¿Qué es el ransomware? Una de las mayores amenazas en la web.

¿Qué es el ransomware?

Todo lo que necesitas saber sobre una de las mayores amenazas en la web.

¿Qué es un ataque de ransomware?

El ransomware se ha convertido en uno de los mayores problemas de la web. Es una forma de software malicioso, malware, que encripta documentos en una PC o incluso en una red.

Las víctimas a menudo solo pueden recuperar el acceso a sus archivos cifrados y PC pagando un rescate a los delincuentes detrás del ransomware.ransomware

Una infección de ransomware a menudo comienza cuando alguien hace clic en lo que parece un adjunto inocente, y puede ser un dolor de cabeza para las empresas de todos los tamaños si los archivos y documentos vitales (como las hojas de cálculo y las facturas) se cifran de repente y son inaccesibles. Pero esa no es la única manera de infectarse.

Los cibercriminales no solían ser tan obvios. Si los piratas informáticos se infiltraran en su red corporativa, harían todo lo posible para evitar la detección. Lo mejor para ellos era no alertar a una víctima que habían sido víctimas de un ciberdelincuente.

Pero ahora, si te atacan con un ransomware de cifrado de archivos, los delincuentes anunciarán descaradamente que retienen a tus datos corporativos como rehenes hasta que pagues un rescate para recuperarlos.

Puede parecer demasiado simple, pero funciona: los delincuentes cibernéticos se embolsaron más de 1.000 millones de dólares de ataques de ransomware solo en 2016 y un informe de Europol lo describe como “eclipsado” la mayoría de las otras amenazas cibernéticas mundiales en 2017 .

¿Cuál es la historia del ransomware?

Si bien el ransomware explotó el año pasado , aumentando en un 748 por ciento, no es un fenómeno nuevo: la primera instancia de lo que ahora conocemos como ransomware apareció en 1989.

Conocido como SIDA o PC Cyborg Trojan, el virus se envió a las víctimas, principalmente en la industria de la salud, en un disquete.

El ransomware contó el número de veces que se arrancó la PC: una vez que llegó a 90, cifró la máquina y los archivos en ella y exigió al usuario “renovar su licencia” con “PC Cyborg Corporation” enviando $ 189 o $ 378 a una oficina postal caja en panama.

¿Cómo evolucionó el ransomware?

Este primer ransomware era una construcción relativamente simple, que utilizaba criptografía básica que en su mayoría solo cambiaba los nombres de los archivos, haciéndolo relativamente fácil de superar.

Pero desencadenó una nueva rama de delitos informáticos, que lenta pero seguramente creció en alcance y realmente despegó en la era de Internet. Antes de que comenzaran a utilizar la criptografía avanzada para apuntar a las redes corporativas , los piratas informáticos se dirigían a los usuarios generales de Internet con ransomware básico.

Una de las variantes más exitosas fue el “ransomware policial”, que intentó extorsionar a las víctimas afirmando estar asociado con la aplicación de la ley. Bloqueó la pantalla con una nota de rescate que advirtió al usuario de que había cometido actividades ilegales en línea, lo que podría enviarlos a la cárcel.

Sin embargo, si la víctima pagara una multa, la ‘policía’ dejaría pasar la infracción y restablecería el acceso a la computadora entregando la clave de descifrado. Por supuesto, esto no tenía nada que ver con la aplicación de la ley, eran criminales que explotaban a personas inocentes.

Aunque son un tanto exitosas, estas formas de ransomware a menudo simplemente superponen su mensaje de “advertencia” en la pantalla del usuario, y reiniciar la máquina podría eliminar el problema y restaurar el acceso a los archivos que nunca fueron realmente encriptados.

Los delincuentes aprendieron de esto y ahora la mayoría de los esquemas de ransomware utilizan criptografía avanzada para bloquear realmente una PC infectada y los archivos en ella.

¿Cuáles son los principales tipos de ransomware?

El ransomware siempre está evolucionando, con nuevas variantes que aparecen continuamente en la naturaleza y planteando nuevas amenazas para las empresas. Sin embargo, hay ciertos tipos de ransomware que han tenido mucho más éxito que otros.

Tal vez la forma más notoria de ransomware es Locky , que aterrorizó a las organizaciones de todo el mundo a lo largo de 2016. Infamemente llegó a los titulares al infectar un hospital de Hollywood . El hospital cedió a las demandas de los ciberdelincuentes y pagó un rescate de $ 17,000 para que se restauren sus redes.

Locky siguió teniendo éxito porque quienes lo respaldan regularmente actualizan el código para evitar la detección. Incluso lo actualizan con una nueva funcionalidad, incluida la capacidad de realizar pedidos de rescate en 30 idiomas, para que los delincuentes puedan atacar más fácilmente a las víctimas en todo el mundo. Locky se volvió tan exitoso que llegó a convertirse en las formas más comunes de malware por derecho propio .

