España | Español Ubicaciones

34 900 838 188 Iniciar la Recuperación
34 900 838 188
34 900 838 188
Iniciar la Recuperación

Guía Completa sobre el Ransomware

Written By: Ontrack

Date Published: 10/30/2023

Guía Completa sobre el Ransomware

Arrow Left Regresar al listado

    • Qué es el Ransomware? La Guía Completa

      • ransomware-1

      El ransomware es un tipo de software malicioso diseñado para bloquear el acceso a un sistema informático o publicar los datos de la víctima en línea. El atacante exige un rescate a la víctima, prometiendo, no siempre de manera veraz, restaurar el acceso a los datos tras el pago.


    • Desde la década de 1980, el último decenio ha visto un aumento de varios troyanos de ransomware, pero la verdadera oportunidad para los atacantes ha aumentado desde la introducción de Bitcoin. Esta criptomoneda permite a los atacantes cobrar fácilmente a sus víctimas sin pasar por canales tradicionales.

       

    • Ataque de ransomware: ¿Cómo entra el ciberdelincuente?

      Un ataque de ransomware comienza cuando se descarga software malicioso en un dispositivo. Ejemplos de tipos de dispositivos son laptops, smartphones o computadoras de escritorio. El software malicioso normalmente se descarga debido a un error del usuario o protocolos de seguridad inadecuados.

    Correo de phishing (spear phishing)

    El sistema de entrega más común para el ransomware es un correo electrónico de phishing que incluye un archivo adjunto o un enlace.

    Páginas web infectadas y malvertising/adware

    Las URL infectadas se utilizan comúnmente para distribuir ransomware. Hacer clic en uno de estos enlaces, ya sea a través de un correo electrónico o un sitio web no verificado, puede desencadenar automáticamente una descarga de ransomware en tu disco duro, también conocida como "descarga drive-by". Solo visitar el sitio sin siquiera descargar nada puede llevar a un ataque de ransomware.

    Puntos de acceso remoto (RDP)

    Un número creciente de ataques están ganando acceso a una empresa que tiene puntos de acceso remoto abiertos y expuestos, como RDP y computación virtual en red (VNC). Las credenciales de RDP pueden ser forzadas, obtenidas de filtraciones de contraseñas o simplemente compradas en mercados clandestinos. Donde los delincuentes de ransomware del pasado configuraban un entorno de comando y control para el ransomware y las claves de descifrado, la mayoría de los delincuentes ahora se acercan a las víctimas con notas de rescate que incluyen una dirección de servicio de correo electrónico anónimo, lo que permite a los malos actores permanecer mejor ocultos.
    Una vez que el ransomware ha infectado un sistema, tomará el control del proceso crítico del dispositivo; buscando archivos para cifrar; el malware codificará todos los datos en el dispositivo o eliminará aquellos archivos que no pueda cifrar. Puede infectar cualquier dispositivo externo conectado a la máquina anfitriona. Para ataques más sofisticados, esto es solo el comienzo de una serie de eventos como se describe en el marco de la Cadena de Muerte Cibernética de Lockheed Martin y la base de conocimientos MITRE ATT&CK®.

     

    Diferentes tácticas de ransomware

    El ransomware también se llama software de extorsión. Los ciberdelincuentes usan diferentes tácticas para obtener dinero.

    Cifrado de datos

    En muchos casos, los expertos también hablan de troyanos de cifrado, ya que la extorsión se basa en el hecho de que los datos están codificados de manera inextricable e inaccesibles para el usuario. Prometiendo la clave de descifrado a cambio de dinero.

    Robo de datos y exfiltración (Leakware o Doxware)

    Otro tipo de malware se llama leakware o doxware. Aquí es donde el atacante amenaza con liberar datos sensibles en el disco duro de la víctima a menos que se pague un rescate. A menudo apuntando a correos electrónicos y documentos de Word, también ha habido casos de variantes móviles donde se han liberado mensajes privados, fotos y listas de contactos de los teléfonos de los usuarios.
    El doxware se reconoce como un malware más efectivo que el ransomware en términos de obtener dinero de la víctima. Con el ransomware, puedes mantener copias de seguridad separadas de los datos que ya no son accesibles, pero con el doxware, una vez que un atacante tiene información que la víctima no quiere que se haga pública, hay poco que hacer aparte de pagar.

