El ransomware no es un fenómeno nuevo, de hecho, según un informe publicado por el BSI (German Government Body for Security in IT), las primeras muestras de ransomware registradas se remontan al año 2010. Del mismo modo que cualquier empresa, los piratas informáticos también emplean sus recursos para mejorar su escalabilidad y crecer de forma más rápida y eficiente.
Sin embargo, el ransomware se está volviendo más sofisticado y la amenaza que representa para las empresas es cada vez mayor. En julio de 2016, Symantec publicó un informe en el que se indicaba que, entre enero de 2015 y abril de 2016, alrededor de un 43 % de las víctimas de ransomware fueron empleados de empresas. El país más afectado por esta amenaza fue Estados Unidos, que sufrió un 31 % de las infecciones a nivel mundial. Le siguieron Italia, Japón, los Países Bajos, Alemania, Reino Unido, Canadá, Bélgica, India y Australia, también situados entre los 10 primeros países con más infecciones de este tipo.
Los ataques de ransomware suelen extenderse a través del spam del correo electrónico. Los atacantes envían correos a múltiples direcciones de correo y tratan de persuadir a los usuarios para que abran adjuntos de lo más tentadores. Estos adjuntos aparecen camuflados en forma de facturas, documentos escaneados o confirmaciones de pedido. Para hacer que los usuarios los abran, los delincuentes suelen utilizar nombres y direcciones de empresas reales. Su intención es que parezcan copias exactas de los correos electrónicos que suelen enviar empresas conocidas de todo el mundo.
El secreto del éxito de los ataques de ransomware reside en la gran carga psicológica que tiene para sus víctimas. Los costes de restauración pueden llegar a ser más altos que el importe que piden por el rescate por lo que, finalmente, las víctimas acaban pagándolo. Por supuesto, realizar el pago no implica garantía alguna de recuperar los datos, ¿por qué restaurarlos cuando ya se han hecho con tu dinero?
Al mismo tiempo, el Bitcoin y las criptomonedas cada vez tienen más salida. Permiten que los pagos sean más rápidos y que se realicen de forma anónima; lo cual, a su vez, provoca que sea muy difícil seguir la pista a los delincuentes.
El BSI afirma en el mismo informe que, desde septiembre de 2015, la amenaza de ransomware ha crecido de forma considerable. Solo el CryptoWall ha causado daños económicos de aproximadamente 325 millones de dólares a la Cyber Threat Alliance. Sin embargo, esta no es la única amenaza, hay muchas otras variantes más como TeslaCrypt, Locky, Padcrypt y TorrentLocker.
Recientemente hemos presenciado dos de los ataques de ransomware más grandes de la historia. El pasado mes de mayo de 2017, descubrimos WannaCrypt, un tipo de ransomware cuyo objetivo son los sistemas Windows XP y que ha afectado a empresas de todo el mundo. En este artículo se ofrece un resumen de qué es el ransomware y se explican los pasos que pueden dar las empresas para protegerse contra las diferentes formas de malware de ahora en adelante.
El ransomware solo es efectivo si logra introducirse en tus sistemas y, desafortunadamente, las acciones de los usuarios siguen siendo la manera más común de descargar ransomware
El tipo de ransomware presente en WannaCrypt es más avanzado que el de versiones anteriores y permite que la infección se extienda de forma global. Combina las capacidades propias del ransomware con el comportamiento habitual de un gusano de red. Cuando infecta un sistema, WannaCrypt empieza a cifrar archivos locales y busca en la red sistemas vulnerables a los que extenderse.
La capacidad de las empresas para recuperar el trabajo de los empleados que se ha visto afectado por el ransomware varía según la respuesta a estas preguntas:
- ¿Con qué rapidez se puede identificar un ataque? Los ataques no suelen identificarse de inmediato, pero es normal empezar a sospechar cuando las cosas empiezan a dejar de funcionar como deberían. Otra de las señales más comunes que hace saltar la alarma de amenaza se observa cuando al departamento de TI llegan varias solicitudes de asistencia por el mismo problema, pero para entonces, ya es demasiado tarde. La buena noticia es que el ransomware se hace notar y tiende a revelar su presencia muy rápidamente al conjunto de usuarios.
- ¿Con qué rapidez se pueden identificar los dispositivos afectados? Esto puede suponer todo un reto para las empresas que disponen de una infraestructura diversa. La seguridad de endpoints y la cuarentena de los dispositivos pueden ser vitales a la hora de encontrar dispositivos comprometidos y aislarlos de la red.
- ¿Qué antigüedad tienen las copias de seguridad? Las instantáneas y las copias de seguridad del disco suelen ser muy recientes. Esto aumenta las posibilidades de que estas copias también estén infectadas. Asimismo, es posible que el ransomware aparezca inmediatamente después de que se esté produciendo la copia de seguridad.