Si bien no es tan prolífico como lo fue antes, Locky sigue siendo una de las formas más peligrosas de ransomware, y se calla antes de reemergirse con nuevas técnicas de ataque .

Cryptowall es otra forma de ransomware que ha tenido un gran éxito durante un período prolongado. Comenzando su vida como doppelganger de Cryptolocker, se convirtió en uno de los tipos de ransomware más exitosos.

Al igual que Locky, Cryptowall se ha actualizado regularmente para garantizar su éxito continuo e incluso codifica los nombres de los archivos para que sea más difícil para las víctimas saber qué archivo es cuál , lo que ejerce una presión adicional sobre la víctima para que pague.

Mientras que algunos desarrolladores de ransomware, como los que se encuentran detrás de Locky o Cryptowall, guardan de cerca su producto, manteniéndolo solo para su uso personal, otros distribuyen felizmente el ransomware a cualquier pirata informático con muchas ganas de sacar provecho de la extorsión cibernética. Un método muy exitoso para una amplia distribución.

Una de las formas más comunes de ransomware distribuido de esta manera es Cerber, que infectó a cientos de miles de usuarios en un solo mes. Los creadores originales de Cerber lo están vendiendo en la Red Oscura , permitiendo que otros criminales usen el código a cambio del 40 por ciento de cada rescate pagado.

Cerber ransomware tuvo tanto éxito que superó a Locky, que parecía desaparecer misteriosamente en Navidad, aunque reapareció en abril con nuevas técnicas de ataque , para convertirse en la forma más dominante de ransomware en la web, representando el 90 por ciento de los ataques de ransomware en Windows. A partir de mediados de abril de 2017 .

Esta familia particular de ransomware está en constante evolución, y sus desarrolladores agregan regularmente nuevas características para garantizar su éxito continuo. De hecho, la criptografía detrás de Cerber es tan avanzada que actualmente no hay herramientas de descifrado disponibles para ayudar a los infectados por las últimas versiones.

Pero no contento con ganar dinero de forma ilícita con los pagos de rescate, Cerber ahora viene con la capacidad de robar para robar información de billeteras y contraseñas de bitcoin , además de cifrar archivos.

A cambio de renunciar a algunos de los beneficios del uso de Cerber, a los aspirantes a ciberdelincuentes se les proporciona todo lo que necesitan para ganar dinero con éxito a través de la extorsión de las víctimas.

De hecho, ahora algunos grupos delictivos ofrecen este tipo de esquema de ransomware como servicio a los usuarios potenciales sin costo alguno en el punto de entrada. En lugar de cobrar una tarifa por el código de ransomware, quieren una reducción del 50 por ciento de los pagos de rescate.

Otra forma exitosa de ransomware es SamSam , que es conocido por cobrar un rescate de decenas de miles de dólares por la clave de descifrado.

En lugar de ser distribuidos a través de correos electrónicos de phishing, los atacantes buscan sistemas no seguros orientados a Internet y luego los explotan para ayudar a difundir SamSam lateralmente a través de las redes .

¿Qué es el ransomware WannaCry?

En el mayor ataque de ransomware hasta la fecha, WannaCry, también conocido como WannaCrypt y Wcry, causó un caos en todo el mundo en un ataque que comenzó el viernes 12 de mayo de 2017.

El ransomware WannaCrypt exige $ 300 en bitcoins para desbloquear archivos cifrados, un precio que se duplica después de tres días. Los usuarios también están amenazados, a través de una nota de rescate en la pantalla, con la eliminación permanente de todos sus archivos si el pago no se paga dentro de una semana.

Más de 300,000 víctimas en más de 150 países fueron víctimas del ransomware en el transcurso de un fin de semana, con empresas, gobiernos e individuos de todo el mundo afectados.

Las organizaciones de atención médica en todo el Reino Unido tuvieron sistemas desconectados por el ataque de ransomware, lo que obligó a cancelar las citas de los pacientes y los hospitales les dijeron a las personas que evitaran visitar los departamentos de Accidentes y Emergencias, a menos que fuera completamente necesario.

De todos los países afectados por el ataque, Rusia fue la más afectada, según los investigadores de seguridad, con el malware WannaCry rompiendo bancos, operadores de telefonía e incluso sistemas informáticos que apoyan la infraestructura de transporte. China también se vio muy afectada por el ataque, con 29.000 organizaciones en total víctimas de esta forma particularmente viciosa de ransomware.

Otros objetivos de alto perfil incluyeron al fabricante de automóviles Renault, que se vio obligado a detener las líneas de producción en varios lugares, ya que el ransomware causó estragos en los sistemas.

Lo que todos los objetivos tenían en común es que estaban ejecutando versiones no compatibles de Microsoft Windows, incluidos Windows XP, Windows 8 y Windows Server 2003.

