Genérico 7min de Leitura - 17 de septiembre de 2020

Ransomware: malwares que secuestran datos

This post is also available in: Português Español

Seguramente ya leyó en algún lugar, el término ransomware, pero ¿realmente sabe de qué se trata?

Existen varios tipos de malware, y uno de ellos es el ransomware. A diferencia de otros malwares, que consiguen ser sutiles y permanecer ocultos durante el mayor tiempo posible, el ransomware restringe inmediatamente los datos de la víctima, exigiendo el pago de un rescate para liberarlos.

Para saber más de este tema, incluyendo la historia del ransomware, tipos y consejos para mantenerse lejos de esta amenaza, continúe leyendo este artículo.

¿Qué es un ransomware?

Un ransomware es un código malicioso que infecta dispositivos, sea por una acción realizada por un usuario o por una vulnerabilidad que exista en el sistema operacional.

Ese malware encripta los datos y deja totalmente inútil al dispositivo infectado, el cual sólo será liberado a través del pago de un rescate.

El rescate generalmente es cobrado en bitcoin u otro tipo de moneda virtual, para dificultar el rastreo del pago.

Por eso es que los ataques ransomware también son conocidos como ataques de secuestro de datos, pues el objetivo principal es secuestrar los datos de las víctimas y solicitar un rescate para la liberación de los mismos.

La historia del ransomware

El primer ransomware fue creado en 1989 por Joseph L. Popp, un biólogo revolucionario con PhD en Harvard.

Denominado como AIDS, ese programa engañaba a los usuarios, informando que la licencia de un determinado software había expirado. Él encriptaba los archivos del disco duro y exigía que las víctimas pagaran una cantidad de US$ 189 en cambio del desbloqueo de sus archivos.

Sin embargo, los ataques ransomware no eran tan exitosos como lo son hoy.

En aquella época, la mayor parte de los usuarios de internet eran especialistas en el área de la ciencia y tecnología y solo muy pocas personas tenían computadoras personales.

Además, los pagos internacionales eran más difíciles de procesar y la tecnología de encriptado, atendimiento al cliente de FedEx, UPS, DHS y otras empresas.

Luego de activarse, el conteo regresivo del malware en la pantalla, exigía un pago medio de US$ 300 en 72 horas.

El equipo de respuesta a emergencias tecnológicas de los Estados Unidos alertó que el malware conseguía pasar de una máquina a otra, y pidió que los usuarios de computadoras infectadas desconectaran inmediatamente a las máquinas infectadas de sus redes.

Tipos de ataque de ransomware

Hay muchos métodos tecnológicos utilizados para implantar un ransomware, pero hay dos que se destacan: el crypto-ransomware y el locker-ransomeware.

Crypto – ransomware

Son los tipos de ataques que utilizan el encriptado como la base para el secuestro de datos. Ese tipo de ransomware es el que más ha aparecido en los últimos años.

El principal motivo por el cual este tipo de ataques ha aumentado tanto es la evolución de los procesadores, tanto de computadoras como de smartphones. Ellos entregan un poder de procesamiento suficiente para una rápida encriptación de datos.

Otro motivo está relacionado a la dificultad que ese método coloca para la recuperación de datos, ya que solamente quien tiene las llaves criptográficas puede desencriptar las informaciones.

Aunque la víctima logre remover el ransomware de su sistema operacional, los archivos seguirán encriptados, aumentando así el chance de que la víctima pague el rescate.

Los cibercriminales generalmente piden valores bajos por el rescate, para que la víctima piense entre el costo-beneficio entre pagar, invertir en la recuperación de los datos o perderlos.

Estos cibercriminales apuestan a la ganancia por cantidad de víctimas y no en un único rescate.

El cobro del rescate solo será alto en los casos en que el crypto-ransomware logra paralizar todo el sistema de una empresa.

Dependiendo del tamaño de la organización, los cibercriminales cobran centenas de miles de dólares por el rescate.

