Ataques por ransomware: Lo que debes saber

El ciberdelito ha aumentado a una tasa alarmante en los últimos años. Lamentablemente, los avances de la tecnología están estrechamente ligados a los avances en los ciberdelitos.

Según la Cyber Security Breaches Survey, en 2018, el 43% de las empresas fue víctima de alguna forma de filtración de ciberseguridad. El año anterior, el estado de California en los Estados Unidos perdió más de $214 millones solamente por ciberdelitos.

Apenas el mes anterior escribíamos acerca del último ataque en llegar a las noticias, Collection #1. Y partir de que se calcula de que solamente el año pasado, el ciberdelito generó al menos 1,5 billones de dólares, no sorprende que exista una gran preocupación.

Existen muchas formas de ciberdelito, desde la suplantación de identidad y el fraude por Internet hasta el acecho cibernético. En este blog, nos concentraremos en el ransomware.

¿Qué es el ransomware?

El ransomware es una forma de software malicioso diseñado para bloquear el acceso a un sistema de computadoras o para publicar online los datos personales de la víctima. El atacante le exige un rescate a la víctima, prometiéndole (lo que no siempre se cumple) volver a habilitar el acceso a los datos luego del pago.

Aunque existen desde los 80s y hemos visto el surgimiento de distintos troyanos de ransomware en la última década, la gran oportunidad de atacar se ha facilitado desde la aparición de Bitcoin. Esta criptodivisa les permite a los atacantes obtener dinero de sus víctimas fácilmente, sin tener que utilizar los canales tradicionales.

¿De dónde proviene el ransomware?

El ransomware lo diseñan estafadores con grandes conocimientos, expertos en programación de computadoras. El ransomware puede ingresar a través de tu computadora en un adjunto de correo electrónico, a través de tu red o a través de tu navegador, si visitas un sitio web infectado con este tipo de malware.

¿Cómo funciona el ransomware?

Suplantación de identidad

El sistema más utilizado por el ransomware es el spam de suplantación de identidad, mediante adjuntos que llegan al correo electrónico de la víctima simulando ser un archivo en el que pueden confiar. Según las investigaciones de Trend Micro, una compañía de software de seguridad, el 91% de los ciberataques y sus filtraciones de datos resultantes comienzan con un correo de suplantación de identidad spear (spear phishing).

Una vez que se descarga y abre el adjunto, el malware se apodera de la computadora de la víctima, cifrando algunos de los archivos del usuario. Cuando sucede esto, la única forma de quitar el cifrado es mediante una clave matemática que solamente conoce el atacante.

También ha habido casos en donde el malware muestra un mensaje que afirma que el "Windows" del usuario está bloqueado. Entonces, se indica al usuario que debe llamar a un número de teléfono de "Microsoft" e ingresar un código de seis dígitos para reactivar el sistema. El mensaje indica que la llamada telefónica es gratuita, lo que no es cierto. Mientras está llamando al falso "Microsoft", el usuario acumula gastos por llamadas a larga distancia.

Doxware

Otro tipo de malware es el llamado leakware o doxware. En este caso, el atacante amenaza con publicar datos sensibles del disco duro de la víctima, a menos de que se pague un rescate. Con frecuencia apunta a los correos electrónicos y documentos de Word, aunque también ha habido casos de variantes móviles, en donde se han publicado mensajes privados, imágenes y listas de contactos de los teléfonos de los usuarios.

El doxware resulta más efectivo que el ransomware, en términos de quitarle dinero a la víctima. Con el ransomware, es posible mantener distintas copias de seguridad de respaldo de datos a los que ya no es posible acceder, pero con el doxware, una vez que el atacante accede a la información que la víctima no desea ver publicada, no hay muchas más opciones que pagar.

¡No es solamente el rescate lo que resulta costoso!

Uno piensa que pagar un rescate para volver a tener acceso a tus propios datos ya es suficientemente malo, aunque eso puede ser insignificante en comparación a los reales costos por daños que implica un ataque. Entre ellos, encontramos los siguientes:

• Daños y destrucción (o pérdida) de datos.
• Productividad perdida.
• Interrupción posterior al ataque de las actividades comerciales normales.
• Investigación forense.
• Restauración y borrado de los sistemas y datos rehenes.
• Perjuicio a la reputación.
• Capacitación de los empleados, como respuesta directa a los ataques.

Si tomamos en cuenta todo lo anterior, no sorprende que se calcule que los daños por ransomware alcancen los 11.500 millones el corriente año, con una proyección de un ataque cada 14 segundos al final de este año, lo que es un aumento con respecto a los 40 segundos del año pasado.

Pagar o no pagar

Cuando hablamos con los expertos en ciberdelito, la mayoría aconseja no pagar los rescates, ya que financiar a los atacantes de ransomware solamente ayudará a crear más ransomware.