El gusano ransomware es muy potente porque explota una vulnerabilidad de software conocida llamada EternalBlue. El defecto de Windows es uno de los muchos días cero que aparentemente conocía la NSA, antes de ser filtrado por el colectivo de hackers Shadow Brokers . Microsoft lanzó un parche para la vulnerabilidad a principios de este año , pero solo para los sistemas operativos más recientes.

En respuesta al ataque, Microsoft dio el paso sin precedentes de emitir parches para sistemas operativos no compatibles para protegerlos contra el malware.

Los servicios de seguridad en los EE. UU. Y el Reino Unido han señalado desde entonces que Corea del Norte fue el autor del ataque de WannaCry ransomware , y la Casa Blanca declaró oficialmente a Pyongyang como la fuente del brote en un informe publicado en diciembre .

Sin embargo, Corea del Norte ha calificado las acusaciones de que estaba detrás de WannaCry como “absurda” .

No importaba quién estaba detrás de WannaCry, si el objetivo del plan era hacer grandes cantidades de dinero, fracasaba: solo se pagaban alrededor de $ 100,000.

Pasaron casi tres meses antes de que los atacantes de WannaCry finalmente retiraran los fondos de las billeteras de bitcoins de WannaCry ; se llevaron un total de $ 140,000 gracias a las fluctuaciones en el valor de bitcoin.

Pero a pesar de que se han puesto a disposición parches críticos para proteger los sistemas de WannaCry y otros ataques que explotan la vulnerabilidad de SMB, parece que una gran cantidad de organizaciones optaron por no aplicar las actualizaciones.

Se cree que esta es la razón por la que LG sufrió una infección por WannaCry en agosto , tres meses después del brote inicial. La compañía ha dicho desde entonces que ha aplicado los parches relevantes.

El volcado público de la explotación de EternalBlue detrás de WannaCry ha llevado a varios grupos de piratería que intentan aprovecharla para impulsar su propio malware .

Los investigadores incluso han documentado cómo una campaña dirigida a los hoteles europeos por APT28 , un grupo de piratería ruso vinculado a la intromisión en las elecciones presidenciales de EE. UU ., Ahora está utilizando la vulnerabilidad filtrada de la NSA.

¿Qué es Petya / NotPetya / GoldenEye?

Un poco más de un mes después del brote de WannaCry ransomware, el mundo fue golpeado con otro ataque global de ransomware .

Este ataque cibernético afectó por primera vez a los objetivos de Ucrania, incluido su banco central, el principal aeropuerto internacional e incluso la instalación nuclear de Chernobyl, antes de extenderse rápidamente por todo el mundo e infectar a organizaciones de toda Europa, Rusia, EE. UU. Y Australia .

Después de una confusión inicial sobre qué era este malware, algunos dijeron que era Petya, otros dijeron que era otra cosa, los investigadores de Bitdefender llegaron a la conclusión de que el brote se había reducido a una versión modificada del ransomware de Petya, combinando elementos de GoldenEye , un pariente particularmente malvado de Petya, y WannaCry convierten el software malicioso en un malware extremadamente potente.

Esta segunda forma de ransomware también explota la misma vulnerabilidad de EternalBlue para Windows que proporcionó a WannaCry las características similares a gusanos para propagarse a través de las redes (no solo a través de un archivo adjunto de correo electrónico como suele suceder) y afectó a 300,000 computadoras en todo el mundo.

Sin embargo, Petya / NotPetya / GoldenEye es un ataque mucho más cruel. El ataque no solo encripta los archivos de las víctimas, sino que también encripta los discos duros completos sobrescribiendo el registro de reinicio maestro , evitando que la computadora cargue el sistema operativo o haga nada.

Los atacantes solicitan que se envíe un rescate de bitcoin de $ 300 a una dirección de correo electrónico específica, que ahora ha sido cerrada por el host del servicio de correo electrónico. Sin embargo, la forma en que este ransomware muy sofisticado aparentemente estaba equipado con funciones muy básicas y no automatizadas para aceptar rescates, ha llevado a algunos a sugerir que el dinero no es el objetivo.

Algunos incluso han especulado que la nota de ransomware fue solo una cubierta para el objetivo real del virus: causar un caos al borrar de forma irrecuperable los datos de las máquinas infectadas.

Cualquiera que sea el objetivo del ataque, afectó significativamente las finanzas de las organizaciones que se infectaron. La firma de bienes de consumo del Reino Unido, Reckitt Benckiser, dijo que perdió £ 100 millones en ingresos como resultado de caer víctima de Petya .

Pero esa es una pérdida relativamente modesta en comparación con otras víctimas del ataque: el operador de embarcaciones de suministro y suministro Maersk y la empresa de entrega de mercancías FedEx tienen pérdidas estimadas de $ 300 millones debido al impacto de Petya.

En febrero de 2018, los gobiernos del Reino Unido , Estados Unidos , Australia y otros declararon oficialmente que el ransomware NotPetya había sido obra del ejército ruso. El ruso niega cualquier implicación.

