Puestos

¿Te has preguntado alguna vez qué es el ransomware o cómo puede afectarte? El objetivo del ransomware es cifrar sus archivos importantes mediante un software malicioso. A continuación, los delincuentes te exigen un pago a cambio de la clave de descifrado, retándote a demostrar que has pagado el rescate antes de que te proporcionen las instrucciones para recuperar tus archivos. Es el equivalente a pagar a un secuestrador por la liberación de su ser querido.

"Hubo 236,1 millones de asaltos de ransomware en todo el mundo en la primera mitad de 2022. Entre el segundo y el cuarto trimestre de 2021, se produjeron 133 millones de ataques de ransomware menos, lo que supone un fuerte descenso de los aproximadamente 189 millones de casos." ~Statista

El ransomware ha estado en las noticias, y probablemente has visto informes sobre ordenadores que se bloquean hasta que la gente paga por una clave para escapar. Pero ¿qué es exactamente el ransomware, cómo funciona y cómo podemos defendernos de él?

¿Qué es el trabajo del ransomware?

El ransomware suele instalarse como un archivo adjunto en correos electrónicos de spam o explotando vulnerabilidades de software en el ordenador de la víctima.

La infección puede estar oculta en un archivo que el usuario descarga de Internet o ser instalada manualmente por un atacante, a menudo a través de software empaquetado con productos comerciales.

Una vez instalado, el ransomware espera una condición desencadenante (como la conexión a Internet) antes de bloquear el sistema y exigir un rescate para su liberación. El rescate puede pagarse utilizando criptomonedas o tarjetas de crédito.

Tipos de ransomware

"A partir de 2021, el coste medio de una brecha de ransomware fue de 4,62 millones de dólares, sin incluir el rescate".~IBM

Estos son algunos tipos comunes de ataques de ransomware:

WannaCry

En 2017el ataque de ransomware conocido como WannaCry afectó a más de 150 países. Al infectar una máquina Windows, WannaCry encripta los archivos del usuario y exige un rescate en bitcoins para desbloquearlos.

Locky

Locky es una de las formas más antiguas de ransomware y fue descubierto por primera vez en febrero de 2016. El malware cifra los archivos rápidamente y se propaga a través de correos electrónicos de phishing con archivos adjuntos que parecen facturas u otros documentos comerciales.

Laberinto

Maze es un ransomware más reciente que se descubrió por primera vez en mayo de 2019. Funciona de manera similar a Locky, excepto que termina los nombres de los archivos cifrados con .maze en lugar de locky. Los correos electrónicos de spam también propagan Maze, pero infecta su computadora al abrir un archivo adjunto.

NotPetya

Según los primeros informes, NotPetya es una variación de ransomware de Petya, una cepa descubierta inicialmente en 2016. Ahora, NotPetya es un tipo de malware llamado wiper, que destruye los datos en lugar de pedir un rescate.

Scareware

El scareware es un software falso que exige un pago para solucionar los problemas que dice haber encontrado en los ordenadores, como virus u otros problemas. Mientras que algunos scareware bloquean el ordenador, otros saturan la pantalla con notificaciones emergentes sin causar ningún daño a los archivos.

Doxware

Como resultado del doxware o leakware, la gente se alarma y paga un rescate para evitar que su información confidencial se filtre en línea. Una variante es el ransomware con temática policial. Se puede pagar una multa para evitar la cárcel, y la empresa se hace pasar por las fuerzas del orden.

Petya

El ransomware Petya cifra ordenadores enteros, a diferencia de otras variantes. Petya sobrescribe el registro de arranque maestro, lo que impide el arranque del sistema operativo.

Ryuk

Ryuk infecta los ordenadores mediante la descarga de malware o el envío de correos electrónicos de phishing. Utiliza un dropper para instalar un troyano y establecer una conexión de red permanente en el ordenador de la víctima. Las APT se crean con herramientas como los keyloggers, la escalada de privilegios y el movimiento lateral, todo lo cual comienza con Ryuk. El atacante instala Ryuk en todos los sistemas a los que tiene acceso.

¿Cuál es el impacto del ransomware en las empresas?

El ransomware es una de las ciberamenazas de mayor crecimiento en la actualidad. 

