El ransomware es un malware que emplea cifrado para retener la información de una víctima a cambio de un rescate. Los datos críticos de un usuario u organización están encriptados para que no puedan acceder a archivos, bases de datos o aplicaciones. Luego se exige un rescate para proporcionar acceso. El ransomware a menudo está diseñado para propagarse a través de una red y servidores de archivos y bases de datos de destino y, por lo tanto, puede paralizar rápidamente a toda una organización. Es una amenaza creciente, que genera miles de millones de dólares en pagos a los ciberdelincuentes e inflige daños y gastos significativos a empresas y organizaciones gubernamentales.
¿Cómo funciona el ransomware?
El ransomware utiliza cifrado asimétrico. Se trata de criptografía que utiliza un par de claves para cifrar y descifrar un archivo. El atacante genera de forma exclusiva el par de claves público-privadas para la víctima, con la clave privada para descifrar los archivos almacenados en el servidor del atacante. El atacante pone la clave privada a disposición de la víctima solo después de que se paga el rescate, aunque como se ha visto en campañas recientes de ransomware, ese no es siempre el caso. Sin acceso a la clave privada, es casi imposible descifrar los archivos que se retienen para pedir un rescate.
Existen muchas variaciones de ransomware. A menudo, el ransomware (y otro malware) se distribuye mediante campañas de correo no deseado o mediante ataques dirigidos. El malware necesita un vector de ataque para establecer su presencia en un endpoint. Una vez establecida la presencia, el malware permanece en el sistema hasta que se completa su tarea.
Después de una explotación exitosa, el ransomware suelta y ejecuta un binario malicioso en el sistema infectado. Este binario busca y cifra archivos valiosos, como documentos, imágenes, bases de datos de Microsoft Word, etc. El ransomware también puede aprovechar las vulnerabilidades del sistema y la red para propagarse a otros sistemas y posiblemente a organizaciones enteras.
Una vez que los archivos están cifrados, el ransomware solicita al usuario que pague un rescate en un plazo de 24 a 48 horas para descifrar los archivos, o se perderán para siempre. Si una copia de seguridad de datos no está disponible o esas copias de seguridad estaban encriptadas, la víctima se enfrenta a pagar el rescate para recuperar archivos personales.
¿Por qué se está propagando el ransomware?
Los ataques de Ransomware y sus variantes están evolucionando rápidamente para contrarrestar las tecnologías preventivas por varias razones:
Fácil disponibilidad de kits de malware que se pueden usar para crear nuevas muestras de malware a pedido.
Uso de buenos intérpretes genéricos conocidos para crear ransomware multiplataforma (por ejemplo, Ransom32 usa Node.js con una carga útil de JavaScript)
Uso de nuevas técnicas, como cifrar el disco completo en lugar de archivos seleccionados
Los ladrones de hoy ni siquiera tienen que ser expertos en tecnología. Los mercados de ransomware han surgido en línea, ofreciendo cepas de malware para cualquier posible ciberdelincuente y generando ganancias adicionales para los autores de malware, que a menudo piden una reducción en las ganancias del rescate.
¿Por qué es tan difícil encontrar perpetradores de ransomware?
El uso de criptomonedas anónimas para el pago, como bitcoin, dificulta seguir el rastro del dinero y rastrear a los delincuentes. Cada vez más, los grupos de delitos cibernéticos están ideando esquemas de ransomware para obtener ganancias rápidas. La fácil disponibilidad de código de fuente abierta y plataformas de arrastrar y soltar para desarrollar ransomware ha acelerado la creación de nuevas variantes de ransomware y ayuda a los principiantes a crear su propio ransomware. Por lo general, el malware de vanguardia como el ransomware tiene un diseño polimórfico, lo que permite a los ciberdelincuentes eludir fácilmente la seguridad tradicional basada en firmas basada en el hash de archivos.
¿Qué es ransomware-as-a-service (RaaS)?
El ransomware como servicio es un modelo económico de ciberdelincuencia que permite a los desarrolladores de malware ganar dinero por sus creaciones sin la necesidad de distribuir sus amenazas. Los delincuentes no técnicos compran sus productos y lanzan las infecciones, mientras pagan a los desarrolladores un porcentaje de lo que reciben. Los desarrolladores corren relativamente pocos riesgos y sus clientes hacen la mayor parte del trabajo. Algunos casos de ransomware como servicio utilizan suscripciones, mientras que otros requieren registro para obtener acceso al ransomware. Obtenga más información sobre el ransomware como servicio .
Cómo defenderse del ransomware
Para evitar el ransomware y mitigar los daños si es atacado, siga estos consejos:
Realice una copia de seguridad de sus datos. La mejor manera de evitar la amenaza de quedar bloqueado en sus archivos críticos es asegurarse de tener siempre copias de seguridad de ellos, preferiblemente en la nube y en un disco duro externo. De esta manera, si contrae una infección de ransomware, puede limpiar su computadora o dispositivo y reinstalar sus archivos desde la copia de seguridad. Esto protege sus datos y no se verá tentado a recompensar a los autores de malware pagando un rescate. Las copias de seguridad no evitarán el ransomware, pero pueden mitigar los riesgos.
Asegure sus copias de seguridad. Asegúrese de que no se pueda acceder a sus datos de respaldo para modificarlos o eliminarlos de los sistemas donde residen los datos. El ransomware buscará copias de seguridad de datos y las cifrará o eliminará para que no se puedan recuperar, por lo tanto, utilice sistemas de copia de seguridad que no permitan el acceso directo a los archivos de copia de seguridad.
Utilice software de seguridad y manténgalo actualizado. Asegúrese de que todas sus computadoras y dispositivos estén protegidos con un software de seguridad integral y mantenga todo su software actualizado. Asegúrese de actualizar el software de sus dispositivos con anticipación y con frecuencia, ya que los parches para fallas generalmente se incluyen en cada actualización y busque ayuda para una desencriptación Ransomware
Práctica un surf seguro. Tenga cuidado donde haga clic. No responda a correos electrónicos y mensajes de texto de personas que no conoce y sólo descargue aplicaciones de fuentes confiables. Esto es importante ya que los autores de malware a menudo utilizan la ingeniería social para intentar que instale archivos peligrosos.
Utilice únicamente redes seguras. Evite el uso de redes Wi-Fi públicas, ya que muchas de ellas no son seguras y los ciberdelincuentes pueden espiar su uso de Internet. En su lugar, considere instalar una VPN, que le brinda una conexión segura a Internet sin importar a dónde vaya.
Mantente informado. Manténgase actualizado sobre las últimas amenazas de ransomwares para que sepa qué buscar. En el caso de que contraiga una infección de ransomware y no haya realizado una copia de seguridad de todos sus archivos, sepa que las empresas de tecnología ponen a disposición algunas herramientas de descifrado para ayudar a las víctimas.
Implementar un programa de concientización sobre seguridad. Proporcione formación periódica sobre concienciación sobre la seguridad a todos los miembros de su organización para que puedan evitar el phishing y otros ataques de ingeniería social. Realice simulacros y pruebas con regularidad para asegurarse de que se esté observando la capacitación.