- ¿El departamento TI está familiarizado con el proceso de restauración de los datos desde las copias de seguridad y puede llevarlo a cabo rápidamente?
¿Cómo funciona el ransomware?
Un ataque de ransomware comienza cuando un usuario hace clic en un enlace o en un adjunto de correo electrónico. Entonces, se redirige al usuario a una web maliciosa que le obliga a descargarse un software o archivo aparentemente legítimo que, al abrirse, instala el ransomware en el ordenador.
Una vez que el ransomware cifra los archivos del usuario, el atacante exige una cantidad económica (un rescate) a cambio de restaurar los archivos cifrados. Dicho rescate suele pedirse en bitcoins y criptomonedas porque favorecen el anonimato del atacante y consiguen que sea más difícil rastrearle.
¿Cómo protegerse de amenazas como el ransomware?
Cuando se trata de seguridad, es importante que tengamos una visión lo más completa posible. Lo más sensato es desarrollar en profundidad un enfoque de defensa para proteger a los usuarios contra el malware en general que ayude a contribuir considerablemente a eliminar la amenaza del ransomware. Proteger de forma sólida el endpoint, aislar la red y posibilitar la cuarentena para brotes potenciales te permitirá reaccionar y contenerlos en caso de que finalmente se presenten. La mejor manera de conseguir que los datos de tu empresa estén de nuevo en línea y de restaurar la productividad de tus empleados, es optar por un enfoque basado en datos y no en dispositivos.
Céntrate en los aspectos principales
Los principios básicos de la seguridad de los datos no han cambiado a lo largo de los años. Se recomienda empezar por lo esencial: parchear sistemas vulnerables, actualizar sistemas integrales e invertir en modernización TI. Todas estas acciones resultan esenciales a la hora de crear una infraestructura capaz de defenderse.
Es necesario combinar todo esto con la formación de los empleados en materia de seguridad para tratar de evitar que hagan clic en correos electrónicos de malware. El ransomware solo es efectivo si logra introducirse en tus sistemas y, desafortunadamente, las acciones de los usuarios siguen siendo la manera más común de descargar ransomware en tu red.
Ayuda a prevenir la infección inicial
El ransomware deja una huella de actividad muy particular en un sistema infectado cuando se presenta a los usuarios. En una situación como esta, la prioridad es aplicar un antivirus de endpoint fiable que proteja los sistemas. Aunque no sea infalible, el software de antivirus evitará que la mayoría de virus malware infecte tus sistemas. Además de esto, aplicar un filtro de correo electrónico agresivo puede ser de gran ayuda a la hora de prevenir el envío de correos electrónicos de phishing a los usuarios. Por suerte, las soluciones de antivirus se adaptan rápidamente y pueden detectar y eliminar el ransomware.
Limita los movimientos laterales en tu red
Muchas empresas están estructuradas en redes planas (“flat networks”) que permiten que un sistema se conecte con otro fácilmente. Eso significa que el ransomware puede extenderse rápidamente debido a la capacidad de estos sistemas de conectarse unos con otros. Para poder detectar el ransomware a medida que atraviesa la red, es muy importante que estas empresas tengan antivirus con capacidad de escaneo que evite que se extienda más allá. El aislamiento de la red o la compartimentación brinda a las empresas algo de tiempo para identificar el ransomware y eliminarlo de los sistemas sin perder cantidades masivas de datos.
Los departamentos TI, especialmente los de las empresas que tienen una red horizontal, también deberían pensar en su capacidad de cuarentena. Desconectar rápidamente los equipos afectados puede prevenir que el ransomware escanee e infecte más sistemas de la red.
Elige un enfoque basado en datos
El ransomware es único entre el malware porque ataca los datos de los usuarios. Para limitar tu exposición al ataque, lo ideal es que hagas a menudo copias de seguridad de tu sistema. Si puedes recuperar los archivos infectados rápidamente, tienes la capacidad de revertir cualquier daño potencial y el ransomware pierde su efectividad.
Los servicios en la nube ofrecen una sincronización constante y transparente de los archivos de tu empresa, incluso mientras tus empleados están trabajando en ellos. Dropbox, por ejemplo, ofrece la función de mantener un historial de versiones de los archivos de todos los que están almacenados en una de sus cuentas. Esta función puede utilizarse para recuperar cualquier archivo que haya sido cifrado por culpa del ransomware y devolverlo a un estado previo.
WannCrypt refleja la importante evolución que se está desarrollando en el ransomware. Como ocurre con cualquier otra actividad criminal, los ataques empiezan a ser cada vez más sofisticados y, en consecuencia, resulta más difícil recuperarse de ellos. Por eso, las empresas deben empezar a dar los pasos adecuados para protegerse de esta amenaza que se encuentra en evolución constante.