El ransomware es el segundo ataque de malware más frecuente después de los ataques de Comando y Control (C2), según el Informe de Violación de Datos de Verizon . El correo electrónico sigue siendo el principal mecanismo de inyección de todo el malware, incluido el ransomware. Entonces, ¿cómo se enseña a los usuarios a no hacer clic en enlaces de phishing?
La opinión de los profesionales: nada. La gente hará lo que esté en su naturaleza. Por lo tanto, debemos abordar el problema del ransomware de manera diferente. En este artículo, veremos las principales características y métodos para lidiar con ransomware.
Para obtener más información sobre ransomware, consulte el curso introductorio gratuito de Troy Hunt sobre virus ransomware .
¿Qué son los ransomware?
El ransomware es un malware que cifra los datos de las víctimas. Luego, el atacante le pide a la víctima que pague un rescate por la clave para descifrar sus archivos.
El primer programa de este tipo apareció en 1989, se distribuyó en disquetes y requirió un pago de 189 dólares.
En 2019, un ataque de ransomware afectó a la ciudad de Baltimore. La liquidación del daño costó aproximadamente $ 18 millones.
Pero, ¿cómo funciona exactamente este malware?
¿Cómo funciona el ransomware?
El ransomware es un ataque de varias etapas que los ciberdelincuentes llevan a cabo de diversas formas. Pero los pasos clave son los mismos: infiltrarse en la red de la víctima, cifrar tantos datos como sea posible y extorsionar el pago por el descifrado.
1. Infección
Primero, los atacantes deben inyectar malware en la red seleccionada. La mayoría de las veces, se trata de un simple ataque de phishing que utiliza programas maliciosos en archivos adjuntos. El ransomware se ejecuta localmente o intenta replicarse en otras computadoras de la red.
2. Obtención de llaves de seguridad
Luego, el malware informa a los atacantes sobre la infección de la víctima y obtiene las claves criptográficas necesarias para cifrar los datos.
3. Cifrado
En este punto, el ransomware cifra los archivos de la víctima. Comienza con una unidad local y luego intenta verificar la red en busca de unidades mapeadas o unidades abiertas para atacar. Por ejemplo, CryptoWall eliminó los archivos Volume Shadow Copy para dificultar la restauración desde una copia de seguridad, y también estaba buscando una forma de robar carteras BitCoin. WannaCry usó la vulnerabilidad EternalBlue para propagarse a otras computadoras y luego cifrar.
4. Extorsión
La víctima queda afectada y el atacante envía una notificación exigiendo el pago por el descifrado. Por lo general, contiene alguna cifra en dólares con amenazas como "páganos o perderá sus datos".
Vale la pena señalar que gracias a las criptomonedas, la distribución de ransomware se ha convertido en un negocio lucrativo. Es difícil medir la rentabilidad de la actividad delictiva en este momento, pero la frecuencia de los ataques indica que los atacantes ven beneficios y continúan utilizando estos métodos.
Últimamente, el plan de extorsión se basa en la amenaza de divulgación de datos. El ransomware es capaz no solo de cifrar datos en un sistema, sino también de transmitirlos a los atacantes. A esto le sigue una amenaza: pague o sus datos estarán disponibles públicamente.
5. Desbloqueo y recuperación
Lo que importa ahora es si la víctima paga el rescate y espera que el perpetrador envíe honestamente las claves de descifrado. O elimina el malware e intenta recuperar manualmente los datos cifrados.
Los atacantes generalmente no proporcionan claves incluso después de recibir el dinero . Sí, aunque puede resultar impactante. Es por eso que el incidente de extorsión en Baltimore fue tan costoso y por qué tardó tanto en recuperarse. En Baltimore, a los atacantes no se les pagaba, por lo que el personal de TI tenía que recuperar los datos cuando podía y reconfigurar los dispositivos en los que no podían.
