¿Qué es el ransomware?

El ransomware es un tipo de malware que cifra los archivos en un dispositivo del usuario o en los dispositivos de almacenamiento de una red. Para restaurar el acceso a los archivos cifrados, el usuario debe pagar un "rescate" a los ciberdelincuentes, normalmente a través de un método de pago electrónico difícil de rastrear como Bitcoin. Aunque los expertos en seguridad han determinado una manera de rastrear el tráfico de las transacciones en Bitcoins, identificar a qué individuo o individuos pertenece una cuenta de Bitcoin es muy difícil.

¿Cómo se distribuye el ransomware?

El ransomware se suele distribuir con ataques de spam. El mensaje de spam puede tener un documento adjunto que se hará pasar por un archivo válido o puede incluir una URL en el cuerpo del mensaje. Si se utiliza el primer método, el ransomware se activa en cuanto se abre el archivo adjunto y, en cuestión de segundos, comienza a cifrar los archivos del dispositivo. Si el vector de ataque es un enlace, al hacer clic en él, el usuario accede a una página web desde donde se descarga el ransomware en el dispositivo del usuario sin que este se percate. Los programas o sitios maliciosos suelen utilizar kits de exploits para detectar si existen vulnerabilidades de seguridad en el sistema operativo del dispositivo o aplicaciones que se pueden emplear para distribuir y activar el ransomware. Existen casos también en los que los ciberdelincuentes aprovechan exploits existentes, tal como ha sucedido en el ataque WannaCry perpetrado recientemente; este ataque aprovechó una vulnerabilidad conocida de Windows denominada EternalBlue.

Proliferación del ransomware

En los últimos años, el número de ataques de ransomware a gran escala y llevados a cabo con éxito contra organizaciones ha aumentado considerablemente. Cybersecurity Ventures prevé que el ransomware supondrá un coste de más de 5000 millones de dólares en 2017 a nivel global, 15 veces más que en 2015.1 En ese mismo periodo, las variantes de ransomware se han multiplicado por 30.2

Ransomware Stats

El impacto de un ataque de ransomware contra una organización no se limita al coste que supone el pago del rescate para desbloquear los sistemas. Las empresas deben acarrear con los costes derivados de la pérdida de datos, la reducción o la interrupción de la productividad, la investigación forense, la restauración de los datos y sistemas, la pérdida de ingresos y los efectos negativos sobre la reputación. Por ejemplo, una empresa líder global en productos de consumo y salud informó de que experimentaría una reducción de un 2 % en su previsión de crecimiento de ingresos para el trimestre debido al impacto que el ransomware reciente Petya tuvo sobre su capacidad para facturar y enviar productos a sus clientes.3

CryptoLocker fue una de las primeras familias de ransomware más extendidas y se remonta a 2013. El malware se solía distribuir oculto en un documento adjunto en un correo electrónico o se instalaba en un dispositivo previamente en riesgo. Cuando se activaba, el malware cifraba archivos de datos específicos en unidades locales o de red. La víctima tenía que pagar un rescate de 400 dólares o su equivalente en Bitcoins en un plazo determinado; de lo contrario, la clave de descifrado se eliminaría. Como era de esperar, en ocasiones, a pesar de pagar el rescate, nunca se recibía la clave de descifrado. La botnet Gameover Zeus utilizada para distribuir el ransomware fue desactivada por una operación conjunta entre organizaciones del sector, cuerpos de seguridad y entidades gubernamentales denominada Operación Tovar.

Como era de esperar, en ocasiones, a pesar de pagar el rescate, nunca se recibía la clave de descifrado.

Ataques de ransomware de gran repercusión

CryptoWall es una variante posterior de CryptoLocker que funciona del mismo modo. El ataque más grave se produjo en Australia a finales de 2014; en dicho ataque, se utilizaron correos electrónicos de phishing con enlaces maliciosos enviados aparentemente por organismos gubernamentales para distribuir el malware.4 Para evitar el bloqueo por parte de los productos de seguridad, los ciberdelincuentes incorporaron un formulario Captcha antes de descargar el malware.

Locky se detectó por primera vez a comienzos del 2016 y se solía distribuir en mensajes de correo electrónico con una factura adjunta. Una vez que se abría el archivo de Word o Excel, se le solicitaba al usuario que habilitara las macros para poder ver la factura. Al habilitar las macros, se abría un ejecutable que descargaba el ransomware en sí. Los archivos locales y de red se cifraban, cambiaban de nombre y se les añadía la extensión .locky. Para desbloquear los archivos, las víctimas tenían que visitar un sitio web para descargar un navegador que permitía acceder al sitio web de pago del ciberdelincuente. El importe solía oscilar entre medio Bitcoin y un Bitcoin. Locky fue uno de los primeros ataques de ransomware que acaparó gran atención en los medios de comunicación ya que un hospital estadounidense vio cómo se cifraban los datos de sus pacientes y tuvo que pagar para recuperar los archivos.5

WannaCry apareció en los medios en mayo de 2017 tras afectar unos 400 000 equipos de todo el mundo.6 Afectó a un gran número de organismos públicos y privados, incluido el Servicio Nacional de Salud de Reino Unido, una empresa de telecomunicaciones española y una importante entidad bancaria alemana. Afortunadamente, un experto en seguridad detectó un mecanismo de seguridad en el malware y consiguió detener el ataque en pocos días. El ataque se distribuyó a través de una vulnerabilidad de seguridad conocida en Windows (EternalBlue). Varios meses antes se había lanzado un parche de seguridad pero muchas organizaciones no lo habían instalado aún.

