seguridad en general, por lo que seguirlos mejora sus defensas contra todo tipo de ataques:

  • Mantenga su sistema operativo parcheado y actualizadopara garantizar que tenga menos vulnerabilidades que explotar.
  • No instale software ni le otorgue privilegios administrativos amenos que sepa exactamente qué es y qué hace.
  • Instale  software antivirus, que detecta programas maliciosos como ransomware a medida que llegan, y  software de lista blanca , que evita que se ejecuten aplicaciones no autorizadas en primer lugar.
  • Y, por supuesto, haga una copia de seguridad de sus archivos, ¡frecuente y automáticamente! Eso no detendrá un ataque de malware, pero puede hacer que el daño causado por uno sea mucho menos significativo.

Eliminación de ransomware

Si su computadora ha sido infectada con ransomware, deberá recuperar el control de su máquina. Steve Ragan de CSO tiene un excelente video que muestra cómo hacer esto en una máquina con Windows 10:

El video tiene todos los detalles, pero los pasos importantes son:

  • Reinicie Windows 10 en modo seguro
  • Instalar software antimalware
  • Escanee el sistemapara encontrar el programa ransomware
  • Restaurar la computadoraa un estado anterior

Pero esto es lo importante a tener en cuenta: mientras sigue estos pasos puede eliminar el malware de su computadora y restaurarlo a su control, no descifrará sus archivos. Su transformación en ilegibilidad ya ha sucedido, y si el malware es sofisticado, será matemáticamente imposible para alguien descifrarlo sin tener acceso a la clave que posee el atacante. De hecho, al eliminar el malware, ha excluido la posibilidad de restaurar sus archivos pagando a los atacantes el rescate que han solicitado.

Datos y cifras del ransomware

El ransomware es un gran negocio. Hay mucho dinero en ransomware, y el mercado se expandió rápidamente desde el comienzo de la década. En 2017, el ransomware resultó en pérdidas de € 5 mil millones , tanto en términos de rescates pagados como de gasto y pérdida de tiempo para recuperarse de los ataques. Eso es 15 veces más que en 2015. En el primer trimestre de 2018, solo un tipo de software de ransomware, SamSam, recaudó € 1 millón en dinero de rescate .

Algunos mercados son particularmente propensos al ransomware y a pagar el rescate. Se han producido muchos ataques de ransomware de alto perfil en hospitales u otras organizaciones médicas, que son objetivos tentadores: los atacantes saben que, con vidas literalmente en juego, es más probable que estas empresas simplemente paguen un rescate relativamente bajo para que un problema desaparezca. Se estima que el 45 por ciento de los ataques de ransomware se dirigen a las organizaciones de atención médica y, por el contrario, que el 85 por ciento de las infecciones de malware en las organizaciones de atención médica son ransomware . ¿Otra industria tentadora? El sector de servicios financieros, que es, como dijo Willie Sutton, donde está el dinero. Se estima que el 90 por ciento de las instituciones financieras fueron blanco de un ataque de ransomware en 2017 .   

Su software anti-malware no necesariamente lo protegerá. Los desarrolladores escriben y modifican constantemente el ransomware, por lo que sus firmas a menudo no son captadas por los programas antivirus típicos. De hecho, hasta el 75 por ciento de las empresas que son víctimas del ransomware estaban ejecutando una protección de punto final actualizada en las máquinas infectadas .

El ransomware no es tan frecuente como solía ser. Si quieres un poco de buenas noticias, es esta: la cantidad de ataques de ransomware, después de explotar a mediados de los años 10, ha disminuido, aunque las cifras iniciales fueron lo suficientemente altas como para que aún sea así. Pero en el primer trimestre de 2017, los ataques de ransomware constituyeron el 60 por ciento de las cargas útiles de malware; ahora se ha reducido al 5  por ciento.  

¿Ransomware en declive?

¿Qué hay detrás de este gran chapuzón? En muchos sentidos, es una decisión económica basada en la moneda de elección del cibercriminal: bitcoin. Extraer un rescate de una víctima siempre ha sido impredecible; Es posible que no decidan pagar, o incluso si lo desean, es posible que no estén lo suficientemente familiarizados con Bitcoin para descubrir cómo hacerlo realmente.

Como señala Kaspersky , la disminución del ransomware ha sido acompañada por un aumento en el llamado malware cryptomining , que infecta la computadora víctima y usa su poder de cómputo para crear (o el mío, en lenguaje de criptomonedas) bitcoin sin que el propietario lo sepa. Esta es una ruta ordenada para usar los recursos de otra persona para obtener bitcoin que evita la mayoría de las dificultades para obtener un rescate, y solo se ha vuelto más atractivo como un ciberataque ya que el precio de bitcoin aumentó a fines de 2017.