El plan de recuperación también debe tener en cuenta la amenaza de divulgación de datos.... Pero, ¿cómo puede evitar que un atacante revele los datos robados? De ninguna manera. En este sentido, proteger los sistemas y prevenir la infiltración de ransomware es mucho más importante que realizar una copia de seguridad de los datos.
Puede obtener más información sobre cómo funciona el ransomware en el video a continuación; está incluido en nuestro curso introductorio gratuito sobre ransomware de Troy Hunt :
Cómo protegerse contra el ransomware: consejos básicos
Crear protección contra ataques de ransomware implica que los individuos y toda la empresa tomen medidas para prevenir infecciones.
¡No hagas clic en los enlaces!
Sí, has oído hablar de esto antes. Pero siempre vale la pena repetirlo. En 2020, un gran porcentaje de malware ingresó a los sistemas a través de correos electrónicos de phishing. La gente (¡todos sin excepción!) No dejarán de seguir enlaces. Recientemente publicamos The Ultimate Guide to Phishing Attacks , que detalla los principios de un ataque de phishing y consejos sobre cómo evitar ser víctima de él.
Proteja su correo electrónico y sus puntos finales
Sabemos por experiencia que los empleados siempre harán clic en los enlaces. Por lo tanto:
- Analice todos los correos electrónicos en busca de "cepas" conocidas de malware y actualice los firewalls y las protecciones de terminales con las firmas de virus más recientes;
- Notificar a los usuarios sobre correos electrónicos externos;
- Proporcione una VPN para que los usuarios la utilicen fuera de la red.
Almacenar copias de seguridad
Mantenga las copias de seguridad actualizadas para proteger los datos importantes, tanto corporativos como personales. La forma mejor y más rápida de lidiar con el ransomware es volver a crear una imagen del disco inmediatamente y luego restaurar los datos de la última copia de seguridad confiable. Por supuesto, si los datos no se eliminaron como resultado del ataque, este es otro problema.
Proteja la información confidencial
Las personas están genéticamente predispuestas a confiar. Ésta es una de las razones evolutivas de la enorme expansión de nuestra especie. Nuestra confianza inherente ayuda a los psíquicos a convencernos de que nosotros mismos hemos tomado una decisión determinada, ya los atacantes, a obligarlos a decirles nuestras contraseñas o los apellidos de soltera de nuestra madre.
Cuando alguien le pida información confidencial, sea escéptico y siga las reglas establecidas. Este es el mismo problema que con los enlaces, pero podría ser una comunicación personal real.
¿Quién está en riesgo?
En teoría, el ransomware puede dañar a todo el mundo. Por razones económicas, los ataques más sofisticados suelen tener como objetivo organizaciones grandes y solventes. Pero los ataques de ransomware no siempre tienen un objetivo específico. Algunos atacantes utilizan técnicas de bombas de alfombra e intentan infectar a tantos usuarios como sea posible al mismo tiempo.
7 tipos de ransomware que todo el mundo debería conocer
Los atacantes desarrollan constantemente nuevos tipos de ransomware que explotan varios vectores de ataque, como anuncios maliciosos, gusanos de ransomware y programas de transferencia de archivos de igual a igual.
Los ataques de ransomware no tienen por qué ser poco fiables para ser eficaces. Se aprovechó una conocida vulnerabilidad para difundir WannaCry y NotPetya y resultó ser muy eficaz.
Recientemente, el ransomware como servicio (RaaS) se ha vuelto muy popular, como Netwalker , donde los piratas informáticos alquilan su malware a otros ciberdelincuentes, lo que aumenta la incidencia y la cobertura.
Echemos un vistazo a otros tipos de ransomware y cómo funcionan.
Criptógrafos
La primera y más común categoría de estos programas es ransomware ransomware. CryptoLocker y CryptoWall se han ganado la reputación de ser virus ransomware de cifrado fiables. El cifrado es el proceso de cifrado de datos, por lo que no se pueden leer sin la clave adecuada.
Hackear ransomware
Agrietamiento por fuerza bruta: un algoritmo de clave simétrica toma desde unas pocas horas para una clave pequeña de 20 bits hasta millones de años para una clave de 128 bits.
