Definición de ransomware
El ransomware es un tipo de ataque de malware que cifra los datos de una víctima hasta que se realiza un pago al atacante. Si no se realiza el pago del rescate, el actor malintencionado publica los datos en sitios de fuga de datos (DLS) o bloquea el acceso a los archivos a perpetuidad.
El ransomware sigue siendo una de las tácticas más rentables para los ciberdelincuentes, con el costo global del ransomware en 2020 estimado en $ 20 mil millones y el pago promedio de rescate por un total de $ 84,000.
Cómo funciona el ransomware
Hoy en día, el ransomware generalmente se distribuye a través de correos electrónicos de phishing altamente dirigidos, esquemas de ingeniería social, ataques de pozo de agua o redes de publicidad maliciosa. En la mayoría de los casos, la víctima termina haciendo clic en un enlace malicioso e introduce la variante de ransomware en su dispositivo.
Después de que un dispositivo o sistema ha sido infectado, el ransomware se pone a trabajar inmediatamente para identificar y cifrar los archivos de la víctima. Una vez que se han cifrado los datos, se requiere una clave de descifrado para desbloquear los archivos. Para obtener la clave de descifrado, la víctima debe seguir las instrucciones dejadas en una nota de rescate que describen cómo pagar al atacante, generalmente en Bitcoin.
Los actores de amenazas cuentan con que los usuarios individuales y empresariales se vuelvan tan desesperados por recuperar el acceso oportuno a los datos que estarán dispuestos a desembolsar un considerable rescate por la clave de descifrado necesaria para desbloquear los datos.
Tipos de ransomware
Cifrado de ransomware: en este caso, el ransomware cifra sistemáticamente los archivos del disco duro del sistema, que se vuelve difícil de descifrar sin pagar el rescate por la clave de descifrado. El pago se solicita mediante BitCoin, MoneyPak, PaySafeCard, Ukash o una tarjeta de prepago (débito).
Bloqueadores de pantalla: los bloqueadores bloquean completamente su computadora o sistema, por lo que sus archivos y aplicaciones son inaccesibles. Una pantalla de bloqueo muestra la demanda de rescate, posiblemente con un reloj de cuenta regresiva para aumentar la urgencia y hacer que las víctimas actúen.
Scareware: Scareware es una táctica que utiliza ventanas emergentes para convencer a las víctimas de que tienen un virus y les indica que descarguen software falso para solucionar el problema.
Malvertising: Malvertising, o publicidad maliciosa, es una técnica que inyecta código malicioso dentro de los anuncios digitales.
Ejemplo de variantes de ransomware
¿A quién se dirige el ransomware?
Las organizaciones de todos los tamaños pueden ser blanco de ransomware. Aunque la caza mayor está en aumento, el ransomware suele estar dirigido a organizaciones pequeñas y medianas , incluidos los gobiernos estatales y locales, que a menudo son más vulnerables a los ataques.
Las pequeñas empresas son el objetivo por varias razones, desde el dinero y la propiedad intelectual (IP) hasta los datos y el acceso de los clientes. De hecho, el acceso puede ser un factor principal porque una PYME se puede utilizar como vector para atacar una organización matriz más grande o la cadena de suministro de un objetivo más grande.
El éxito de los ataques de ransomware en las pequeñas empresas se puede atribuir a los desafíos únicos asociados con el tamaño más pequeño y también a los desafíos más ubicuos que enfrentan las organizaciones de cualquier tamaño: el elemento humano . Si bien una computadora de trabajo es común e incluso se espera en organizaciones más grandes, las organizaciones más pequeñas no siempre proporcionan computadoras de trabajo y, en cambio, pueden confiar en que los empleados usen sus dispositivos personales.
Estos dispositivos se utilizan tanto para fines relacionados con el trabajo, incluido el acceso y el almacenamiento de documentos e información privilegiados, junto con actividades personales como la navegación y la búsqueda. Estas máquinas de doble propósito contienen grandes volúmenes de información comercial y personal, incluida información de tarjetas de crédito, cuentas de correo electrónico, plataformas de redes sociales y fotos y contenido personal.