El Locker – ransomware

Como su nombre lo sugiere, son aquellos que bloquean el acceso a los datos.

Son menos complejos que los crypto-ransomware, lo que no quiere decir que sean más fáciles de revertir.

El bloqueo puede ser hecho de varias maneras, entre las más comunes está el cambio de contraseña o aparición de una imagen en la pantalla que impide acceder al login.

Existen casos en que en un solo ransomware, se usan los dos métodos al mismo tiempo: locker y crypto.

A pesar de que actúan de modos diferentes, ambas tienen el mismo fin: exigir un pago por el rescate de los datos.

Principales tipos de ransomware

Ya que presentamos lo que es un ransomware, su historia y sus dos variaciones principales. Ahora pasaremos a describir los principales tipos de ransomware:

GoldenEy

Es uno de los más conocidos del mundo, fue responsable de un shutdown total, deteniendo todos los sistemas ucranianos.

El ataque afectó a las redes bancarias, al sistema del aeropuerto más grande del país y a la compañía eléctrica principal ucraniana; 3 puntos cruciales para la sociedad y que resultaron ser totalmente vulnerables.

El GoldenEye es una evolución de los ransomware, pues, a diferencia del CryptoLocker, que encripta los archivos de un dispositivo, el GoldenEye puede hacerlo con sistemas enteros, causando daños gigantescos.

El GoldenEye es agresivo al extremo, impide que las máquinas se inicien por lo que las víctimas no consiguen forma de acceder o recuperar los datos secuestrados, causando un paro total en la estructura afectada.

WannaCry

Fue un ataque de ransomware de repercusión mundial, destacándose en los medios de comunicación por todo el planeta.

El WannaCry fue el ataque responsable de parar la infraestructura de un hospital en el Reino Unido y otros sistemas en todo el mundo.

Se basa en una falla de seguridad descubierta por la NSA (National Security Ageny) y fue responsable por un apagón de internet.

Los cibercriminales pedían US $ 600 para desbloquear el contenido de cada computador.

Fue un susto mundial tan grande que las empresas y organismos gubernamentales que no se vieron afectados, corrieron a buscar una solución de protección.

La solución para el WannaCry fue distribuida por Microsoft, por medio de un patch de seguridad, que garantiza la protección a todos los dispositivos que utilizan un sistema operacional a partir de la versión Windows 7.

Locky

Locky promueve un ataque casi imperceptible, que no les da señales a los usuarios.

Su diferencia es que va más allá de bloqueos de archivos; impide que la víctima consiga una billetera de Bitcoins, almacenada en un determinado computador, pen drive o un servidor infectado.

La mejor manera de protegerse de esta amenaza, es que la empresa realice backups, ya que no se consiguieron medios seguros para la recuperación de datos, cuando se trata de sistemas atacados por un Locky.

Petya

Así como el GoldenEye, el Petya consigue ir más allá de los archivos, por lo que el dispositivo infectado queda fuera de servicio.

La diferencia entre ambos es el local en que el ataque es ejecutado.  El GoldenEye ataca el Master Tablet Files y el Petya, va directamente al Master Boot Records, lo que deja resultados devastadores.

La primera señal de que su sistema está infectado con ese ransomware, es cuando la víctima enciende la computadora y aparece un dibujo de una calavera con 2 huesos cruzados.

La víctima entra en desespero intentando recuperar sus datos y los cibercriminales, claro, intentan lucrarse lo máximo posible con esta situación.

zCrypt

A diferencia de los otros ransomwares, el ZCrypt se comporta como un virus clásico. Este no se adquiere por medio de un archivo adjunto de un correo electrónico o de otras descargas de procedencia dudosa.

La forma más común de infección de ese tipo de ataques es por medio del contacto con hardwares infectados.

A principio, el zCrypt no ataca directamente los archivos, sino que va en busca de los que fueron actualizados recientemente, para darle fuerza a su ataque.

Otra cosa que ese tipo de ransomware hace es crear un revoltijo entre los archivos, convirtiendo la recuperación tradicional en algo casi imposible.