    Bloqueo

    También ha habido casos en los que el malware mostrará un mensaje afirmando que el 'Windows' del usuario está bloqueado. Se anima al usuario a llamar a un número de teléfono de "Microsoft" e ingresar un código de seis dígitos para reactivar el sistema. El mensaje alega que la llamada telefónica es gratuita, pero esto no es cierto. Mientras está en el teléfono llamando al falso 'Microsoft', el usuario acumula cargos de llamadas de larga distancia.

    Wiper

    Malware con el único objetivo de destruir permanentemente el acceso a los datos.

    Doble y triple extorsión

    Con el tiempo, surgieron nuevas tácticas que combinan el cifrado de datos con el robo de datos (doble extorsión) y la realización de un ataque de denegación de servicio distribuido (DDoS) (triple extorsión).

     

    Grupos de amenazas de ransomware y variantes

    La amenaza proviene de diferentes tipos de actores con diferentes motivos y niveles de habilidades que varían desde actores estatales, criminales, hacktivistas, script kiddies/ buscadores de emociones y personas internas. Diferentes grupos de amenazas desarrollaron muchas variantes diferentes de ransomware, con nuevas siendo creadas todo el tiempo. Estos grupos a menudo se especializan y colaboran.

    Algunos ejemplos de algunas variantes famosas de ransomware desarrolladas por estos grupos en los últimos años:

    •    2024: AKIRA, SEXi ransomware
    •    2023: Lockbit, AlpVM, Clop (a veces escrito “Cl0p”), Royal
    •    2022: BlackBasta
    •    2021: Black cat
    •    2020: NetWalker
    •    2019: REvil /Sodinokibi, MedusaLocker, Maze, DoppelPaymer, Anatova
    •    2018: Ryuk, GandCrab
    •    2017: WannaCry, Dharma, BitPaymer, BadRabbit
    •    2016: Petya NotPetya, Locky, Cerber
    •    2015: SamSam
    •    2014: Emotet
    •    2013: Cryptolocker


    Una visión general completa de los grupos de amenazas y variantes se puede encontrar aquí: Ransomware Map
    https://github.com/cert-orangecyberdefense/ransomware_map 

    ¿Soy un objetivo para el ransomware?

    En el mundo en línea de hoy, la pregunta no es si una organización será atacada, sino cuándo y qué tan bien preparada estará.

    Si lees las noticias, notarás que organizaciones de una variedad de sectores e industrias diferentes se han convertido en víctimas de ataques de ransomware. Desde el sector salud hasta las aerolíneas, los atacantes no parecen tener preferencia por a quién atacan, ¿o sí?

    Un atacante normalmente elegirá una organización para atacar en función de dos cosas:
    1.    Oportunidad
    2.    Potencial ganancia financiera

    Oportunidad
    Si una organización tiene un pequeño equipo de seguridad, carece de recursos de TI y tiene una base de usuarios que comparte muchos archivos, es decir, una universidad, entonces un atacante puede ver esto como un objetivo fácil.

    Potencial ganancia financiera
    Las organizaciones que necesitan acceso inmediato a sus archivos, por ejemplo, bufetes de abogados o agencias gubernamentales, pueden ser más propensas a pagar un rescate rápidamente. Las organizaciones con datos sensibles también pueden estar dispuestas a pagar para mantener en silencio la noticia de la violación de datos.

    ¿Debo pagar el rescate?

