Conecta con nosotros
Ransomware Ransomware

Guías

Ransomware, ¿Qué es, cómo actúa y cómo prevenirlo?

Publicado

el

La caída del SEPE mediante un ataque de Ransomware ha sido portada en medio mundo ante la importancia de los servicios digitales de un organismo crítico para el funcionamiento del estado español, promotor de las políticas de empleo y gestor de las demandas de desempleo, subsidios o los ERTE tan necesarios en plena pandemia. Además, el SEPE maneja datos sensibles de millones de personas, administraciones y empresas, que en caso de ciberataques pueden verse comprometidos.

El organismo ha logrado recuperarse del ataque y dice estar trabajando con el objetivo de restaurar los servicios prioritarios lo antes posible, especialmente el portal web del Servicio Público de Empleo Estatal, que al menos ya está abierto aunque desconocemos si funcionan todos sus servicios.

También ha ampliado los plazos de solicitud de las prestaciones en los días en los que esté fuera de servicio y de la misma forma, las demandas de empleo se renovarán automáticamente sin pérdida de derechos. Desde el SEPE aseguran que en ningún caso esta situación afectará a los derechos de los solicitantes de prestaciones.

Desde el SEPE también han alertado de la recepción de cualquier correo electrónico o mensaje falso que puedan recibir los usuarios. Es habitual que los ciberdelincuentes aprovechen incidentes críticos y tan mediáticos como este para lanzar campañas de malware a través de phishing y suplantación de identidad. Extrema la precaución ante cualquier comunicación que diga venir del SEPE y asegúrate que sea verídico.

Ransomware

¿Qué es y cómo actúa el Ransomware?

El Ransomware es un ataque informático que infecta un ordenador personal, smartphone (o cualquier dispositivo electrónico) con el objetivo de bloquear su funcionamiento y/o acceso a una parte o a todo el equipo. Su característica más distintiva es que se apodera de los archivos mediante un sistema de cifrado para impedir el acceso de su propietario. A partir de ahí, los ciberdelincuentes exigen al usuario una cantidad de dinero como “rescate” para liberarlos.

La mayoría de infecciones se producen porque el usuario abre una aplicación o un programa malintencionado que puede llegar desde cualquier fuente, especialmente las habituales como un navegador web (despliegue de adware, direccionamiento a un sitio web malicioso… ), el correo electrónico (en lugar de ir adjuntado, hay un enlace hacia Mega, Google Drive o Dropbox que lleva al malware) o los servicios de mensajería en el caso de los ataques a móviles, cada vez más extendidos.

También es habitual verlo combinado con phishing, suplantación de identidad, ingeniería social. Realmente, el Ransomware usa cualquier tipo de ataque informático para lograr su objetivo principal, cifrar los archivos y extorsionar a las víctimas. Otro gran problema es que los atacantes suelen robar toda la información confidencial a la que tienen acceso antes de cifrar los archivos.

Además, si hasta ahora el Ransomware solía tener motivaciones exclusivamente económicas produciendo altos beneficios para los atacantes, últimamente está ampliando objetivos como método preferente de introducción de malware, para control de equipos, espionaje, robo de información confidencial o simplemente para hacer daño por encargo.

Por último, señalar un problema añadido para las empresas ante lo que se describe como ransomware como servicio (RaaS), donde los desarrolladores venden o alquilan malware a los usuarios en foros de la web oscura. Estos esquemas de afiliados brindan a los atacantes de bajo nivel la capacidad de distribuir y administrar campañas de ransomware, mientras que el desarrollador del código recibe una parte del pago de cada víctima de rescate por la clave de descifrado. Ello permite a los ciberdelincuentes iniciar campañas de extorsión aún sin contar con habilidades para desarrollar su propio malware.

Ransomware

Organismos y empresas en el punto de mira

Si hace una década la mayoría de ataques de Ransomware se destinaban a ordenadores personales cliente con el objetivo de obtener unas decenas de dólares, en los últimos años el objetivo principal son las empresas y administraciones. Y cuanto más grandes mejor. La lista de 2020 es amplísima y podemos citar a Canon, Garmin, CD Projekt Red, Blackbaud, Mapfre, ADIF, Capcom, Manchester United y unas cuantas administraciones y municipios como Lafayette en Estados Unidos.

Y esos son los conocidos. Expertos en ciberseguridad creen que son muchos más los desconocidos, los que han pagado para recuperar los servicios cuanto antes y evitar la pérdida reputacional que este tipo de violaciones de seguridad supone. El problema de pagar a estos delincuentes ya sabes lo que supone: cada rescate satisfecho es un incentivo para que los ciberdelincuentes sigan utilizando el ransomware para extorsionar a más víctimas y seguir la cadena.

El resultado de todo ello es que desde hace dos años el Ransomware se ha convertido en la principal ciberamenaza de la industria tecnológica, cono organismos, infraestructuras críticas y empresas (que por lo general suelen pagar a los extorsionadores) en el punto de mira.