¿Qué es Bad Rabbit ransomware?

En octubre de 2017 se produjo el tercer ataque de ransomware de alto perfil del año cuando las organizaciones en Rusia y Ucrania fueron víctimas de una nueva variante del ransomware Petya.

Apodado Bad Rabbit , infectó al menos a tres organizaciones de medios rusos mientras también se infiltraba en las redes de varias organizaciones ucranianas, incluido el Metro de Kiev y el Aeropuerto Internacional de Odessa. En ese momento, el aeropuerto dijo que había sido víctima de un “ataque de hackers”.

El vector de ataque inicial utilizado para distribuir Bad Rabbit se realizó mediante descargas automáticas en sitios web pirateados, algunos de los cuales se habían comprometido desde junio . No se utilizaron ataques, sino que se les dijo a los visitantes que tenían que instalar una actualización Flash falsa, que eliminó el malware.

Al igual que NotPetya antes, Bad Rabbit se propagó a través de redes utilizando una herramienta de piratería NSA filtrada , pero esta vez fue a través de la vulnerabilidad EternalRomance SMB, en lugar del exploit EternalBlue.

El análisis de Bad Rabbit compartió gran parte de su código, al menos el 67 por ciento, con Peyta y los investigadores de Cisco Talos llegaron a la conclusión de que esto, combinado con la forma en que utiliza las explotaciones de SMB, significa que hay “alta confianza” en un enlace entre las dos formas de ransomware. y que incluso podrían compartir el mismo autor.

Bad Rabbit recibió su nombre por el texto que apareció en la parte superior del sitio web de Tor que aloja la nota de rescate. Algunos investigadores de seguridad bromearon que deberían haber sido nombrados después de las líneas en el código que hace referencia a los personajes de Juego de tronos.

¿Cómo ha evolucionado el ransomware es estos días?

Los gustos de WannaCry y NotPetya ayudaron al ransomware a lograr un alto nivel de publicidad durante la primera mitad de 2017, pero a pesar del éxito de estas campañas, o quizás debido a, el número de ataques de ransomware disminuyó en la segunda mitad del año .

Locky y Cerber podrían haber desaparecido esencialmente a fines de 2017, pero el ransomware distribuido por correo electrónico no deseado sigue activo, ya que GandCrab ha asumido el papel de King en esta forma de ransomware.

GandCrab apareció por primera vez en enero y es notable por ser la primera forma de ransomware para exigir el pago en la criptomoneda Dash. Los que están detrás de GandCrab no se están durmiendo en sus laureles y se actualizan regularmente con nuevas funciones . En julio, los autores de GandCrab modificaron su mecanismo de encriptación, lo que dificultó la ruptura y también agregó la capacidad de infectar máquinas con Windows XP.

La disminución del ransomware coincidió con el aumento del cryptojacking : ataques de malware que usan secretamente el poder de procesamiento de las máquinas infectadas para minar la criptomoneda.

El cryptojacking no ofrece beneficios inmediatos como el ransomware, pero es mucho más sutil, lo que permite campañas a largo plazo y elimina la necesidad de que los delincuentes hagan que las víctimas paguen.

El auge del ransomware dirigido

Pero el ransomware no ha desaparecido por completo, ni mucho menos, ya que tanto las formas existentes como las nuevas del malware de bloqueo de archivos han continuado desarrollando nuevas técnicas y tácticas para mantenerse actualizadas y eficaces.

Es SamSam, que ha sido la forma más notoria de ransomware durante 2018 hasta el momento, creando titulares importantes cuando Atlanta fue víctima de un ataque importante .

Se piensa que los ataques de SamSam comienzan con atacantes que comprometen los protocolos de escritorio remoto para obtener acceso a una máquina en la red antes de buscar vulnerabilidades conocidas para moverse lateralmente a través de la red. Solo cuando se hayan comprometido tantas máquinas como sea posible, se activará el proceso de cifrado.

Los ataques son altamente dirigidos, con un máximo de alrededor de una docena al mes. Es un proceso lento y práctico, pero que da sus frutos: los atacantes han ganado más de $ 6 millones en ataques de bitcoin que pueden costar a las víctimas más de $ 50,000 en pagos de rescate . La campaña sigue en curso.

En agosto , surgió una campaña similar en forma de ransomware Ryuk . Este ransomware, que parece derivarse de Hermes, una familia de ransomware vinculada a Corea del Norte , también está dirigido a los atacantes que implementan mapeo de red, compromiso de red y robo de credenciales para instalar el malware.

Dentro de las dos semanas de la primera aparición, los que estaban detrás de Ryuk habían realizado más de $ 640,000 en pagos de rescate, el mayor pago individual por valor de $ 320,000.

¿Cuánto te costará un ataque de ransomware?