    Podrías pensar que pagar un rescate para obtener acceso a tus datos es lo suficientemente malo, pero eso puede palidecer en comparación con los costos reales involucrados en un ataque. Las implicaciones adicionales incluyen:

    • Daño y destrucción (o pérdida) de datos

    • Pérdida de productividad

    • Disrupción post-ataque al curso normal de los negocios

    • Investigación forense

    • Restauración y eliminación de datos y sistemas secuestrados

    • Daño reputacional

    • Capacitación de empleados en respuesta directa a los ataques

    Cuando tomas en cuenta lo anterior, no es de extrañar que se prediga que los daños por ransomware aumentarán. Cuando hablas con expertos en ciberdelincuencia, la mayoría te insta a no pagar los rescates, ya que financiar a los atacantes de ransomware solo ayudará a crear más ransomware. Aunque, muchas organizaciones van en contra de este consejo sopesando el costo de los datos cifrados contra el rescate que se pide. Pero, ¿por qué las organizaciones pagan a sus atacantes?

    Si bien se sugiere no pagar el ransomware para la comunidad empresarial en general, negarse a pagar puede no ser el mejor curso de acción para la empresa misma. Cuando existe la posibilidad de que la empresa pierda permanentemente el acceso a datos vitales, incurra en multas de los reguladores o cierre por completo, las opciones de las empresas pueden parecer sombrías. La elección entre pagar un rescate relativamente modesto y seguir en el negocio o negarse a pagar para ayudar a la comunidad empresarial en general es una decisión fácil para la mayoría. En algunos casos de ransomware, el rescate exigido a menudo se establece en un punto que vale la pena para el atacante, pero lo suficientemente bajo como para que a menudo sea más barato que una víctima pague para reconstruir sus datos perdidos. También se ofrecen descuentos a veces si la víctima paga dentro de un cierto plazo, por ejemplo, 3 días

    Con eso en mente, algunas empresas están acumulando reservas de Bitcoin específicamente para pagos de rescate.

    Cómo prevenir un ataque de ransomware

    Las variantes de ransomware apuntarán a diferentes sectores empresariales. Aquellos que están en riesgo deben tomar precauciones para reducir su riesgo y disminuir los efectos de un ataque. Uno de los planes más importantes que su organización debe tener en su lugar es un Plan de Recuperación ante Desastres. Si no tiene uno, es probable que las consecuencias sean graves. Muchas empresas que experimentan pérdida de datos y tiempo de inactividad durante diez o más días se declaran en bancarrota dentro de los 12 meses.

    Plan de Recuperación ante Desastres

    Un plan de recuperación ante desastres describe varios escenarios para reanudar el trabajo rápidamente después de un desastre, es decir, un ataque de ransomware. Una parte clave del plan de continuidad del negocio de una organización debe permitir una recuperación de TI suficiente y la prevención de pérdida de datos. Un plan de recuperación ante desastres describe una variedad de escenarios para reanudar el trabajo rápidamente después de un desastre, es decir, un ataque de ransomware. Una parte vital del plan de continuidad del negocio de una organización debe incluir un plan de recuperación ante desastres que permita una recuperación de TI suficiente y la prevención de pérdida de datos.
    Recuerde mantener el plan actualizado y también algunas versiones impresas. Porque si está en un servidor o unidad encriptada, incluso el mejor plan de emergencia es inútil. Si no tiene un plan de recuperación ante desastres, puede descargar nuestra plantilla gratuita aquí free template here. 

    Otras recomendaciones incluyen:

    1. Asegúrese de tener copias de seguridad actualizadas: de esta manera, si ocurre algo, la restauración de sus archivos desde una copia de seguridad es la forma más rápida de recuperar el acceso a sus datos.

    2. Esté preparado probando las copias de seguridad regularmente. Las organizaciones deben estar familiarizadas con lo que se almacena en los archivos de respaldo y asegurarse de que los datos más críticos sean accesibles en caso de que el ransomware apunte a las copias de seguridad.

    3. Realice capacitación de usuarios para garantizar que todos los empleados puedan detectar un posible ataque. Asegúrese de que los empleados estén al tanto de las mejores prácticas para evitar descargar accidentalmente ransomware o abrir la red a intrusos.