Las universidades, por ejemplo, a menudo tienen equipos de seguridad más pequeños y una gran base de usuarios que comparten muchos archivos, por lo que las defensas se penetran más fácilmente. Las organizaciones médicas también pueden ser atacadas porque a menudo necesitan acceso inmediato a sus datos y pueden estar en juego vidas, lo que las lleva a pagar de inmediato. Y es más probable que las instituciones financieras y los bufetes de abogados paguen el rescate debido a la sensibilidad de sus datos, y que lo paguen discretamente para evitar publicidad negativa.
¿Debería pagar el rescate?
El FBI no admite el pago de un rescate en respuesta a un ataque de ransomware. Argumentan que pagar un rescate no solo fomenta el modelo comercial, sino que también puede ir a los bolsillos de organizaciones terroristas, lavadores de dinero y estados-nación deshonestos. Además, aunque pocas organizaciones admiten públicamente haber pagado rescates, los adversarios publicarán esa información en la web oscura , lo que la hará de conocimiento común para otros adversarios que buscan un nuevo objetivo.
Pagar el rescate no da como resultado una recuperación más rápida ni una recuperación garantizada. Puede haber varias claves de descifrado, puede haber una utilidad de descifrado incorrecta, el descifrador puede ser incompatible con el sistema operativo de la víctima, puede haber un doble descifrado y la clave de descifrado solo funciona en una capa, y algunos datos pueden estar corruptos. Menos de la mitad de las víctimas de ransomware pueden restaurar con éxito sus sistemas.
Defensa contra ransomware
Una vez que se ha realizado el cifrado de ransomware, a menudo es demasiado tarde para recuperar esos datos. Es por eso que la mejor defensa contra ransomware se basa en la prevención proactiva.
El ransomware evoluciona constantemente, lo que hace que la protección sea un desafío para muchas organizaciones. Siga estas mejores prácticas para ayudar a mantener sus operaciones seguras:
1. Capacite a todos los empleados sobre las mejores prácticas de ciberseguridad:
Sus empleados están en la primera línea de su seguridad. Asegúrese de que sigan buenas prácticas de higiene, como el uso de una protección sólida con contraseña, conectarse solo a una red Wi-Fi segura y nunca hacer clic en enlaces de correos electrónicos no solicitados.
2. Mantenga su sistema operativo y otro software parcheado y actualizado:
Los ciberdelincuentes buscan constantemente agujeros y puertas traseras para explotar. Al actualizar atentamente sus sistemas, minimizará su exposición a vulnerabilidades conocidas.
3. Implementar y mejorar la seguridad del correo electrónico
CrowdStrike recomienda implementar una solución de seguridad de correo electrónico que realice el filtrado de URL y también el sandboxing de archivos adjuntos. Para optimizar estos esfuerzos, se puede utilizar una capacidad de respuesta automatizada que permita la cuarentena retroactiva de los correos electrónicos entregados antes de que el usuario interactúe con ellos.
4. Supervise continuamente su entorno para detectar actividades maliciosas e IOA:
La detección y respuesta de endpoints (EDR) CrowdStrike® Falcon Insight ™ actúa como una cámara de vigilancia en todos los endpoints, capturando eventos sin procesar para la detección automática de actividades maliciosas no identificadas por métodos de prevención y proporcionando visibilidad para la búsqueda de amenazas proactiva .
Para ataques sigilosos y ocultos que pueden no activar alertas automáticas de inmediato, CrowdStrike ofrece la búsqueda de amenazas administrada por Falcon OverWatch ™ , que comprende un equipo de élite de cazadores experimentados que buscan de manera proactiva amenazas en su nombre las 24 horas del día, los 7 días de la semana.
5. Integre la inteligencia sobre amenazas en su estrategia de seguridad:
Supervise sus sistemas en tiempo real y manténgase al día con la inteligencia de amenazas más reciente para detectar un ataque rápidamente, comprender la mejor manera de responder y evitar que se propague. CrowdStrike Falcon X automatiza el análisis de amenazas y la investigación de incidentes para examinar todas las amenazas e implementar contramedidas de manera proactiva en cuestión de minutos.
6. Desarrolle copias de seguridad sin conexión a prueba de ransomware
Al desarrollar una infraestructura de copia de seguridad a prueba de ransomware, la idea más importante a tener en cuenta es que los actores de amenazas se han centrado en las copias de seguridad en línea antes de implementar el ransomware en el medio ambiente.