Obviamente, el costo más inmediato asociado con infectarse con ransomware, si se paga, es la demanda de rescate, que puede depender del tipo de ransomware o del tamaño de su organización.

Una investigación reciente reveló que una cuarta parte de las compañías que pagaron un rescate pagaron más de £ 5,000 para recuperar sus datos encriptados, mientras que un trimestre adicional pagó a los piratas informáticos entre £ 3,000 y £ 5,000.

El rescate más común pagado entre las pequeñas y medianas empresas fue entre £ 500 y £ 1500, lo que demuestra que todavía es fácil obtener dinero de organizaciones de este tamaño .

También hay ejemplos de objetivos de alto perfil que pagan tarifas de cinco cifras para recuperar el acceso a sus redes cifradas y sus archivos, especialmente en los casos en que los delincuentes amenazan con eliminar datos si no se les paga.

En última instancia, sea cual sea el tamaño de la empresa, el tiempo es dinero, y cuanto más tiempo esté inactiva su red debido al malware, más le costará a su empresa.

Incluso si recupera el acceso a sus documentos encriptados pagando un rescate, habrá costos adicionales además de eso. Para evitar futuros ataques, especialmente si ha sido marcado como un blanco fácil, prepárese para invertir en software adicional de ciberseguridad y para pagar la capacitación adicional del personal.

También existe el riesgo de que los clientes pierdan la confianza en su negocio debido a la falta de seguridad cibernética y la adopción de sus costumbres en otros lugares.

¿Por qué deberían las empresas preocuparse por el ransomware?

En pocas palabras: el ransomware podría arruinar su negocio. Ser bloqueado de sus propios archivos por malware, incluso por un día, afectará sus ingresos. Pero dado que el ransomware deja a la mayoría de las víctimas fuera de línea durante al menos una semana , o incluso meses, las pérdidas pueden ser significativas. Los sistemas se desconectan durante tanto tiempo, no solo porque el ransomware bloquea el sistema, sino también por todo el esfuerzo necesario para limpiar y restaurar las redes.

Y no es solo el impacto financiero inmediato del ransomware lo que dañará un negocio; los consumidores desconfían de dar sus datos a organizaciones que creen que son inseguras.

¿Cómo el ransomware infecta tu PC?

Es la confianza de la empresa moderna en Internet lo que está permitiendo el auge del ransomware. Todos los días, cada empleado recibe cientos de correos electrónicos y muchos roles requieren que estos empleados descarguen y abran archivos adjuntos, por lo que es algo que a menudo se hace en piloto automático. Aprovechar la disposición de los empleados para abrir archivos adjuntos de remitentes desconocidos es permitir que los delincuentes cibernéticos ejecuten campañas de ransomware con éxito.

Al igual que otras formas de malware, las botnets envían ransomware en masa, con millones de correos electrónicos de phishing maliciosos enviados cada segundo. Los delincuentes cibernéticos utilizan una variedad de señuelos para alentar a los objetivos a abrir un correo electrónico de ransomware, desde ofertas de bonos financieros , recibos de compras en línea falsos , solicitudes de empleo de posibles empleados y más.

Si bien algunos mensajes revelan pistas sobre su naturaleza maliciosa con mensajes mal redactados o direcciones de retorno extrañas, otros están diseñados especialmente para parecer lo más convincentes posibles, y no parecen ser diferentes de cualquier otro mensaje que la víctima pueda enviar.

Una vez que se ha abierto el archivo adjunto malicioso, se recomienda al usuario habilitar las macros para ver y editar el documento. Es cuando esto está habilitado que el código de ransomware oculto dentro de las macros ataca. Puede encriptar archivos en segundos, dejando a la víctima con una nota de rescate que exige un pago que oscila entre unos pocos cientos de dólares y decenas de miles de dólares para recuperarlos.

Pero no solo debe preocuparse por los archivos adjuntos de correo electrónico: una reciente campaña de publicidad maliciosa logró infectar las PC con ransomware sin que los usuarios hicieran clic en los anuncios maliciosos. La visita al sitio web comprometido fue suficiente para infectarse, porque los piratas informáticos implementan el kit de explotación Astrum para aprovechar una antigua vulnerabilidad de Flash, según una empresa de seguridad .

¿Qué organizaciones son objetivos para ransomware?

Cualquier empresa puede ser víctima de un ransomware, pero tal vez el incidente más importante ocurrió cuando el Hollywood Presbyterian Medical Center en Los Ángeles se infectó con el ransomware Locky. La infección de malware dejó a los médicos y enfermeras sin acceso a los archivos de los pacientes durante días, hasta que el hospital optó por ceder a las demandas de rescate de los hackers para restaurar los servicios.

“La forma más rápida y eficiente de restaurar nuestros sistemas y funciones administrativas era pagar el rescate y obtener la clave de descifrado”, dijo en ese momento el director ejecutivo del hospital, Allen Stefanek.