Ryuk, un viejo conocido para el ataque al SEPE

El desarrollo de origen ruso Ryuk apunta a ser el malware utilizado en el ataque al SEPE, como explican nuestros compañeros de muyseguridad haciéndose eco de las declaraciones de Gerardo Gutiérrez, director del SEPE, y apoyándose en las declaraciones de algunos empleados que, a primera hora (antes de apagar todos los equipos) encontraron archivos con la extensión RYK, característica de este malware.

Aunque como decíamos casi cualquier tipo de ataque puede ser empleado para Ransomware, Ryuk es uno de los malware más especializados. Un viejo conocido que saltó a la «fama» al atacar la mayor petrolera de México, Pemex, y en España también causó estragos en los ataques a la Cadena Ser, Everis o a la empresa de seguridad Prosegur.

Teniendo en cuenta que uno de los puntos fuertes de Ryuk es su persistencia, ya que cuenta con múltiples herramientas para intentar prevalecer en los sistemas infectados aún cuando éstos sean sometidos a labores de desinfección, el reinicio de todos los servicios del SEPE aún puede tardar. Afortunadamente los responsables TI contaban con backup limpio de un día antes del ataque.

También podemos destacar que los sistemas de pagos no se han visto afectados y ello es vital para millones de ciudadanos que cobran algún tipo de subsidio, desempleo o ERTE. En principio, no se habría producido filtración de los datos secuestrados, un gran problema teniendo en cuenta la cantidad de información confidencial que maneja el organismo.

Consejos contra el Ransomware

Teniendo en cuenta el funcionamiento del Ransomware y que una vez infectado no hay solución salvo que algún investigador haya logrado descifrar ese sistema de cifrado en particular, algo que suele tardar años en suceder y mediante una recuperación de archivos extremadamente compleja, uno de los grandes consejos contra el Ransomware es realizar regularmente copias de seguridad por si hay que usarlas para recuperar los equipos. Y hay otros para prevenir la infección que se repiten de manera general contra cualquier ataque informático. Te los recordamos:

Backup. Realizar copias de seguridad de los datos importantes como tarea de mantenimiento regular es la medida más efectiva para minimizar los daños en caso de ser infectado. La copia de seguridad debe alojarse en un medio externo distinto al del equipo para poder recuperar los archivos desde un sitio “limpio” y no tener que pagar el “rescate” exigido por estos ciberdelincuentes.

Actualización del sistema y aplicaciones. Mantener el sistema operativo actualizado con los últimos parches de seguridad y todas las aplicaciones que tengamos instaladas es el mejor punto de partida. WanaCryptor, uno de los Ransom más potentes, aprovechó una vulnerabilidad en sistemas Windows y los ataques contra algunas empresas españolas apuntan a vulnerabilidades no parcheadas.

Línea de defensa. Conviene instalar y mantener una solución antimalware, incluyendo un cortafuegos correctamente configurado para permitir el acceso exclusivo de las aplicaciones y servicios necesarios.

Herramienta Anti Ransom. Es una herramienta específica contra este tipo de ataques, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.

Filtro antispam. Muchos de los ataques por Ransomware se distribuyen a través de campañas masivas de correo electrónico. Además de estos filtros, debes seguir los consejos generales como no pinchar en enlaces o abrir archivos adjuntos de remitentes desconocidos.

Bloqueadores de JavaScript. Aplicaciones como Privacy Manager bloquean la ejecución de todo código JavaScript sospechoso de poder dañar el equipo del usuario. Esto ayuda a minimizar la posibilidades de quedar infectado a través de la navegación web.

Políticas de seguridad. Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit facilitan el establecimiento de políticas que impiden la ejecución de directorios comúnmente utilizados por el ransomware, como App Data, Local App Data, etc.

Cuentas con privilegios. No utilizar cuentas con privilegios de administrador. El 86% de las amenazas contra Windows se pueden esquivar en caso de utilizar un usuario común en lugar de un administrador. Por eso es importante utilizar para tareas comunes un usuario común y solo dejar el administrador para cuando se vaya a hacer una serie de tareas relacionadas con la manipulación del sistema.

Extensiones de archivos. Mostrar las extensiones para tipos de ficheros conocidos es una buena práctica para identificar los posibles ficheros ejecutables que quieran hacerse pasar por otro tipo de fichero. No es raro ver a un fichero .exe con el icono de un documento de Word. Si no se ve la extensión, el usuario posiblemente no pueda distinguir si es un documento de Word o un ejecutable malicioso, aunque también es bueno recordar que un documento de Microsoft Office también puede contener malware.

Máquinas virtuales. Emplear máquinas virtuales para aislar el sistema principal es otra técnica efectiva. En un entorno virtualizado la acción de los ransomware no suele materializarse.

Y no pagues… Si lamentablemente te has infectado, pero seguiste las tareas de prevención y mantenimiento, tendrás copias de seguridad para una vez formateadas las unidades de almacenamiento poder recuperarlos. Lleva tiempo, pero siempre es mejor que pagar a estos delincuentes y favorecer que extorsionen a más víctimas y seguir la cadena.

Lo más leído