Estas son algunas de las formas en que el ransomware puede afectar a su negocio:

  • El ransomware puede poner en peligro sus datos, que pueden ser costosos de recuperar o reemplazar.
  • Sus sistemas pueden sufrir daños irreparables, ya que algunos ataques de ransomware sobrescriben los archivos con caracteres aleatorios hasta dejarlos inservibles.
  • Puede sufrir tiempos de inactividad y pérdida de productividad, lo que podría suponer una pérdida de ingresos o de fidelidad de los clientes.
  • El hacker podría robar los datos de su empresa y venderlos en el mercado negro o utilizarlos contra otras empresas en futuros ataques.

¿Cómo proteger su empresa de los ataques de ransomware?

"Instale software de seguridad y manténgalo actualizado con parches de seguridad. Muchos ataques de ransomware emplean versiones anteriores para las que existen contramedidas de software de seguridad". ~Steven Weisman, profesor de la Universidad de Bentley. 

Para proteger su empresa del ransomware, puede tomar las siguientes medidas:

Segmentación de la red

La segmentación de la red es el proceso de aislar una red de otra. Aislando las redes, puede proteger su negocio y sus datos. 

Debe crear segmentos separados para la Wi-Fi pública, los dispositivos de los empleados y el tráfico de la red interna. De este modo, si se produce un ataque en un segmento, no afectará a los demás.

Copias de seguridad de AirGap

Las copias de seguridad AirGap son un tipo de copia de seguridad que está completamente desconectada y a la que no se puede acceder sin retirar físicamente el dispositivo de almacenamiento del ordenador al que está conectado. La idea es que si no hay forma de acceder a los archivos de ese dispositivo, tampoco hay forma de que un atacante pueda acceder a ellos. Un buen ejemplo de esto sería el uso de un disco duro externo que ha sido completamente desconectado de cualquier conexión a Internet u otros dispositivos con acceso a él.

Autenticación de mensajes basada en el dominio, informes y conformidad

La mayoría de las veces, el ransomware se distribuye a través de correos electrónicos. Los correos electrónicos fraudulentos vienen con enlaces de phishing que pueden iniciar la instalación de ransomware en su ordenador. Para evitarlo, DMARC actúa como primera línea de defensa contra el ransomware.

DMARC evita que los correos electrónicos de phishing lleguen a sus clientes en primer lugar. Esto ayuda a detener el ransomware distribuido a través de los correos electrónicos en la raíz de su creación. Para saber más, lea nuestra guía detallada sobre DMARC y el ransomware.

Mínimo privilegio (confianza cero para los permisos de los usuarios)

El mínimo privilegio se refiere a conceder a los usuarios sólo los permisos mínimos necesarios para sus funciones dentro de su organización. Cuando se contrata a alguien nuevo o se le reasigna una función dentro de la empresa, sólo se le conceden los permisos necesarios para su función específica, ni más ni menos que los necesarios para que haga su trabajo de forma eficiente y eficaz.

Proteja su red

Los cortafuegos son la primera línea de defensa de las redes. Supervisa el tráfico entrante y saliente de la red y bloquea las conexiones no deseadas. El cortafuegos también puede supervisar el tráfico de determinadas aplicaciones, como el correo electrónico, para garantizar su seguridad.

Formación del personal y pruebas de phishing

La formación de sus empleados sobre los ataques de phishing es esencial. Esto les ayudará a identificar los correos electrónicos de phishing antes de que se conviertan en un problema importante para la empresa. Una prueba de phishing también puede ayudar a identificar a los empleados que pueden ser más susceptibles a los ataques de phishing porque no saben cómo identificarlos correctamente.

Mantenimiento y actualizaciones

El mantenimiento regular de sus ordenadores ayudará a evitar que el malware los infecte en primer lugar. También debes actualizar todo el software con regularidad para asegurarte de que los errores se solucionan lo antes posible y de que se publican nuevas versiones de software con nuevas funciones de seguridad incorporadas.

Lectura relacionada: ¿Cómo recuperarse de un ataque de ransomware?

Conclusión

El ransomware no es un error. Es un método de ataque deliberado, con implementaciones maliciosas que van desde lo ligeramente molesto hasta lo francamente destructivo. No hay señales de que el ransomware vaya a disminuir, y su impacto es significativo y creciente. Todas las empresas y organizaciones deben estar preparadas para ello.

Debe estar al tanto de la seguridad para que usted y su empresa estén seguros. Utiliza las herramientas y guías proporcionadas por PowerDMARC si quieres mantenerte a salvo de estas vulnerabilidades.