    4. Implemente políticas de seguridad. Utilice el software antivirus, antimalware y de detección de endpoints más reciente y monitoree constantemente para prevenir infecciones.

    5. Asegúrese de tener escaneo y filtrado de contenido en sus servidores de correo. Escanee cada correo electrónico entrante en busca de amenazas conocidas y bloquee cualquier tipo de archivo adjunto que pueda representar una amenaza.

    6. Desarrolle políticas de TI que limiten las infecciones en otros recursos de la red. Las empresas deben implementar salvaguardas para que, si un dispositivo se infecta con ransomware, no se propague por toda la red.

    7. Asegure los recursos de los equipos de especialistas en incidentes y los especialistas en recuperación de datos de Ontrack en tiempos tranquilos con acuerdos de servicio maestro para emergencias.

    8. La comunicación es clave durante una crisis. Cree direcciones de correo electrónico para usar en emergencias (para los tomadores de decisiones más importantes) que estén separadas del entorno de la empresa, por ejemplo, con un proveedor de correo electrónico en la nube gratuito como gmx, yahoo, etc. Ingrese estos, incluidos los datos de inicio de sesión, en el plan de emergencia. Un grupo de WhatsApp de toda la empresa también ha sido fundamental para las empresas afectadas. Un servidor de intercambio de archivos externo también es útil. Esto acelera y facilita la comunicación después de un incidente.

    Reduzca la exposición al riesgo cibernético: gestione el ciclo de vida de los datos

    La gestión de los datos a lo largo de su ciclo de vida a menudo no es una consideración para muchas organizaciones. Pero sin una estrategia de ciclo de vida de datos en su lugar, una organización se está exponiendo a serios riesgos de seguridad y costos. Hoy en día, el costo de salvaguardar ineficazmente los datos tiene un precio demasiado alto.

    No son solo los ataques de ransomware de los que las organizaciones deben estar atentas, las violaciones de datos, la reputación dañada, la pérdida de clientes, el tiempo de inactividad y las grandes multas son todos riesgos potenciales para una organización que no gestiona eficazmente el ciclo de vida de sus datos. Aquellas organizaciones que se toman el tiempo para invertir los esfuerzos y recursos necesarios en la gestión del ciclo de vida de los datos pueden minimizar los riesgos y costos de sus datos críticos para el negocio en todas las etapas.

    Cómo Ontrack ha ayudado a organizaciones afectadas por ransomware

    En Ontrack, estamos rastreando continuamente diferentes tipos de ransomware. El ransomware cambia y se desarrolla todo el tiempo, por lo que queremos asegurarnos de que estamos observando y estudiando los últimos cambios y avances. Estudiar el ransomware y sus formas en constante cambio proporciona conocimientos y experiencias adicionales, lo que lleva a una mayor probabilidad de que recuperemos datos que se han perdido como resultado de un ataque. Cuando se trata de datos inaccesibles, siempre es mejor contactar a un experto. Si se encuentra bajo ataque de ransomware, contacte a un experto como Ontrack para ayudarlo a recuperar el acceso a sus datos.

    A continuación, se presentan algunos ejemplos de casos exitosos de recuperación de datos de ransomware que hemos completado.

    Cyberattack on VMware Datastore and Virtual Backups

    Data Recovery from Malware-Infected Virtual Files

    Hospital databases rescued from ransomware

    Merge files of damaged backup with corresponding virtual files

    Rescued MS SQL database from encrypted virtual backup on QNAP

    Taking Advantage of Hackers’ Mistakes in a Ransomware Attack

     

    Visit our Ransomware Recovery page

Suscribirse

Temas Relacionados

6 sencillos consejos para protegerse del ransomware

La reconstrucción de datos, un paso más allá

Cómo diagnosticar un disco duro
Servicios
Productos
Recursos
Acerca

KLDiscovery Ontrack SL, Pº del Club Deportivo 1, edif. 4, 1ª planta, Pozuelo de Alarcón, Madrid, 28223, España (Mostrar todas las ubicaciones)

© 2024 KLDiscovery Ontrack - All Rights Reserved.