WannaCry apareció en los medios en mayo de 2017 tras afectar unos 400 000 equipos de todo el mundo.

NotPetya, una variante del ransomware Petya, apareció poco después de WannaCry en Ucrania, en junio de 2017. Este malware se distribuía como un archivo adjunto en PDF por correo electrónico y aprovechaba la misma vulnerabilidad que WannaCry: EternalBlue. Este ataque afectó también a organizaciones tanto públicas como privadas de todo el mundo, como una importante farmacéutica estadounidense, un bufete de abogados multinacional y la agencia de publicidad más grande de Reino Unido. A diferencia de otros ataques de ransomware, Petya infecta la tabla maestra de archivos del equipo. En lugar de tener motivaciones económicas, se cree que este ataque pretendía desestabilizar Ucrania.7

Reducción del riesgo del ransomware en su negocio

Ofrezca formación al eslabón más débil. La inmensa mayoría de ataques de ransomware requiere que alguien intervenga de algún modo para activar la carga. Es fundamental formar a los empleados sobre cómo reconocer y defenderse contra los ciberataques. Muchos ataques utilizan el correo electrónico y técnicas de ingeniería social para engañar al empleado y así descargar el malware o divulgar su nombre de usuario y contraseña. Por ello, la formación debería centrarse en estos vectores de ataque habituales. Los ejercicios en los que se envían correos electrónicos de "phishing" falsos a los empleados son muy útiles para enseñar a los usuarios a diferenciar entre un mensaje fiable de un proveedor y un correo electrónico de phishing con el asunto "Factura adjunta, consúltela".

Parches y más parches. Tal como pusieron de manifiesto los ataques recientes WannaCry y Petya, no adoptar una estrategia rigurosa para la instalación de parches que solucionen vulnerabilidades de seguridad puede poner en riesgo una empresa. Incluso meses después del uso de la vulnerabilidad EternalBlue por parte de los ataques de ransomware WannaCry y NotPetya, se calcula que al menos 38 millones de equipos siguen sin parches.8 Es relativamente sencillo para los ciberdelincuentes identificar software y dispositivos sin parches en la red de una empresa y, una vez identificados, se aprovechan de las vulnerabilidades conocidas.

Se calcula que al menos 38 millones de equipos siguen sin parches.

Realice una copia de seguridad de sus datos y haga otra copia de esta copia. Para algunos, esto puede parecer obvio, pero el ransomware puede cifrar las copias de seguridad almacenadas en servidores en red. Por ello, las empresas deben revisar la estrategia adoptada con las copias de seguridad. ¿Están realizando los empleados copias de seguridad de archivos importantes en una unidad de red? ¿Se realiza una copia de seguridad de las copias de estos dispositivos y servidores de archivos en un servicio en la nube? ¿Se verifica si las copias de seguridad se pueden restaurar? De ese modo, si el ransomware cifra todos los archivos locales y las copias de seguridad, la empresa podrá restaurarlos rápidamente con un impacto mínimo en el negocio.

Confiar en una sola capa de seguridad contra esta amenaza en constante evolución no es lo más recomendable.

Póngaselo difícil a los malos: use varias capas de defensa. Los ciberdelincuentes dedican cada vez más tiempo y dinero a desarrollar formas de malware avanzado cada vez más sofisticadas cuyo diseño les permita sortear las defensas y los sistemas de seguridad de una empresa. Confiar en una sola capa de seguridad contra esta amenaza en constante evolución no es lo más recomendable. Al usar diversas capas de seguridad, en caso de que una capa no pueda detener el ataque, contará con otras capas que podrán combatir la amenaza. ¿Qué capas de seguridad usa su empresa en la actualidad? ¿Cuenta con varias soluciones de seguridad para ayudar a mitigar el riesgo durante todas las etapas de un ataque? ¿Existe alguna brecha en su sistema de seguridad que los ciberdelincuentes puedan aprovechar?


1 http://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/
2 https://www.proofpoint.com/sites/default/files/q4_threat-summary-final-cm-16217.pdf
3 http://www.zdnet.com/article/petya-ransomware-companies-count-the-cost-of-massive-cyber-attack/
4 https://www.communications.gov.au/what-we-do/internet/stay-smart-online/alert-service/fake-auspost-phishing-emails-lead-ransomware
5 http://www.bbc.com/news/technology-35880610
6 https://blog.barkly.com/wannacry-ransomware-statistics-2017
7 https://www.theverge.com/2017/6/28/15888632/petya-goldeneye-ransomware-cyberattack-ukraine-russia
8 http://www.ibtimes.com/eternalblue-exploit-thousands-machines-still-not-patched-against-wannacry-petya-2565606
9 https://securelist.com/kaspersky-security-bulletin-2016-story-of-the-year/76757/
10FBI, June 2016, https://www.justice.gov/criminal-ccips/file/872771/download
11PhishMe Q3 2016 Review
12https://securelist.com/it-threat-evolution-q1-2017-statistics/78475/13https://blog.barkly.com/ransomware-statistics-2017