En teoría, tanto las claves públicas como las simétricas se pueden descifrar mediante la fuerza bruta. Pero no deberías contar con eso. El cifrado moderno es un proceso demasiado complejo incluso para las computadoras más rápidas.
Más específicamente, las posibilidades de descifrar archivos infectados por el ransomware utilizando la fuerza bruta están entre escasas y nulas (y mucho más cercanas a cero).
Ransomware que elimina datos
Los atacantes pueden amenazar con que cualquier intento de descifrar sus archivos conducirá únicamente a una "pérdida permanente de datos" . O los archivos se eliminarán si no paga.
Los virus de eliminación de datos más conocidos son Gpcode y FileCoder.
La opinión de los profesionales: si los archivos son "borrados" por el ransomware, no se pueden sobrescribir en el disco. La mejor opción es restaurar desde una copia de seguridad.
Bloqueadores
Los atacantes crean sitios web maliciosos que intentan engañarlo haciéndole creer que la policía lo está buscando y que debe pagar una multa o abusar de su confianza. Incluso saben cómo deshabilitar los atajos de teclado para que sea más difícil cerrar la pantalla. Estos métodos son utilizados, por ejemplo, por los programas Winlock y Urausy.
La opinión de los profesionales: todos los mensajes entrantes con una solicitud de transferencia de dinero son fraudulentos.
Ransomware para dispositivos móviles
Dado que el ransomware ha demostrado su eficacia en las PC, los ciberdelincuentes crean programas similares para dispositivos móviles. Básicamente, son una especie de bloqueador, ya que encriptar un dispositivo móvil del que se realiza una copia de seguridad regularmente no tiene sentido.
Reglas de respuesta al ransomware
Las siguientes acciones ayudarán a hacer frente a los continuos ataques de ransomware y mitigar sus consecuencias:
1. Aislamiento
El primer paso para combatir el ransomware es aislar los sistemas infectados del resto de la red. Detenga estos sistemas y desconecte el cable de red. Apague el WI-FI. Los sistemas infectados deben estar completamente aislados de otras computadoras y dispositivos de almacenamiento en la misma red.
2. Identificación
Luego, averigüe qué tipo de malware causó la infección en sus computadoras. Respuesta a incidentes, el personal de TI o los consultores externos deben identificar el tipo de ransomware y planificar la mejor manera de lidiar con la infección.
3. Alertar a las autoridades reguladoras sobre la amenaza.
Dependiendo de las consecuencias del incidente y las disposiciones legales aplicables, el incidente debe informarse a los reguladores.
4. Eliminación de software malicioso
Elimine el malware de los sistemas infectados para evitar mayores daños y la propagación del virus.
5. Recuperación de datos
Después de suprimir el ataque, continúe con el proceso de recuperación. Pagar el rescate es una opción. Quizás los atacantes son ladrones nobles y le darán las claves que necesita para descifrar sus datos. La mejor opción es restaurar desde la copia de seguridad más reciente disponible. Si está disponible.
¿Vale la pena pagar el rescate?
No. En la mayoría de los casos, no vale la pena hacerlo. La protección contra ransomware y las opciones de copia de seguridad disponibles deben ser una prioridad. Realice copias de seguridad con regularidad para evitar este tipo de ataques y proteger sus datos, de modo que nunca tenga que pagar el rescate. Sin embargo, en la práctica, las cosas pueden ser mucho más complicadas.
¿Se proporciona un seguro cibernético para proteger contra ataques de ransomware? ¿Es posible comprar bitcoins para pagar el rescate a tiempo? ¿Hay copias de seguridad de los sistemas infectados? ¿Son los datos críticos? Al decidir si realizar una ejecución hipotecaria, lo más probable es que deba responder estas preguntas.
