Web Analytics
Conecta con nosotros

Guías

El 40% de las víctimas del Ransomware pagan ¿Soluciones?

Publicado el
Ransomware

4 de cada 10 víctimas de Ransomware pagan para liberar sus equipos. Un dato increíblemente alto que nos sirve una investigación de la firma de seguridad cibernética Trustlook. 

El informe de Trustlook indica que alrededor del 17% de los usuarios han estado infectados alguna vez con Ransomware y el 38% de ellos han optado por pagar un rescate que oscila entre 100 y 500 dólares.

Los usuarios que aún no han sido afectados por ransomware presentan una postura firme, ya que sólo el 7% dice que pagarían. El problema es que hablan desde la perspectiva de no afectado y según los datos, el Ransomware es una verdadera epidemia que se extiende en consumo y también en empresas. Otro problema que indica la estudio es que el 23% de los encuestados no tienen copia de seguridad alguna de sus datos. Y cuidado, porque el backup es el elemento clave para no tener que pagar a estos ciberdelincuentes.

Como sabes, un Ransomware típico infecta un ordenador personal o dispositivo móvil por cualquier vía de infección, bloquea el funcionamiento del equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como “rescate” para liberarlos.

Dependiendo del tipo de Ransomware y grado de cifrado utilizado, existen herramientas para poder descifrarlos. Para otros, simplemente no existe otra solución que formatear el equipo con la consiguiente pérdida de tiempo y de los archivos si no tenemos copias de seguridad.

Puede afectar por igual a cualquier plataforma (Windows, OS X, Linux o sistemas móviles) y su motivación es casi exclusivamente económica. Los últimos ataques Ransomware han confirmado que los desarrollos son cada vez más sofisticados y peligrosos.

Ransomware

Cómo prevenir y solucionar ataques Ransomware

Para intentar frenar esta amenaza, el CCN-CERT (Centro de respuesta a incidentes de seguridad del Centro Criptológico Nacional) publicó un interesante informe denominado “Medidas de seguridad contra Ransomware”, que todo usuario deberíamos conocer porque repasa desde los conceptos básicos de este malware, las vías de infección, las medidas preventivas, las medidas reactivas y la restauración de ficheros o su descifrado cuando sea posible.

Lo más interesante es la lista de medidas preventivas a adoptar en orden de prioridad, para prevenir, detectar y/o mitigar parcialmente los ataques Ransomware. Los hemos comentado en otras ocasiones pero no está de mal recordarlos porque la prevención es siempre la mejor fórmula:

  1. Mantener copias de seguridad periódicas (backups) de todos los datos importantes. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas, evitando así el acceso desde equipos infectados.
  2. Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para el software que hubiere instalado.
  3. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de firewall a nivel de aplicación (basado en whitelisting de aplicaciones permitidas).
  4. Disponer de sistemas antispam a nivel de correo electrónico, de esta manera reduciremos las posibilidades de infección a través de campañas masivas de ransomware por mail.
  5. Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc.). Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit, permiten crear fácilmente dichas políticas.
  6. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS3, evitando así la comunicación entre el código dañino y el servidor de mando y control.
  7. Establecer una defensa en profundidadempleando herramientas como EMET, una solución que permite mitigar exploits4 (incluidos 0-days).
  8. No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware.
  9. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en todas las unidades de red mapeadas en el equipo víctima. Restringiendo los privilegios de escritura en red se mitigará parcialmente el impacto.
  10. Se recomienda el empleo de bloqueadores de Javascript para el navegador, como por ejemplo “Privacy Manager”, que impide la ejecución de todos aquellos scripts que puedan suponer un daño para nuestro equipo. De este modo reduciremos las opciones de infección desde la web (Web Exploit Kits).
  11. Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero.
  12. Adicionalmente, se recomienda la instalación de la herramienta “Anti Ransom”, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.
  13. Finalmente, el empleo de máquinas virtuales evitará en un alto porcentaje de casos la infección por ransomware. Debido a las técnicas anti-debug y anti-virtualización comúnmente presentes en este tipo de código dañino, se ha demostrado que en un entorno virtualizado su acción no llega a materializarse.

El informe también ofrece algunas de las herramientas y utilidades on-line existentes que permiten el descifrado de ciertos especímenes de ransomware. Es la última solución si no tenemos copias de seguridad y no podemos perder los archivos. Ya te adelantamos que no es sencillo porque los ciberdelincuentes van por delante y por ello los métodos de prevención tienen que estar por encima de todo.

Un último consejo: no pagues a estos delincuentes. Asegúrate de tener al día tus copias de seguridad y en caso de infección por Ransomware, formatea, instala desde cero sistema operativo y resto de software, y restaura tus datos en un equipo totalmente limpio.

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

Lo más leído