A pesar de ello, muchas organizaciones descartan este consejo luego de comparar los costos de los datos cifrados con los del rescate solicitado. El año pasado, en los Estados Unidos, el 45% de las compañías atacadas mediante ransomware le pagó a sus atacantes. ¡¿Por qué hicieron eso?!

Aun cuando se sugiere rechazar el pago del rescate para el caso de una amplia comunidad de negocios, tal vez no sea el mejor curso de acción para una determinada compañía. Especialmente cuando existe la posibilidad de que la compañía deje de tener acceso de forma permanente a datos vitales, reciba multas de los entes reguladores o simplemente vaya a la quiebra. La elección entre pagar un rescate relativamente pequeño y seguir funcionando como empresa o rehusarse a pagar para ayudar a la comunidad más amplia, para la mayoría no es algo que deba pensarse dos veces.

En algunos casos de ransomware, el rescate exigido tiene un costo que justifica el esfuerzo del atacante, pero que es lo suficientemente bajo como para resultarle más barato a la víctima pagarlo que reconstruir sus datos perdidos. En algunos casos se ofrecen descuentos, si la víctima paga dentro de un plazo determinado, por ejemplo 3 días.

Teniendo en cuenta esto, algunas compañías han comenzado a acumular reservas de Bitcoin para destinarlas específicamente al pago de rescates. Podemos apreciar esto en particular en el Reino Unido, en donde parece ser más probable que las organizaciones paguen rescates. Según Gotham Sharma, director gerente del Exeltek Consulting Group, "Aproximadamente un tercio de las compañías medianas inglesas informan que cuentan con Bitcoin disponibles para responder ante emergencias de ransomware, en caso de que no se puedan implementar otras opciones de inmediato".

Qué hacer si sufres una infección por ransomware

Si descubres que has sufrido una infección por ransomware, primero debes determinar qué tipo de ransomware es. Si no te es posible quitar una nota de ransomware de la pantalla, entonces probablemente hayas sufrido una infección por ransomware bloqueador de pantalla. Si puedes utilizar las aplicaciones, pero no puedes abrir tus archivos, reproducir películas, etcétera, la infección es por ransomware de cifrado, el peor de los dos casos. Si puedes utilizar todo tu sistema y leer todos tus archivos, entonces probablemente sea un ataque falso que simplemente intenta asustarte para que pagues.

Éste es un excelente blog que detalla lo que debes hacer cuando sufres un ataque por ransomware, tanto de bloqueo de pantalla como de cifrado.

¿Cómo evitar el ransomware?

Asegúrate de contar con una buena copia de respaldo de todos tus archivos. De esa forma, si sucede algo, restaurar tus archivos de una copia de respaldo será la forma más rápida de volver a tener acceso a tus datos.

Cuando respondas correos electrónicos, llamadas telefónicas no solicitadas, mensajes de texto o instantáneos, no brindes ninguna información personal. Los estafadores de suplantación de identidad pueden intentar engañar a los empleados para instalar un malware u obtener información diciendo que vienen del departamento de IT.

Asegúrate de contar con un cortafuegos y un software antivirus de buena calidad. Existen muchos programas falsos en el mercado, por lo que resulta vital contar con un sólido antivirus y cortafuegos, a fines de garantizar la seguridad ante ataques de malware.

Asegúrate de que esté activado el filtrado y escaneo de contenidos en tus servidores de correo electrónico. Deben escanearse cada uno de los correos electrónicos ingresantes, en búsqueda de amenazas conocidas, y debe bloquearse cualquier tipo de adjunto que pueda resultar una amenaza.

Si viajas por trabajo, asegúrate de que tu departamento de IT esté informado de ello, especialmente si piensas que utilizarás puntos de Internet inalámbrica pública. Asegúrate de contar con una Red Privada Virtual (VPN) confiable, cuando accedas a cualquier punto de Wi-Fi pública.

Asegúrate de que todo el software de tu computadora está actualizado. Esto incluye el sistema operativo, el navegador y cualquier plugin de barras de herramientas que utilices.

Lee nuestra entrada de blog anterior acerca de cómo proteger a tu compañía del ciberdelito.

Ontrack y el Ransomware

En Ontrack, hacemos un seguimiento permanente a 271 tipos distintos de ransomware. El ransomware cambia y se desarrolla todo el tiempo, por lo que queremos tener la certeza de poder observar y estudiar los últimos cambios y avances. El estudio del ransomware y de su continuo cambio de formas significa que tenemos más posibilidades de recuperar datos perdidos luego un ataque.

Actualmente, contamos con capacidades de cifrado de 138 tipos de ransomware. Algunos años atrás, esta cifra era solamente de 6, ¡hemos recorrido un largo camino!

Cuando hablamos de datos inaccesibles, lo mejor es siempre contactar a un experto. Si sufres un ataque por ransomware, ponte en contacto con un experto como Ontrack, ya que es posible que tenga la capacidad de ayudarte a recuperar el acceso a tus datos.