¿Qué significa ransomware? ¿Cómo podemos protegernos de él? ¿Qué hacer si nos aparece en pantalla un mensaje pidiéndonos pagar un rescate para recuperar nuestros archivos?
Ransomware (también conocido como rogueware o scareware) es un tipo de malware (programa malicioso o virus). Su finalidad es encriptar los archivos pertenecientes al usuario que lo ejecuta para posteriormente pedir un rescate monetario a la víctima a cambio de que esta pueda recuperar el acceso a dichos archivos. De ahí su nombre: "ransom" (rescate) "ware" (de software).
La aparición del ransomware data de los años 80, pero no fue hasta la propagación de WannaCry en 2017 que el ransomware cobró protagonismo a nivel mundial. Al principio, los delincuentes infectaban con ransomware a personas corrientes, esperando que estas les pagaran un rescate por recuperar su información personal. De un tiempo para aca, los delincuentes han visto lo lucrativos que pueden resultar estos ataques y han puesto en su punto de mira a las grandes corporaciones, llegando a infectar a empresas de la talla de FedEx, NHS o Nissan e incluso agencias de policía de países como Taiwan. En cuanto a España, lograron infectar a Telefónica, entre otras.
En la actualidad, este malware está infectando por igual a hogares, empresas, gobiernos e incluso centrales nucleares y hospitales, a los cuales está causando pérdidas de información, pérdidas económicas e incluso pérdida de la reputación de la empresa o país.
Vías de entrada del ransomware
El ransomware, al buscar un beneficio económico, usa cualquier posibilidad de entrada a un equipo, ya sean vulnerabilidades del sistema operativo o de sus aplicaciones, passwords por defecto en sistemas o, fuera del software, usando trucos de ingeniería social.
Una de las formas más usadas por los criminales para introducir ransomware en un ordenador es mediante ingeniería social, a través de archivos adjuntos en mensajes de correo electrónico. El atacante envía mails masivos con títulos del tipo "Actualización necesaria de Windows, Plugin requerido para seguir usando Outlook, etc." que contienen archivos adjuntos con un ransomware incrustado, con el propósito de que el usuario los abra y se infecte.
A parte de los archivos adjuntos en correos, también se están usando como plataforma de entrada a redes locales los sistemas industriales SCADA o dispositivos IoT conectados a internet. Dispositivos como aires acondicionados, impresoras de red, NAS, etc. conectados a redes corporativas e internet con medidas de seguridad pobres son un blanco fácil para estos delincuentes. Consiguiendo acceso como administrador a estos dispositivos (usando usuario y contraseña por defecto, vulnerabilidades del software, una mala configuración, etc.) acaban obteniendo acceso a la red corporativa de una empresa y desde allí infectan a decenas o incluso cientos de PCs de una sola vez.
Cómo se comporta un ransomware
Una vez ejecutado un archivo adjunto con un ransomware o una vez el virus ha accedido a una red corporativa detrás de un firewall, ya tiene vía libre. Cada ordenador infectado mandará una petición a un servidor remoto en manos del atacante para así generar un par de claves de cifrado con el que el ransomware cifrará los archivos del PC. Luego, el ransomware mostrará en pantalla (o en un archivo de texto no encriptado) un mensaje de extorsión, exigiendo que la víctima pague un rescate para recibir la clave de descifrado:
Ejemplo de pantalla pidiendo rescate en bitcoin del ransomware titulado "CryptoLocker".
Cómo actuar ante una infección
Sobretodo: no pagar. Pagar no garantiza que volvamos a tener acceso a los datos. Puede que los delincuentes, al ver que pagamos, nos sigan extorsionando pidiendo pagos consecutivos o que las claves de descifrado que nos envíen no funcionen. Además, el pago del rescate puede derivar en una responsabilidad civil del administrador.
En caso de encontrarnos con un equipo infectado, deberíamos seguir estos pasos:
• Aislar los equipos con ransomware (por ejemplo desconectando el cable de red).
• Clonar los discos de los equipos infectados (para intentar desencriptar los archivos a posteriori).
• Aislar muestras de ficheros cifrados o del propio ransomware.
• Denunciar el incidente a la Guardia Civil (Grupo de delitos telemáticos) o a la Policía Nacional (BIT).
• Cambiar todas las contraseñas de red y contraseñas de cuentas online (Amazon, Gmail...).
• Probar a recuperar los archivos cifrados con algún repositorio de claves de recuperación.
• Restaurar/formatear los equipos afectados para poder volver a usarlos con normalidad.
Después de cerrar el incidente, es recomendable registrar todos los datos que podamos recopilar sobre el mismo: usuarios afectados, ID de los equipos infectados, qué acciones se han tomado, resultados de las acciones, etc. Con esta información podremos detectar mejoras que nos serán útiles de cara a actuar más eficientemente ante un nuevo incidente similar.
Cómo prevenir el ransomware
Pautas generales para evitar, en la medida de lo posible, ser víctimas de los ransomware:
• Evitar, en la medida de lo posible, abrir correos de usuarios desconocidos.
• Revisar los enlaces de los e-mails antes de clicarlos, aunque provengan de contactos conocidos.
• Desconfiar de los enlaces acortados (goo.gl, bit.ly, ow.ly, etc.).
• Desconfiar siempre de los ficheros adjuntos aunque provengan de contactos conocidos.
• Actualizar el sistema operativo y el antivirus periódicamente.
• Usar contraseñas robustas (+15 caracteres, mayúsculas, minúsculas, símbolos...).
• Evitar usar carpetas compartidas con otros usuarios.
• Realizar copias de seguridad de los archivos personales en un dispositivo externo y/o en la nube.
Además, deberíamos disponer de un plan de acción ante una posible infección por ransomware, ya sea tener un USB preparado con el instalador de un sistema operativo para formatear PC y reinstalar todo de cero, tener una imagen de ese sistema para poder restaurarlo o tener puntos de restauración del sistema creados para poder hacer un rollback hacia un día anterior.
En un entorno empresarial, se debe contar con filtros de spam para evitar que los emails fraudulentos lleguen a los empleados. Este filtro debe estar activo y debe revisarse periódicamente. De esta manera, se evita que el empleado pueda abrir ficheros adjuntos infectados por error o que haga clic en enlaces potencialmente peligrosos para él y para la empresa. Además, se debe evitar el e-mail spoofing o suplantación de correo electrónico utilizando autenticación de correos entrantes (Sender Policy Framework o SPF, Domain Message Authentication Reporting and Conformance o DMARC, y DomainKeys Identified Mail o DKIM).
Palabras finales
A medida que avanzan los sistemas de detección de ransomware, la sofisticación de los ataques aumenta, como nos muestra ESET. Esto obliga a los usuarios - tanto a los expertos como a los usuarios medios - a ser proactivos y mantenerse informados sobre los nuevos tipos de ataques informáticos que vayan apareciendo, para evitar en la medida de lo posible, caer víctima de estos.
Y recordad: no pagar nunca el ransom.
Fuentes:
https://www.icann.org/news/blog/que-es-un-ransomware
https://www.avast.com/es-es/c-ransomware
http://www.abogacia.es/wp-content/uploads/2017/07/Guia_Ransomware.pdf
https://www.acronis.com/en-us/blog/posts/what-ransomware
0 comentarios:
Publicar un comentario