Los hospitales y otras organizaciones de atención médica son objetivos populares para los ataques de ransomware, porque a menudo están dispuestos a pagar. Perder el acceso a los datos es un asunto de vida o muerte para ellos, y los hospitales no quieren ser responsables de dejar que las personas mueran debido a la poca seguridad cibernética. Sin embargo, hay incluso ciberdelincuentes que piensan que atacar a los hospitales es una actividad demasiado despreciable .

Pero hay muchos otros sectores a los que los delincuentes atacarán, incluidas las instituciones educativas , como la Universidad de Calgary, que pagó un rescate de $ 20,000 a los piratas informáticos . Cualquier gran empresa está en peligro y existe incluso la posibilidad de que el ransomware infecte los sistemas industriales . Incluso hay sugerencias de que el ransomware podría usarse como herramienta para la guerra cibernética .

¿Por qué los objetivos de las pequeñas empresas para el ransomware?

Las pequeñas y medianas empresas son un objetivo popular porque tienden a tener una ciberseguridad más pobre que las grandes organizaciones. A pesar de eso, muchas PYMES creen falsamente que son demasiado pequeñas para ser atacadas, pero incluso un rescate ‘más pequeño’ de unos pocos cientos de dólares sigue siendo altamente rentable para los ciberdelincuentes.

¿Por qué es tan exitoso el ransomware ?

Se podría decir que hay una razón clave por la que el ransomware se ha disparado: porque funciona . Las organizaciones pueden tener el mejor software antivirus del mundo, pero todo lo que necesita un ransomware para infectar la red es que un usuario se deslice y lance un archivo adjunto de correo electrónico malicioso y descubra que todos sus archivos han sido cifrados.

Si las organizaciones no cedieran a las demandas de rescate, los criminales dejarían de usar el ransomware. Pero las empresas sí necesitan acceso a los datos para funcionar, de modo que muchos están dispuestos a pagar un rescate y a terminar con eso.

Mientras tanto, para los delincuentes es una forma muy fácil de ganar dinero. ¿Por qué dedicar tiempo y esfuerzo a desarrollar códigos complejos o generar tarjetas de crédito falsas a partir de datos bancarios robados si el ransomware puede resultar en pagos instantáneos de cientos o incluso miles de dólares de grandes franjas de víctimas infectadas a la vez?

¿Qué tiene que ver el bitcoin y otras criptomonedas con el aumento del ransomware?

El aumento de las crypocurrencias como bitcoin ha facilitado que los ciberdelincuentes reciban en secreto los pagos extorsionados con este tipo de malware, sin el riesgo de que las autoridades puedan identificar a los autores.

El método seguro y no rastreable de realizar pagos (a las víctimas se les pide que realicen un pago a una dirección de bitcoin) lo convierte en la moneda perfecta para los delincuentes que desean que sus actividades financieras permanezcan ocultas.

Las pandillas de delincuentes cibernéticos se están volviendo más profesionales : algunas incluso ofrecen servicio al cliente y ayuda a las víctimas que no saben cómo adquirir o enviar bitcoins, porque ¿cuál es el punto de hacer demandas de rescate si los usuarios no saben cómo pagar? Algunas organizaciones incluso han acumulado parte de la criptomoneda en caso de que se infecten y sus archivos estén encriptados y tengan que pagar en bitcoins a toda prisa.

¿Cómo ha impactado la popularidad de bitcoin en el ransomware?

Durante la segunda mitad de 2017, el valor de bitcoin aumentó , alcanzando un máximo de casi $ 20,000 para una unidad de la criptomoneda.

Esto creó una serie de problemas para los que tratan con ransomware . Además de las fluctuaciones en el valor de bitcoin, lo que significa que el precio de los pagos cambia día a día, incluso a la hora, el interés en bitcoin hizo que más personas lo compraran. Además de los precios crecientes, las tarifas de transacción también aumentaron, al igual que los retrasos en la recepción de pagos, lo que generó dificultades adicionales para pagar y cobrar las demandas de rescate.

Como resultado, algunos cibercriminales han comenzado a mirar hacia otros medios para aceptar pagos de rescate. Una forma adicional de criptomoneda con la que están experimentando los distribuidores de ransomware es Monero .

¿Qué es Monero y cómo está cambiando el ransomware?

Lanzado en 2014, Monero tiene un perfil mucho menos alto que Bitcoin, lo que lo hace más rápido y sencillo para realizar transacciones al usarlo. Para los delincuentes, también viene con la ventaja adicional de que tiene características de privacidad y seguridad que evitan que las transacciones se remonten a los usuarios.

Las formas de ransomware que ya se han visto utilizando Monero como método de pago en la naturaleza incluyen SpriteCoin, una forma de ransomware que se distribuye a los usuarios mediante una estafa de criptomoneda falsa .

¿Cómo prevenir un ataque de ransomware?

