Puestos

¿Qué es el ransomware?

¿Te has preguntado alguna vez qué es el ransomware o cómo puede afectarte? El objetivo del ransomware es cifrar sus archivos importantes mediante un software malicioso. A continuación, los delincuentes te exigen un pago a cambio de la clave de descifrado, retándote a demostrar que has pagado el rescate antes de que te proporcionen las instrucciones para recuperar tus archivos. Es el equivalente a pagar a un secuestrador por la liberación de su ser querido.

"Hubo 236,1 millones de asaltos de ransomware en todo el mundo en la primera mitad de 2022. Entre el segundo y el cuarto trimestre de 2021, se produjeron 133 millones de ataques menos, lo que supone un fuerte descenso respecto a los aproximadamente 189 millones de casos." ~Statista

El ransomware ha estado en las noticias, y probablemente has visto informes sobre ordenadores que se bloquean hasta que la gente paga por una clave para escapar. Pero ¿qué es exactamente, cómo funciona y cómo podemos defendernos de él?

¿Cómo funciona el ransomware?

El ransomware suele instalarse como un archivo adjunto en correos electrónicos de spam o explotando vulnerabilidades de software en el ordenador de la víctima.

La infección puede estar oculta en un archivo que el usuario descarga de Internet o ser instalada manualmente por un atacante, a menudo a través de software empaquetado con productos comerciales.

Una vez instalado, espera una condición de activación (como la conexión a Internet) antes de bloquear el sistema y exigir un rescate para su liberación. El rescate puede pagarse utilizando criptomonedas o tarjetas de crédito.

Tipos de ransomware

"A partir de 2021, el coste medio de una brecha de ransomware fue de 4,62 millones de dólares, sin incluir el rescate".~IBM

Estos son algunos tipos comunes:

WannaCry

En 2017el ataque de ransomware conocido como WannaCry afectó a más de 150 países. Al infectar una máquina Windows, WannaCry encripta los archivos del usuario y exige un rescate en bitcoins para desbloquearlos.

Locky

Locky es una de las formas más antiguas de ransomware y fue descubierto por primera vez en febrero de 2016. El malware cifra los archivos rápidamente y se propaga a través de correos electrónicos de phishing con archivos adjuntos que parecen facturas u otros documentos comerciales.

Laberinto

Maze es un ransomware más reciente que se descubrió por primera vez en mayo de 2019. Funciona de manera similar a Locky, excepto que termina los nombres de los archivos cifrados con .maze en lugar de locky. Los correos electrónicos de spam también propagan Maze, pero infecta su computadora al abrir un archivo adjunto.

NotPetya

Según los primeros informes, NotPetya es una variación de ransomware de Petya, una cepa descubierta inicialmente en 2016. Ahora, NotPetya es un tipo de malware llamado wiper, que destruye los datos en lugar de pedir un rescate.

Scareware

El scareware es un software falso que exige un pago para solucionar los problemas que dice haber encontrado en los ordenadores, como virus u otros problemas. Mientras que algunos scareware bloquean el ordenador, otros saturan la pantalla con notificaciones emergentes sin causar ningún daño a los archivos.

Doxware

Como resultado del doxware o leakware, la gente se alarma y paga un rescate para evitar que su información confidencial se filtre en línea. Una variante es el ransomware con temática policial. Se puede pagar una multa para evitar la cárcel, y la empresa se hace pasar por las fuerzas del orden.

Petya

El ransomware Petya cifra ordenadores enteros, a diferencia de otras variantes. Petya sobrescribe el registro de arranque maestro, lo que impide el arranque del sistema operativo.

Ryuk

Ryuk infecta los ordenadores mediante la descarga de malware o el envío de correos electrónicos de phishing. Utiliza un dropper para instalar un troyano y establecer una conexión de red permanente en el ordenador de la víctima. Las APT se crean con herramientas como los keyloggers, la escalada de privilegios y el movimiento lateral, todo lo cual comienza con Ryuk. El atacante instala Ryuk en todos los sistemas a los que tiene acceso.

¿Cuál es el impacto del ransomware en las empresas?

El ransomware es una de las ciberamenazas de mayor crecimiento en la actualidad. 

Estas son algunas de las formas en que el ransomware puede afectar a su negocio:

  • El ransomware puede poner en peligro sus datos, que pueden ser costosos de recuperar o reemplazar.
  • Sus sistemas pueden sufrir daños irreparables, ya que algunos ataques de ransomware sobrescriben los archivos con caracteres aleatorios hasta dejarlos inservibles.
  • Puede sufrir tiempos de inactividad y pérdida de productividad, lo que podría suponer una pérdida de ingresos o de fidelidad de los clientes.
  • El hacker podría robar los datos de su empresa y venderlos en el mercado negro o utilizarlos contra otras empresas en futuros ataques.

¿Cómo proteger su empresa de los ataques de ransomware?