CryptoWall

Es un ransomware de gran capacidad de diseminación orgánica, que aumenta cada vez más su incidencia en los sistemas corporativos.

Comenzó a circular en el 2014 y se destaca por presentar múltiples formas de encriptar.

El CryptoWall también causa confusión entre los archivos, cambia sus nombres y dificulta al máximo su recuperación.

La única forma de suavizar los impactos es realizar backups, ya que no hay prevención.

Jigsaw

Sí, ese ransomware está inspirado en la saga de las películas de Terror “Juego Macabro” o “Juego del Miedo”. El Jigsaw Ransomware también ha causado pánico en el mundo.

Se presenta a sí mismo con un saludo cordial seguido de una nota pidiendo un rescate.

Los cibercriminales exigen un valor en dólares, convertidos en Bitcoin, que debe ser pagado en 24 horas, luego del aviso, en caso contrario, todos los archivos serán eliminados en 72 horas.

Para presionar a las víctimas, el ataque va eliminando gradualmente los archivos hasta que el valor sea pagado.

¿Cómo protegerse de los ransomware?

Los cuidados que se deben tomar con los ransomwares no difieren mucho de las medidas de seguridad recomendadas para combatir otros tipos de malwares.

A seguir, vea qué se recomienda hacer para prevenir ataques:

  • Tenga cuidado con los archivos adjuntos y links en correos electrónicos, especialmente con los mensajes enviados en nombre de bancos, negocios o autoridades judiciales. El modelo de ese tipo de correo electrónico induce a los usuarios ingenuos a hacer clic en el link o archivo adjunto.
  • También se debe tomar ese cuidado en las redes sociales y servicios de mensajería instantánea, como Facebook y WhatsApp, por ejemplo. Aunque el mensaje venga de una persona conocida, el dispositivo puede estar comprometido, enviando el mensaje de forma automática.
  • Nunca baje archivos de sitios web sospechosos.
  • Mantenga el sistema operacional y las aplicaciones siempre actualizadas.
  • Active los recursos de seguridad y privacidad de su navegador.
  • Tome cuidado con plugins o extensiones para navegadores.
  • Utilice dispositivos de seguridad perimetral (Firewall)
  • Use softwares de seguridad (principalmente un antivirus) de empresas con buena reputación.
  • Evite usar servicios públicos de WiFi. Algunas redes pueden redireccionarlo, cuando navega en la web, a sitios falsos sin que usted sepa.
  • Haga backups (copias) de sus archivos regularmente. Así podrá recuperarlos fácilmente en caso de un secuestro de datos,

¿Cómo se pueden proteger las empresas de los ransomwares?

Las empresas y otras organizaciones corren grandes riesgos de que sus datos se vean comprometidos por un ransomware, paralizando sus negocios. Por eso, se deben redoblar los cuidados.

  • Oriente a los empleados sobre las precauciones citadas en el tópico anterior.
  • Monitoree la red y protéjala con mecanismos específicos para cada finalidad, como correos electrónicos, web, transacciones de pagos, etc.
  • Mantenga todo el parque tecnológico actualizado.
  • Cree reglas y procedimientos de seguridad para hacer del entorno empresarial un lugar más seguro.
  • Controle con rigor el acceso a sistemas e internet.
  • Revise las políticas de seguridad, herramientas de protección y módulos de los sistemas periódicamente.
  • Haga rutinariamente un backup, especialmente de los datos críticos. Es muy importante.
  • Y tenga un buen firewall instalado.

Los ransomwares, además de peligrosos, pueden causar muchos dolores de cabeza y perjuicios financieros.

Es muy importante que mantenga sus dispositivos y redes seguras para no acabar siendo objeto de cibercriminales.

No deje de conocer los productos y servicios desarrollados por OSTEC, y cómo podemos ayudarlo a hacer de su negocio un lugar más seguro y menos susceptible a estas amenazas virtuales.

This post is also available in: Português Español