Antes de considerar transferir fondos
Encontrar una herramienta de descifrado
Navegue por Internet en busca de herramientas de descifrado existentes . Si se encuentra que las claves repelen un ataque, no es necesario que pague un rescate. A veces, los expertos en ciberseguridad logran obtener claves de descifrado de servidores maliciosos y publicarlas en línea. Algunos de ellos se describen a continuación:
¿Cuándo debería pensar en transferir fondos?
En la cumbre de ciberseguridad, Joseph Bonavolonta, a cargo del programa de ciberseguridad y contrainteligencia del FBI, dijo: "Honestamente, a menudo le recomendamos que pague el rescate".
También aclaró: “Un ataque de ransomware exitoso en última instancia beneficia a las víctimas: dado que muchos pagan el rescate, los autores de malware están menos inclinados a exprimir grandes sumas de una sola víctima estableciendo tamaños pequeños. Y la mayoría de las estafas de ransomware cumplen su palabra. Por lo tanto, se le devolverá el acceso ".
La mayoría de los virus ransomware requieren un rescate en el rango de $ 200 a $ 10,000, según el FBI.
Sin embargo, existen precedentes en los que la cantidad era mucho mayor. En 2014, los atacantes cifraron los archivos de la administración de Detroit y exigieron un rescate por la cantidad de 2.000 bitcoins, que en ese momento era de unos 800.000 dólares. Esta historia tiene un final feliz: la administración de Detroit no necesitaba esta base de datos, por lo que no pagó.
A veces, transferir fondos es la decisión correcta. La Oficina del Sheriff del condado de Dixon en Tennessee pagó $ 622 en bitcoins a los piratas informáticos que cifraron los archivos criminales del departamento. Según el detective Jeff McCliss, "se redujo a elegir entre perder todos los datos y no poder realizar las tareas críticas en las que los usamos, y pagar un poco más de $ 600 para recuperar los datos". La oficina del alguacil tuvo suerte: se le devolvió el acceso a sus archivos.
Negativa a pagar: cuando no deberías seguir hablando
Algunos expertos en ciberseguridad instan a no pagar el rescate debido a la falta de garantías de que los archivos se devolverán a su estado original incluso después de que se transfieran los fondos. Además, aceptar pagar ransomware agrava el problema existente al convertir a la víctima en un objetivo de nuevos ataques de malware.
En 2016, se informó que el hospital de Kansas afectado por el ransomware pagó un rescate con la esperanza de volver al trabajo lo antes posible, pero después de que se transfirieron los fondos, los archivos solo se descifraron parcialmente. Al mismo tiempo, los ciberdelincuentes exigieron más dinero para descifrar los archivos restantes. Como resultado, el hospital se negó a pagar por segunda vez, ya que ya no parecía "una decisión inteligente o estratégica".
Para empeorar las cosas, si se infecta con una cepa defectuosa como Power Worm, los archivos no se pueden recuperar independientemente de la acción realizada. Incluso si uno quiere pagar el rescate, este ataque inevitablemente destruirá los datos de la víctima durante el cifrado.
En otros casos, por ejemplo, durante un ataque del virus NotPetya, cuyo propósito no es la ganancia financiera, sino la destrucción de datos, incluso si acumula bitcoins para pagar el rescate, no será posible devolver los datos.
Acepte que esta es una solución simple y efectiva: detener el ataque de ransomware desde el principio, cuando solo un par de cientos de archivos están encriptados, en lugar de tener que lidiar con un sistema de almacenamiento completamente encriptado más adelante.
Recursos y literatura adicionales
Aquí encontrará una serie de artículos sobre ransomware, así como enlaces a variedades específicas encontradas por analistas de seguridad en Varonis:
- El ransomware se adapta a las defensas cibernéticas automatizadas
- Cerber ransomware: lo que necesita saber
- El malware que se esconde en la carpeta System32 de Windows: Mshta, HTA y ransomware
- Nuevo SamSam Ransomware que aprovecha la antigua vulnerabilidad de JBoss
- Ransom for the Queen: Varonis detecta el ransomware ransomware de rápida propagación SaveTheQueen