"Instale software de seguridad y manténgalo actualizado con parches de seguridad. Muchos ataques de ransomware emplean versiones anteriores para las que existen contramedidas de software de seguridad". ~Steven Weisman, profesor de la Universidad de Bentley. 

Para proteger su empresa del ransomware, puede tomar las siguientes medidas:

Segmentación de la red

La segmentación de la red es el proceso de aislar una red de otra. Aislando las redes, puede proteger su negocio y sus datos. 

Debe crear segmentos separados para la Wi-Fi pública, los dispositivos de los empleados y el tráfico de la red interna. De este modo, si se produce un ataque en un segmento, no afectará a los demás.

Copias de seguridad de AirGap

Las copias de seguridad AirGap son un tipo de copia de seguridad que está completamente desconectada y a la que no se puede acceder sin retirar físicamente el dispositivo de almacenamiento del ordenador al que está conectado. La idea es que si no hay forma de acceder a los archivos de ese dispositivo, tampoco hay forma de que un atacante pueda acceder a ellos. Un buen ejemplo de esto sería el uso de un disco duro externo que ha sido completamente desconectado de cualquier conexión a Internet u otros dispositivos con acceso a él.

Autenticación de mensajes basada en el dominio, informes y conformidad

La mayoría de las veces, el ransomware se distribuye a través de correos electrónicos. Los correos electrónicos fraudulentos vienen con enlaces de phishing que pueden iniciar la instalación de ransomware en su ordenador. Para evitarlo, DMARC actúa como primera línea de defensa contra el ransomware.

DMARC evita que los correos electrónicos de phishing lleguen a sus clientes en primer lugar. Esto ayuda a detener el ransomware distribuido a través de los correos electrónicos en la raíz de su creación. Para saber más, lea nuestra guía detallada sobre DMARC y el ransomware.

Mínimo privilegio (confianza cero para los permisos de los usuarios)

El mínimo privilegio se refiere a conceder a los usuarios sólo los permisos mínimos necesarios para sus funciones dentro de su organización. Cuando se contrata a alguien nuevo o se le reasigna una función dentro de la empresa, sólo se le conceden los permisos necesarios para su función específica, ni más ni menos que los necesarios para que haga su trabajo de forma eficiente y eficaz.

Proteja su red

Los cortafuegos son la primera línea de defensa de las redes. Supervisa el tráfico entrante y saliente de la red y bloquea las conexiones no deseadas. El cortafuegos también puede supervisar el tráfico de determinadas aplicaciones, como el correo electrónico, para garantizar su seguridad.

Formación del personal y pruebas de phishing

La formación de sus empleados sobre los ataques de phishing es esencial. Esto les ayudará a identificar los correos electrónicos de phishing antes de que se conviertan en un problema importante para la empresa. Una prueba de phishing también puede ayudar a identificar a los empleados que pueden ser más susceptibles a los ataques de phishing porque no saben cómo identificarlos correctamente.

Mantenimiento y actualizaciones

El mantenimiento regular de sus ordenadores ayudará a evitar que el malware los infecte en primer lugar. También debes actualizar todo el software con regularidad para asegurarte de que los errores se solucionan lo antes posible y de que se publican nuevas versiones de software con nuevas funciones de seguridad incorporadas.

Lectura relacionada: ¿Cómo recuperarse de un ataque de ransomware?

Conclusión

El ransomware no es un error. Es un método de ataque deliberado, con implementaciones maliciosas que van desde lo ligeramente molesto hasta lo francamente destructivo. No hay señales de que el ransomware vaya a disminuir, y su impacto es significativo y creciente. Todas las empresas y organizaciones deben estar preparadas para ello.

Debe estar al tanto de la seguridad para que usted y su empresa estén seguros. Utiliza las herramientas y guías proporcionadas por PowerDMARC si quieres mantenerte a salvo de estas vulnerabilidades.

/por

DMARC: la primera línea de defensa contra el ransomware

Uno de los mayores focos de atención para la seguridad del correo electrónico en el último año ha sido el DMARC y el ransomware ha surgido como uno de los ciberdelitos más dañinos económicamente de este año. ¿Qué es DMARC? Domain-Based Message Authentication, Reporting and Conformance es un protocolo de autenticación de correo electrónico utilizado por los propietarios de dominios de organizaciones grandes y pequeñas, para proteger su dominio de Business Email Compromise (BEC), suplantación directa de dominio, ataques de phishing y otras formas de fraude por correo electrónico.

DMARC le ayuda a disfrutar de múltiples beneficios a lo largo del tiempo, como un aumento considerable de la entregabilidad de su correo electrónico y de la reputación del dominio. Sin embargo, un hecho menos conocido es que DMARC también sirve como primera línea de defensa contra el ransomware. Vamos a enunciar cómo DMARC puede proteger contra el Ransomware y cómo el ransomware puede afectarle.

¿Qué es el ransomware?

El ransomware es un tipo de software malicioso(malware) que se instala en un ordenador, normalmente mediante el uso de programas maliciosos. El objetivo del código malicioso es cifrar los archivos del ordenador, tras lo cual suele exigir un pago para descifrarlos.

