El ransomware es una forma de carga útil maliciosa que describe perfectamente la intención maliciosa de actores amenazantes que buscan extorsionar a la víctima para que pague luego de asumir exitosamente el control de los datos o los sistemas de la víctima. Se suelen solicitar criptomonedas para el pago del rescate.
El atacante puede utilizar varios vectores de ataque, y no cumplir con la demanda de pago puede tener consecuencias, incluidas las siguientes amenazas:
En general, los actores maliciosos tratarán de obtener pagos porque sus acciones pueden poner en peligro los sistemas informáticos y afectar negativamente las operaciones normales de sus víctimas. Aunque el malware es uno de los métodos principales de ataque, se han producido varios incidentes de ransomware sin el uso de malware; por ejemplo, los incidentes de ransomware con extorsión cibernética que amenazan con un ataque de denegación de servicio (DoS) o una alteración del sitio web. También ha surgido el ransomware como servicio (ransomware as a service, RWaaS), donde los actores maliciosos crean un modelo de negocios para lanzar un ataque dirigido contra una persona o empresa como servicio, por una tarifa determinada.
El ransomware se entrega normalmente mediante correos electrónicos de suplantación de identidad o descargas “al paso”. Los correos electrónicos de suplantación de identidad parecen legítimos y confiables, y persuaden a la víctima para que haga clic en un enlace malicioso o abra un archivo adjunto. Una descarga “al paso” es un programa que se descarga automáticamente desde Internet sin el consentimiento ni el conocimiento del usuario. Es posible que el código malicioso se ejecute después de la descarga y sin ninguna interacción del usuario. Después de que se ejecuta el código malicioso, la computadora del usuario se infecta con ransomware.
A continuación, el ransomware identifica las unidades de un sistema infectado y comienza a cifrar los archivos dentro de cada unidad. El cifrado generalmente viene con una extensión única para los archivos cifrados, como .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault o .petya. Una vez que se completa el cifrado, el ransomware crea y muestra un archivo o un conjunto de archivos que contiene información e instrucciones sobre las condiciones del ataque de ransomware. Por ejemplo, una vez que la víctima cumple las condiciones del ransomware, el actor malicioso puede proporcionar una clave criptográfica para que la víctima desbloquee archivos cifrados.
La higiene de seguridad básica y las prácticas operativas saludables pueden ayudar a las organizaciones a prevenir los incidentes de ransomware y limitar la pérdida financiera, el tiempo de inactividad y las interrupciones.
Existen varios puntos de vulnerabilidad entre los propios usuarios de una organización. Las organizaciones se beneficiarían si educaran a los usuarios individuales sobre las prácticas seguras para enviar correos electrónicos y navegar por Internet. La educación sobre el uso seguro de las plataformas de los medios sociales también es importante para que los usuarios sean conscientes de que un agente de amenazas maliciosas puede utilizar información pública sobre ellos para atacarlos u a otras personas de su organización.
Para reforzar las prácticas seguras, las organizaciones pueden implementar controles técnicos para los diversos sistemas que los atacantes utilizan para propagar el malware activado. Algunos ejemplos de controles técnicos son los siguientes:
Además de ejecutar productos de protección de punto final actualizados, las organizaciones deben disponer de sistemas de gestión de identidad y acceso (identity and access management, IAM) con un enfoque de seguridad de confianza cero. Con una autenticación y principios sólidos de privilegio mínimo aplicados, las organizaciones pueden mantener un control estricto de los sistemas críticos y los almacenes de datos confidenciales.
Junto con los controles de acceso estrictos, las organizaciones deben imponer limitaciones para las herramientas de colaboración, los recursos de uso compartido de archivos y otros sistemas a los que se accede habitualmente. Las organizaciones pueden exigir desafíos de autenticación adicionales cuando y donde sea necesario. La eliminación de los inicios de sesión anónimos, las cuentas genéricas y el uso de credenciales débiles, junto con un control estricto de las cuentas con privilegios, como las cuentas del nodo raíz y del sistema operativo administrador o de nombre ficticio (Doing Business As, DBA), son claves para mantener una estrategia de seguridad sólida.
Las organizaciones deben definir y mantener las bases de configuración de seguridad conocidas e implementar sistemas de acuerdo con las directrices de configuración de seguridad. Debido a que las cargas útiles maliciosas suelen atacar vulnerabilidades de software conocidas, es importante aplicar parches de seguridad rápidamente.
Por último, otra práctica recomendada que ayudará a una organización a recuperarse del ransomware es almacenar copias de seguridad por separado y en un sistema operativo diferente para que no se pueda acceder a ellas desde la red.
Una vez que las organizaciones descubren el ransomware, deben intentar limitar la propagación de la carga útil maliciosa de las siguientes maneras:
Para limitar el impacto de un ataque de ransomware, los planes de solución de una organización deben incluir la provisión de copias de seguridad frecuentes y seguras con procedimientos de recuperación eficaces y verificados. Antes de restaurar los sistemas, las organizaciones deben determinar con un nivel razonable de confianza cuándo y cómo se produjo el problema inicial. Sin la debida diligencia, las organizaciones víctimas pueden restaurar involuntariamente un sistema infectado y restablecerlo mientras se realiza la recuperación inicial. Teniendo esto en cuenta, puede ser necesario realizar un análisis de costos/beneficios antes de elegir si restaurar a un estado anterior pero seguro, o bien restaurar a un estado más reciente pero posiblemente infectado, para minimizar la interrupción del negocio. Debido a que se sabe que un malware determinado se dirige a los archivos y los recursos de copia de seguridad, las organizaciones también deben garantizar un control efectivo sobre ellos.