Por estas razones, la única forma segura de recuperar datos durante un ataque de ransomware es a través de copias de seguridad a prueba de ransomware. Por ejemplo, mantener copias de seguridad de sus datos fuera de línea permite una recuperación más rápida en caso de emergencia.
7. Implementar un programa de protección de identidad sólido
Las organizaciones pueden mejorar su postura de seguridad mediante la implementación de un programa de protección de identidad sólido para comprender la higiene del almacén de identidad local y en la nube (por ejemplo, Active Directory, Azure AD). Determine las brechas y analice el comportamiento y las desviaciones de cada cuenta de la fuerza laboral (usuarios humanos, cuentas privilegiadas, cuentas de servicio), detecte movimientos laterales e implemente acceso condicional basado en riesgos para detectar y detener las amenazas de ransomware.
Qué hacer si te ataca un ransomware
Una vez que el ransomware penetra en un dispositivo de su red, puede causar estragos, provocando una interrupción que paraliza las operaciones comerciales. Con los datos de la empresa y los clientes, el bienestar financiero y la reputación de la marca en juego, es fundamental saber qué hacer si obtiene ransomware.
Si encuentra ransomware, es importante:
1. Busque los dispositivos infectados: si el ransomware penetra en su red, es importante identificar y aislar cualquier dispositivo infectado de inmediato, antes de que la brecha se extienda al resto de la red.
En primer lugar, busque cualquier actividad sospechosa en la red, como el cambio de nombre de archivo o el cambio de extensiones de archivo. Es probable que el sistema haya sido violado por un error humano, por ejemplo, un empleado que hace clic en un enlace sospechoso en un correo electrónico de phishing, por lo que los empleados pueden ser una fuente útil de información. Pregunte si alguien ha recibido o detectado alguna actividad sospechosa que pueda ayudar a identificar los dispositivos infectados.
2. Detenga el ransomware en seco: la diferencia entre una infección que hunde el negocio y una interrupción menor de la red puede reducirse al tiempo de reacción. Las empresas deben cortar o restringir rápidamente el acceso a la red para detener la propagación de los dispositivos infectados.
Si es posible, todos los dispositivos conectados a la red, tanto dentro como fuera del sitio, deben desconectarse. Si es necesario, desactive también cualquier conectividad inalámbrica, incluidos Wi-Fi y Bluetooth, ya que esto ayuda a evitar que el ransomware atraviese la red, incaute y cifre datos cruciales.
3. Revise el alcance del problema: es importante comprender el alcance del daño causado por la infracción para preparar una respuesta adecuada.
Examine todos los dispositivos conectados a la red. Los síntomas iniciales del cifrado de ransomware incluyen cambios de nombre de archivo y empleados que luchan por acceder a los archivos. Cualquier dispositivo que muestre estos signos debe anotarse, y desconectarse inmediatamente de la red, y puede llevarlo al dispositivo de puerta de enlace donde la infección obtuvo acceso a la red por primera vez.
Cree una lista de dispositivos y centros de datos infectados. El proceso de reparación de la empresa debe incluir el descifrado de cada dispositivo comprometido, para evitar que el proceso de cifrado se reinicie cuando regrese al trabajo.
4. Busque sus copias de seguridad: en una época en la que los riesgos de ciberseguridad acechan en cada esquina, tener copias de seguridad de todos sus datos digitales, separados de la red centralizada, es crucial para que todo vuelva a funcionar rápidamente y minimice el tiempo de inactividad. el caso de una infracción.
Una vez que todos los dispositivos hayan sido descifrados y equipados con software antivirus , es hora de recurrir a sus datos de respaldo para restaurar los archivos comprometidos.
Sin embargo, antes de hacerlo, realice una comprobación rápida de los archivos de copia de seguridad. La creciente sofisticación y resistencia del ransomware moderno significa que estos archivos también pueden haber sido dañados y la implementación de estos datos en la red podría simplemente volver al paso uno.
5. Informar del ataque: si bien la prioridad inmediata posterior a la infracción es detener la propagación y comenzar la fase de recuperación, también se deben considerar las consecuencias más amplias del ataque. Los datos comprometidos no solo afectan a la empresa, sino también a sus empleados y clientes.