Sin embargo, eso no significa que la amenaza haya terminado. Barkly explica que hay dos tipos diferentes de atacantes de ransomware : ataques «básicos» que intentan infectar computadoras indiscriminadamente por gran volumen e incluyen las llamadas plataformas de «ransomware como servicio» que los delincuentes pueden alquilar; y grupos específicos que se centran en segmentos y organizaciones del mercado particularmente vulnerables. Deberías estar en guardia si estás en la última categoría, sin importar si el gran boom del ransomware ha pasado.

Con el precio de bitcoin cayendo en el transcurso de 2018, el análisis de costo-beneficio para los atacantes podría retroceder. En última instancia, usar ransomware o malware cryptomining es una decisión comercial para los atacantes, dice Steve Grobman, director de tecnología de McAfee. «A medida que los precios de las criptomonedas caen, es natural ver un cambio hacia atrás [al ransomware]».

¿Deberías pagar el rescate?

Si su sistema ha sido infectado con malware y ha perdido datos vitales que no puede restaurar desde la copia de seguridad, ¿debería pagar el rescate? 

Cuando se habla teóricamente, la mayoría de las agencias de aplicación de la ley instan a no pagar a los atacantes de ransomware, con la lógica de que hacerlo solo alienta a los hackers a crear más ransomware. Dicho esto, muchas organizaciones que se ven afectadas por malware rápidamente dejan de pensar en términos del «bien mayor» y comienzan a hacer un análisis de costo-beneficio , sopesando el precio del rescate contra el valor de los datos cifrados. Según una investigación de Trend Micro, mientras que el 66 por ciento de las compañías dicen que nunca pagarían un rescate como punto de principio, en la práctica el 65 por ciento realmente paga el rescate cuando son golpeados.

Los atacantes de ransomware mantienen los precios relativamente bajos, generalmente entre € 700 y € 1.300, una cantidad que las empresas generalmente pueden pagar con poco tiempo de anticipación. Algún malware particularmente sofisticado detectará el país donde se está ejecutando la computadora infectada y ajustará el rescate para que coincida con la economía de esa nación, exigiendo más de las empresas en los países ricos y menos de las de las regiones pobres.

A menudo se ofrecen descuentos por actuar rápido, para alentar a las víctimas a pagar rápidamente antes de pensar demasiado en ello. En general, el precio se establece de modo que sea lo suficientemente alto como para valer la pena del criminal, pero lo suficientemente bajo como para que a menudo sea más barato de lo que la víctima tendría que pagar para restaurar su computadora o reconstruir los datos perdidos. Con eso en mente, algunas compañías están comenzando a desarrollar la necesidad potencial de pagar el rescate en sus planes de seguridad: por ejemplo, algunas grandes empresas del Reino Unido que de otra manera no están involucradas con la criptomoneda están manteniendo algo de Bitcoin en reserva específicamente para pagos de rescate.

Hay un par de cosas difíciles para recordar aquí, teniendo en cuenta que las personas con las que está tratando son, por supuesto, criminales. Primero, lo que parece ransomware puede no haber cifrado sus datos; asegúrese de no estar tratando con el llamado » scareware » antes de enviar dinero a nadie. Y segundo, pagarle a los atacantes no garantiza que recuperarás tus archivos. A veces los delincuentes simplemente toman el dinero y corren, y es posible que ni siquiera hayan incorporado la funcionalidad de descifrado en el malware. 

Ejemplos de ransomware

Si bien el ransomware ha existido técnicamente desde los años 90, solo en los últimos cinco años se ha quitado realmente, en gran parte debido a la disponibilidad de métodos de pago imposibles de rastrear como Bitcoin. Algunos de los peores delincuentes han sido :

  • CryptoLocker, un ataque de 2013 que lanzó la era moderna del ransomware e infectó hasta 500,000 máquinas en su apogeo
  • TeslaCrypt, que apuntó a los archivos de juegos y vio una mejora constante durante su reinado de terror
  • SimpleLocker, el primer ataque de ransomware generalizado que se centró en dispositivos móviles
  • WannaCry, que se propagó de manera autónoma de una computadora a otra utilizando EternalBlue, un exploit desarrollado por la NSA y luego robado por piratas informáticos
  • NotPetya, que también usó EternalBlue y puede haber sido parte de un ataque cibernético dirigido por Rusia contra Ucrania
  • Locky, que comenzó a extenderse en 2016, fue » similar en su modo de ataque al conocido software bancario Dridex «.

Y esta lista solo se hará más larga. Incluso mientras se redactaba este artículo, una nueva ola de ransomware, denominada BadRabbit , se extendió por las compañías de medios en Europa del Este y Asia. Es importante seguir los consejos enumerados aquí para protegerse.

Ahora que conoces los principales factores que hacen que el Ransomware sea peligroso para tu información, en Krypton Solid, te ofrecemos la posibilidad de solventar cualquier problema que tengas relacionado con el mantenimiento informático y ayudarte para que tu empresa desarrolle su labor sin ningún tipo de problema informático.

1 comentario en “Ransomware: cómo funciona y cómo eliminarlo”

Deja un comentario