Dado que el correo electrónico es, con mucho, el vector de ataque más popular para el ransomware, debe proporcionar a los empleados capacitación sobre cómo detectar un ataque de malware entrante . Incluso detectando pequeños indicadores como un formato deficiente o que un correo electrónico que pretende ser de ‘Seguridad de Microsoft’ se envía desde una dirección oscura que ni siquiera contiene la palabra Microsoft, podría salvar su red de infecciones. Las mismas políticas de seguridad que lo protegen de los ataques de malware en general ayudarán a evitar que el ransomware cause caos en su negocio.

También hay algo que decir para que los empleados puedan aprender de cometer errores dentro de un entorno seguro . Por ejemplo, una empresa ha desarrollado una experiencia de video interactivo que permite a sus empleados tomar decisiones sobre una serie de eventos y luego descubrir las consecuencias de los mismos al final. Esto les permite aprender de sus errores y brindarle cierta protección contra el ransomware, sin sufrir ninguna de las consecuencias reales.

En un nivel técnico, impedir que los empleados puedan habilitar macros es un gran paso para garantizar que no puedan ejecutar un archivo de ransomware sin darse cuenta. Microsoft Office 2016, y ahora Microsoft 2013 , tienen funciones que permiten deshabilitar las macros. Como mínimo, los empleadores deberían invertir en software antivirus y mantenerlo actualizado, para que pueda advertir a los usuarios sobre archivos potencialmente maliciosos. Realice una copia de seguridad de los archivos importantes y asegúrese de que dichos archivos no puedan verse comprometidos durante un ataque en otra clave.

¿Cuánto tiempo lleva recuperarse de un ataque de ransomware?

En pocas palabras, el ransomware puede paralizar toda una organización: una red cifrada es más o menos inútil y no se puede hacer mucho hasta que se restauren los sistemas.

Si su organización es sensata y tiene copias de seguridad en su lugar, los sistemas pueden volver a estar en línea en el tiempo que tarda la red en restaurar su funcionalidad, aunque dependiendo del tamaño de la empresa, esto puede variar desde unas pocas horas hasta días.

Sin embargo, si bien es posible recuperar la funcionalidad en el corto plazo, puede ocurrir que las organizaciones luchen para que todos los sistemas vuelvan a funcionar, como lo demuestra el ataque de Petya.

Un mes después del brote, Reckitt Benckiser confirmó que algunas de sus operaciones aún estaban siendo interrumpidas y no estarían en pleno funcionamiento hasta finales de agosto , dos meses después del brote inicial de Petya.

FedEx dijo que es posible que no pueda recuperar todos los sistemas afectados por el ataque cibernético de Petya , lo que significa que, mientras la compañía está en funcionamiento y en funcionamiento, algunas máquinas nunca podrán restaurarse.

Fuera del impacto inmediato que el ransomware puede tener en una red, puede resultar en un golpe financiero continuo. Cualquier momento fuera de línea es malo para una empresa, ya que en última instancia significa que la organización no puede proporcionar el servicio que se propone y no puede ganar dinero, pero mientras más tiempo el sistema esté fuera de línea, más grande puede ser.

Eso es si sus clientes quieren hacer negocios con usted: en algunos sectores, el hecho de que haya sido víctima de un ataque cibernético podría potencialmente alejar a los clientes.

¿Cómo elimino el ransomware?

La iniciativa ‘No More Ransom ‘, lanzada en julio de 2016 por Europol y la Policía Nacional de Holanda en colaboración con varias compañías de seguridad cibernética, como Kaspersky Lab y McAfee , ofrece herramientas gratuitas de descifrado de variantes de ransomware para ayudar a las víctimas a recuperar sus datos cifrados sin Sucumbiendo a la voluntad de los extorsionadores cibernéticos.

Inicialmente, el lanzamiento ofrece un portal que ofrece herramientas de descifrado cuatro para familias de ransomware: Shade, Rannoh, Rakhn y CoinVault. El esquema agrega regularmente más herramientas de descifrado para aún más versiones de ransomware, como Crypt XXX , MarsJoke , Teslacrypt , Wildfire y Nemucod .

El portal, que también contiene información y consejos para evitar ser víctima del ransomware en primer lugar, se actualiza con la mayor frecuencia posible para garantizar que haya herramientas disponibles para combatir las últimas formas de ransomware.

No More Ransom ha crecido desde ofrecer un conjunto de cuatro herramientas hasta llevar 52 herramientas de descifrado que cubren cientos de familias de ransomware . Hasta ahora, estas herramientas han descifrado decenas de miles de dispositivos , privando a los criminales de millones en rescates.

La plataforma ahora está disponible en más de 29 idiomas con más de 100 socios en los sectores público y privado que respaldan el plan.

Las compañías de seguridad individuales también lanzan regularmente herramientas de descifrado para contrarrestar la evolución continua del ransomware; muchas de ellas publicarán actualizaciones sobre estas herramientas en los blogs de sus compañías tan pronto como hayan descifrado el código.

