Guía definitiva de protección contra Ransomware (Parte II)

Por Daniela Gonzalia

El 4 de noviembre de este mes, un ataque de ransomware puso en peligro a varias empresas españolas. Como en Interbel la seguridad es nuestra mayor prioridad, nos planteamos brindar una guía acerca de qué es un ransomware y cómo protegernos (y reaccionar frente a su ataque).
La semana pasada habíamos comenzado ya con la primera parte, y hoy continuamos con la esperanza de evitar que estos ataques vuelvan a tomarnos por sorpresa. Sin más preámbulos, aquí tienes la Guía definitiva de protección contra Ransomware: Segunda Parte.

Qué hace el Ransomware una vez que está en su ordenador

Ransomware starter # 1: instalar puertas traseras

El ransomware puede ser inteligente: trata de obtener una base sólida en su ordenador. Una vez instalado, puede abrir puertas traseras en sus sistemas y explotarlas más tarde. Los ejemplos de estas puertas traseras incluyen:

  • Incrustado en el BIOS del ordenador o en el firmware UEFI, para que pueda «volver a la vida» incluso si se limpia el disco duro y se reinstala el sistema operativo.
  • Llamar a casa a los ciberdelincuentes y abrir un «caparazón», que le permite al delincuente acceder y controlar directamente la máquina sin que usted lo sepa.

Ransomware starter # 2: propagación

Una vez en un ordenador, el ransomware puede ubicarse y propagarse a cualquier ubicación a la que pueda acceder desde su escritorio. De hecho, con la creación de puertas traseras, probablemente puede extenderse a más ubicaciones de las que crees. Y esto sucederá rápidamente y a menudo pasará desapercibido, mientras encripta su máquina.

Es común que en un entorno de red, el ransomware se propague escaneando otras máquinas en la red y luego explotando vulnerabilidades en el software o configuraciones de seguridad laxas para instalarse en otras máquinas.

El ataque: encriptación y bloqueo de sus datos

El objetivo principal de Ransomware es buscar sus archivos y cifrarlos, uno por uno. Desafortunadamente para nosotros, los procesadores del ordenador y las unidades de almacenamiento son tan rápidos hoy en día que el cifrado puede ocurrir rápidamente. El ransomware permanecerá oculto y operará en segundo plano localizando datos que considere valiosos. Por ejemplo, todo en Mis documentos, las fotos, los documentos de Microsoft Office y archivos que parecen bases de datos. Una vez encriptados, los archivos a menudo aparecerán como archivos sin asociación de aplicaciones y si los abre, muestra galimatías.

Y ahora te pedirán un cheque: la demanda de rescate

Una vez que sus archivos importantes han sido encriptados, el ransomware mostrará una notificación. Esta notificación podría ser un archivo de texto abierto o, más comúnmente, un gráfico del navegador llamativo y difícil de perder.

Una notificación de ransomware generalmente:

  • Avisará que sus datos han sido encriptados
  • Dirá cuánto pagar
  • Explicará cómo pagar
  • Dirá lo que sucederá cuando pague
Una notificación de ransomware también puede presionarlo a tomar una decisión rápida al pedir un rescate que aumenta si demora el pago o si incluye un límite de tiempo después del cual nunca recuperará sus datos

El modelo de negocio: cómo el ransomware genera dinero y cómo participa Bitcoin

El rescate exige que se les pague con criptomonedas, generalmente bitcoins, porque usan billeteras digitales anónimas y, por lo tanto, atractivas para los ciberdelincuentes.

$ ¿Cuánto cuesta un rescate típico?

Los rescates oscilan entre unos pocos cientos de dólares y más de un millón, y un promedio de miles. Los rescates han aumentado cada año y casi se duplicaron en 2019 a un estimado de $ 12,000 .

En 2016, el costo total estimado en los EE. UU. Alcanzó el umbral de mil millones de euros y en 2018 el costo global del ransomware alcanzó un estimado de 8 mil millones al año.

Con el tiempo, los delincuentes cibernéticos también han mejorado su estrategia, centrándose en organizaciones de «objetivos blandos» que tienen más probabilidades de pagar mayores cantidades de rescate debido al mayor costo de la interrupción del negocio.

$ ¿Cuáles son los costos adicionales de un ataque?

El informe de ransomware 2019 de la firma de respuesta de ransomware Coveware estima que el tiempo de inactividad promedio debido a una infección de ransomware es de 7.3 días. Eso representa más de una semana de pérdida de ingresos y no tiene en cuenta el costo de administrar el proceso de recuperación.

$ ¿Pagar un rescate soluciona el problema?

Esta es una pregunta compleja con implicaciones tanto inmediatas como globales.

¿Recuperarán sus datos? La mayoría de los pagos de ransomware resultan en la entrega de una clave de descifrado, pero alrededor del 5% de los rescates pagados no reciben una clave de descifrado. Pero incluso si sus datos se descifran, su red aún puede verse comprometida por puertas traseras y malware. Esto puede llevar a víctimas repetidas: usuarios que muestran que están dispuestos a pagar y que son atacados nuevamente por ransomware.

La lección aquí es que si paga, puede que no sea el final. Podría ser objetivo nuevamente y, como se explica en la sección de puerta trasera, todos los servidores y máquinas afectados aún deberán reconstruirse.

A nivel mundial, muchas agencias de aplicación de la ley recomiendan no pagar el rescate sobre la base de que solo alienta a los delincuentes cibernéticos. Sin embargo, para las organizaciones que no pudieron preparar e instituir una protección adecuada contra ransomware, este punto de vista es de poco beneficio.

$ ¿Cómo se paga un rescate?

Para pagar un rescate con bitcoin, debe obtener una cuenta y una billetera bitcoin con uno de los intercambios de bitcoin en línea. Este proceso incluye proporcionar información de identificación para verificar su identidad. Luego debe comprar bitcoins, enviarlos a su billetera y luego usar la billetera para transferir el rescate a la dirección de la billetera que se detalla en la notificación de ransomware.

Este proceso en sí mismo puede ser un problema porque lleva tiempo (a menudo más de una semana) que el intercambio verifique una cuenta y una billetera, y los rescates a menudo tienen un período de tiempo limitado para realizar el pago.

$ ¿Cómo evitas pagar un rescate?

Solo hay formas de evitar pagar el rescate:

  1. Acepte que ha perdido sus datos, o
  2. Recupere sus datos de una copia de seguridad

Si se preparó de antemano, implementando una protección robusta contra ransomware con la copia de seguridad adecuada , la recuperación debería ser predecible y seguir un proceso bien definido.

Accede a la tercera parte de nuestra guía definitiva contra el Ransomware aquí:

Guía definitiva de protección contra Ransomware (Parte III)

 

 

Si esta segunda entrega del informe ha llamado su atención, puede probar de forma totalmente gratuita Backup Assist por 30 días.

Prueba BackupAssist gratis y completamente funcional por 30 días, y obtén 15 días de asistencia preventa.

Por qué descargar BackupAssist:

– Backup y restauración granular para Windows.

– Gestión de múltiples medios de almacenamiento, incluso en la nube.

– Administración y monitorización centralizada y remota.

BackupAssist Blog – Post Recientes

Start typing and press Enter to search

Ataques de seguridad. ¿Qué nos espera?
El futuro de los ataques de seguridad. ¿Qué nos espera?ciberseguridad, correo electrónico, email, GData, Protección datos
Guía definitiva de protección contra Ransomware (Parte III). El backup es esencial.
Guía definitiva de protección contra Ransomware (Parte III)backup, BackupAssist, ciberseguridad, copia de seguridad, correo electrónico, email, Protección datos