Dado que el ransomware generalmente implica la amenaza de filtración de datos, cualquier ataque debe informarse a las autoridades pertinentes lo antes posible.
La legislación estadounidense sobre datos no existe realmente a nivel federal. Sin embargo, una combinación de estados individuales y algunas regulaciones federales imponen multas estrictas a esas regulaciones de cumplimiento de datos. Si sufre una violación de datos en California, por ejemplo, debe informar a la CCPA, y cualquier violación individual resulta en multas de $ 7,500 por violación.
El ransomware y otras formas de malware también deben informarse a las autoridades policiales, que pueden ayudar a identificar a los responsables y prevenir futuros ataques.
Eliminación de ransomware
Si ocurre lo peor y los dispositivos individuales de la empresa o incluso toda su red se ven comprometidos por ransomware, hay algunas opciones de recuperación disponibles.
Las estrategias comunes para la eliminación de ransomware incluyen:
Intentar eliminar el ransomware mediante software
Pagando el rescate
Restablecer los dispositivos infectados al modo de fábrica
No se recomienda que pague el rescate. No se puede confiar en que los ciberdelincuentes descifren y devuelvan el acceso a los datos, incluso después de haber pagado. Y en el peor de los casos, incluso puede aparecer como objetivo de futuros ataques de malware, si los actores malintencionados saben que es probable que ceda a sus demandas.
Además, los ataques exitosos de ransomware solo alientan a más delincuentes a ingresar a un espacio potencialmente lucrativo, lo que agrava el problema para todos.
En su lugar, restrinja el acceso a la red a cualquier dispositivo comprometido, y aquellos que muestren un comportamiento sospechoso, y apunte a detener la propagación del ransomware.
Los consejos para eliminar el ransomware incluyen:
Reinicie en modo seguro : según el tipo de ransomware, reiniciar el dispositivo y reiniciarlo en modo seguro puede detener la propagación. Aunque algunos troyanos como 'REvil' y 'Snatch' pueden funcionar durante un arranque en modo seguro, esto no es cierto para todos los ransomware y el modo seguro puede ganar un tiempo valioso para instalar software anti-malware. Sin embargo, es importante tener en cuenta que los archivos cifrados permanecerán cifrados incluso en modo seguro y deberán restaurarse mediante una copia de seguridad de los datos.
Instale software anti-ransomware : una vez que los dispositivos infectados hayan sido identificados y desconectados de la red, el ransomware debe eliminarse mediante un software anti-malware. Si intenta hacer negocios como de costumbre antes de que los dispositivos estén completamente descifrados, corre el riesgo de que resurja el malware no detectado, lo que resultará en una mayor propagación y más archivos comprometidos.
Escanee en busca de programas de ransomware : cuando crea que sus dispositivos están libres de ransomware u otros gusanos, asegúrese de escanear el sistema, tanto buscando manualmente cualquier comportamiento sospechoso como cambios en la extensión de archivo, como utilizando firewalls de próxima generación. Un análisis exhaustivo debería revelar cualquier troyanos ocultos que podrían volver a causar estragos una vez que restaure su computadora.
Restaurar la computadora : las empresas siempre deben mantener copias de seguridad de sus archivos, alejadas de la red. De esta manera, cualquier archivo cifrado se puede restaurar rápidamente desde una fuente segura una vez que se elimina el ransomware, lo que minimiza el tiempo de inactividad y las interrupciones.
Informe el ataque a la policía : los atacantes de ransomware son ciberdelincuentes. Cualquier ataque debe ser documentado e informado, no debería ser algo que las empresas simplemente dejen pasar una vez que hayan logrado restaurar sus dispositivos. Registre capturas de pantalla o tome fotografías de cualquier nota de rescate y recopile toda la evidencia disponible, como correos electrónicos o sitios web que podrían potencialmente ser la fuente del malware malintencionado y notificar la infracción lo antes posible.
Fuente: https://www.crowdstrike.com/cybersecurity-101/ransomware/?utm_campaign=ransomware&utm_medium=soc&utm_source=twtr&utm_content=sprout
Comments