Por ejemplo, recientemente se lanzó otra herramienta de descifrado que puede ser útil si su PC ha sido afectada por una de las versiones originales del malware Petya, la llamada Red Petya, Green Petya y GoldenEye, y puede habilitar Usted puede recuperar los archivos perdidos (aunque no puede ayudar con PetrWrap o los afectados por el ataque global de Petya / NotPetya). Sin embargo, estas herramientas no siempre funcionan, por lo que siempre es aconsejable realizar copias de seguridad adicionales.

Otra forma de solucionar una infección por ransomware es asegurarse de que su organización realice copias de seguridad de los datos fuera de línea. Puede llevar algún tiempo transferir los archivos de respaldo a una nueva máquina, pero si una computadora está infectada y usted tiene respaldos, es posible aislar esa unidad y continuar con su negocio. Solo asegúrese de que los delincuentes de bloqueo de cifrado no puedan cifrar sus copias de seguridad también.

¿Debo pagar un rescate ransomware?

Hay quienes dicen que las víctimas solo deben pagar el rescate, y citan que es la forma más rápida y fácil de recuperar sus datos encriptados , y muchas organizaciones pagan incluso si las agencias de aplicación de la ley advierten sobre esto.

Pero tenga cuidado: si se sabe que su organización es un blanco fácil para los ciberdelincuentes porque pagó un rescate, podría encontrarse en la mira de otros ciberdelincuentes que buscan aprovechar su débil seguridad. Y recuerda que estás tratando con criminales aquí y su naturaleza misma significa que pueden no cumplir su palabra: no hay garantía de que alguna vez obtengas la clave de descifrado, incluso si la tienen.

El descifrado ni siquiera es siempre posible: hay historias de víctimas que realizan pagos de rescate y aún no tienen los archivos cifrados desbloqueados.

Por ejemplo, un tipo de ransomware dirigido a Linux descubierto a principios de este año exigió un pago de bitcoin pero no almacenó las claves de cifrado localmente ni a través de un servidor de comando y control, lo que hace que pagar el rescate sea inútil.

Las últimas tendencias de ransomware

El ransomware está evolucionando continuamente, con un número creciente de variantes que ahora participan en actividades adicionales como robar datos o debilitar las computadoras infectadas para prepararse para futuros ataques .

Los investigadores incluso advierten que el ransomware pronto podría mantener como rehenes a sistemas operativos completos, hasta el punto de que las únicas dos opciones disponibles para el usuario serían pagar o perder el acceso a todo el sistema cifrado .

Y el ransomware no es solo un problema para PC con Windows; Apple Macs son vulnerables a ella también .

¿Puede obtener ransomware en su teléfono inteligente?

Absolutamente. Los ataques de ransomware contra dispositivos Android han aumentado enormemente , ya que los delincuentes cibernéticos se dan cuenta de que muchas personas no son conscientes de que los teléfonos inteligentes pueden ser atacados y los contenidos (a menudo más personales que las cosas que guardamos en las PC) se pueden cifrar para obtener un rescate mediante un código malicioso. Por lo tanto, han surgido varias formas de ransomware para plagar a los usuarios móviles.

De hecho, cualquier dispositivo conectado a Internet es un objetivo potencial para el ransomware, que ya se ha visto bloqueando televisores inteligentes .

Ransomware e internet de las cosas

Los dispositivos de Internet de las cosas ya tienen una mala reputación de seguridad. A medida que más y más de estos lleguen al mercado, proporcionarán miles de millones de nuevos vectores de ataque para los delincuentes cibernéticos, lo que posiblemente permitirá a los piratas informáticos mantener a su hogar conectado o rehenes de autos conectados . Un archivo encriptado es una cosa: pero ¿qué hay de encontrar una nota de rescate en su refrigerador o tostador inteligente?

Incluso existe la posibilidad de que los piratas informáticos puedan infectar dispositivos médicos , poniendo vidas directamente en riesgo.

En marzo de 2018, los investigadores de IOActive dieron un paso más allá al demostrar cómo un robot disponible comercialmente podría sufrir un ataque de ransomware . Además de hacer que el robot exija verbalmente el pago para que se vuelva a la normalidad, los investigadores también hicieron que emitiera amenazas y jurara.

A medida que el ransomware continúa evolucionando, es crucial que sus empleados comprendan la amenaza que plantea y que las organizaciones hagan todo lo posible para evitar la infección, ya que el ransomware puede ser paralizante y el descifrado no es siempre una opción.

Te Puede Interesar:

Cómo cancelar mensajes de Facebook Messenger

¿Cómo recupero mensajes borrados del iPhone?

Virus en el celular – Cómo Saberlo ? Guía como…

Cómo bloquear WhatsApp en iOS con Touch ID o Face ID

Comentarios
¿Te ha sido de utilidad el artículo?
[Votos: 4 Promedio: 5]