Una vez instalado el malware, el delincuente exige el pago de un rescate por parte de la víctima para restaurar el acceso a los datos. Permite a los ciberdelincuentes cifrar los datos sensibles de los sistemas informáticos, protegiéndolos de forma efectiva del acceso. A continuación, los ciberdelincuentes exigen a la víctima el pago de una suma de rescate para eliminar el cifrado y restablecer el acceso. Las víctimas suelen encontrarse con un mensaje que les dice que sus documentos, fotos y archivos de música han sido cifrados y que deben pagar un rescate para supuestamente "restaurar" los datos. Normalmente, piden a los usuarios que paguen en Bitcoin y les informan del tiempo que tienen que pagar para no perderlo todo.

¿Cómo funciona el ransomware?

El ransomware ha demostrado que las malas medidas de seguridad ponen a las empresas en gran riesgo. Uno de los mecanismos de distribución más eficaces del ransomware es el phishing por correo electrónico. El ransomware se distribuye a menudo a través del phishing. Una forma común de que esto ocurra es cuando un individuo recibe un correo electrónico malicioso que le convence de abrir un archivo adjunto que contiene un archivo en el que debería confiar, como una factura, que en cambio contiene malware y comienza el proceso de infección.

El correo electrónico afirmará ser algo oficial de una empresa conocida y contiene un archivo adjunto que pretende ser un software legítimo, por lo que es muy probable que clientes, socios o empleados desprevenidos que conozcan sus servicios sean presa de ellos.

Los investigadores de seguridad han llegado a la conclusión de que para que una organización se convierta en objetivo de ataques de phishing con enlaces maliciosos a descargas de malware, la elección es "oportunista". Gran parte del ransomware no tiene ninguna orientación externa sobre a quién dirigirse, y a menudo lo único que le guía es la pura oportunidad. Esto significa que cualquier organización, ya sea un pequeño negocio o una gran empresa, puede ser el próximo objetivo si tiene lagunas en la seguridad de su correo electrónico.

2021 informe reciente sobre tendencias de seguridad han hecho los siguientes descubrimientos angustiosos:

  • Desde 2018, se ha producido un aumento del 350% en los ataques de ransomware, lo que lo convierte en uno de los vectores de ataque más populares de los últimos tiempos.
  • Los expertos en ciberseguridad creen que en 2021 habrá más ataques de ransomware que nunca.
  • Más del 60% de todos los ataques de ransomware en 2020 implicaron acciones sociales, como el phishing.
  • Las nuevas variantes de ransomware han aumentado un 46% en los últimos dos años
  • Se han detectado 68.000 nuevos troyanos ransomware para móviles
  • Los investigadores de seguridad han calculado que cada 14 segundos una empresa es víctima de un ataque de ransomware

¿Protege DMARC contra el ransomware? DMARC y el ransomware

DMARC es la primera línea de defensa contra los ataques de ransomware. Dado que el ransomware suele llegar a las víctimas en forma de correos electrónicos de phishing maliciosos procedentes de dominios de empresa falsificados o suplantados, DMARC ayuda a proteger su marca de la suplantación de identidad, lo que significa que esos correos electrónicos falsos se marcarán como spam o no se entregarán cuando tenga el protocolo correctamente configurado. DMARC y el ransomware: ¿cómo ayuda DMARC?

  • DMARC autentifica sus correos electrónicos según los estándares de autenticación SPF y DKIM que ayudan a filtrar las direcciones IP maliciosas, la falsificación y la suplantación de dominios.
  • Cuando un correo electrónico de phishing curado por un atacante con un enlace malicioso para instalar un ransomware que surge de su nombre de dominio llega a un servidor de cliente/empleado, si tiene
  • DMARC implementado el correo electrónico se autentifica contra SPF y DKIM.
  • El servidor receptor intenta verificar la fuente de envío y la firma DKIM
  • El correo electrónico malicioso no superará las comprobaciones de verificación y, en última instancia, no superará la autenticación DMARC debido a la desalineación del dominio
  • Ahora, si ha implementado DMARC en un modo de política forzada (p=rechazo/cuarentena) el correo electrónico después de fallar DMARC será marcado como spam, o rechazado, anulando las posibilidades de que sus receptores sean presa del ataque de ransomware
  • Por último, evite errores SPF adicionales como demasiadas búsquedas de DNS, errores sintácticos y errores de implementación, para evitar que su protocolo de autenticación de correo electrónico sea invalidado
  • Esto, en última instancia, salvaguarda la reputación de su marca, la información sensible y los activos monetarios

El primer paso para obtener protección contra los ataques de ransomware es registrarse en DMARC analyzer hoy mismo. Le ayudamos a implantar DMARC y a pasar a la aplicación de DMARC fácilmente y en el menor tiempo posible. Comience hoy mismo su viaje de autenticación de correo electrónico con DMARC.

/por