¿Alguna vez te has preguntado de qué se trata todo el alboroto del ransomware? Has oído hablar de eso en la oficina o lo has leído en las noticias. Tal vez tengas una ventana emergente en la pantalla de tu computadora en este momento advirtiendo de una infección de ransomware. Le informaremos acerca de las diferentes formas de ransomware, cómo lo obtiene, de dónde vino, a quién apunta y qué hacer para protegerse contra él.
¿Qué es ransomware?
El malware Ransom, o ransomware, es un tipo de malware que impide que los usuarios accedan a su sistema o archivos personales y exige un pago de rescate para recuperar el acceso. Las primeras variantes del ransomware se desarrollaron a fines de la década de 1980, y el pago se enviaba por correo postal. Hoy, los autores de ransomware ordenan que el pago se envíe a través de criptomoneda o tarjeta de crédito.
¿Cómo se obtiene el ransomware?
Hay formas diferentes en que el ransomware puede infectar su computadora. Uno de los métodos más comunes es a través del spam malicioso o malspam, que es un correo electrónico no solicitado que se utiliza para entregar malware. El correo electrónico puede incluir archivos adjuntos con una trampa explosiva, como archivos PDF o Word. También podría contener enlaces a sitios web maliciosos.
Malspam usa la ingeniería social para engañar a las personas para que abran archivos adjuntos o hagan clic en los enlaces apareciendo como legítimos, ya sea que se trate de una institución de confianza o un amigo. Los ciberdelincuentes utilizan la ingeniería social en otros tipos de ataques de ransomware, como hacerse pasar por el FBI para asustar a los usuarios y pagarles una suma de dinero para desbloquear sus archivos.
Otro método de infección popular, que alcanzó su punto máximo en 2016, es la publicidad maliciosa. Malvertising, o publicidad maliciosa, es el uso de publicidad en línea para distribuir malware con poca o ninguna interacción del usuario requerida. Al navegar por la web, incluso en sitios legítimos, los usuarios pueden ser dirigidos a servidores criminales sin tener que hacer clic en un anuncio. Estos servidores catalogan los detalles sobre las computadoras de las víctimas y sus ubicaciones, y luego seleccionan el malware más adecuado para entregar. A menudo, ese malware es ransomware.
Malvertising a menudo usa un iframe infectado o un elemento de página web invisible para hacer su trabajo. El iframe redirige a una página de destino de exploit, y el código malicioso ataca al sistema desde la página de destino mediante el kit de exploit. Todo esto sucede sin el conocimiento del usuario, y es por eso que a menudo se lo conoce como drive-by-download.
Tipos de ransomware
Hay tres tipos principales de ransomware, que varían en gravedad desde levemente desalentadores hasta la crisis de los misiles cubanos. Ellos son los siguientes:
Scareware
Scareware, como resultado, no es tan aterrador. Incluye software fraudulento de seguridad y estafas de soporte técnico. Es posible que reciba un mensaje emergente que dice que se descubrió el malware y que la única manera de deshacerse de él es pagar. Si no hace nada, es probable que continúe siendo bombardeado con ventanas emergentes, pero sus archivos son esencialmente seguros.
Un programa legítimo de software de ciberseguridad no solicitaría clientes de esta manera. Si aún no tiene el software de esta compañía en su computadora, entonces no lo estarían monitoreando para detectar una infección de ransomware. Si tiene un software de seguridad, no tendrá que pagar para que se elimine la infección; ya ha pagado el software para hacer ese mismo trabajo.
Bloqueadores de pantalla
Cuando el ransomware de pantalla de bloqueo entra a su computadora, significa que está completamente fuera de su PC. Al encender su computadora, aparecerá una ventana de tamaño completo, a menudo acompañada de un sello oficial del FBI o del Departamento de Justicia de los EE. UU. Que dice que se detectó actividad ilegal en su computadora y debe pagar una multa. Sin embargo, el FBI no lo suspenderá de su computadora ni exigirá pagos por actividades ilegales. Si sospecharon que usted era pirata, pornografía infantil u otros delitos cibernéticos, recurrirían a los canales legales apropiados.
Cifrado de ransomware
Estas son de las cosas realmente desagradables. Estos son los tipos que arrebatan sus archivos y los encriptan, exigiendo el pago para descifrar y volver a entregar. La razón por la cual este tipo de ransomware es tan peligroso es porque una vez que los ciberdelincuentes se apoderan de sus archivos, ningún software de seguridad o restauración del sistema puede devolvérselos. A menos que pagues el rescate, en su mayor parte, se han ido. E incluso si paga, no hay garantía de que los ciberdelincuentes le devuelvan esos archivos.
Historia del ransomware
El primer ransomware, conocido como PC Cyborg o AIDS, se creó a fines de la década de 1980. PC Cyborg cifraría todos los archivos en el directorio C: después de 90 reinicios, y luego exigiría al usuario renovar su licencia enviando $ 189 por correo a PC Cyborg Corp. La encriptación utilizada era lo suficientemente simple como para revertir, por lo que representaba una pequeña amenaza para quienes eran expertos en informática.
Con algunas variantes apareciendo en los próximos 10 años, una verdadera amenaza de ransomware no llegaría a la escena hasta el 2004, cuando GpCode usó un encriptado RSA débil para guardar archivos personales para pedir un rescate.
En 2007, WinLock anunció el surgimiento de un nuevo tipo de ransomware que, en lugar de cifrar archivos, bloqueaba a las personas de sus escritorios. WinLock se hizo cargo de la pantalla de la víctima y mostró imágenes pornográficas. Luego, exigió el pago a través de un mensaje de texto pagado para eliminarlos.
Con el desarrollo de la familia de rescate Reveton en 2012 vino una nueva forma de ransomware: aplicación de la ley ransomware. Las víctimas quedarían fuera de su escritorio y se les mostraría una página de aspecto oficial que incluía credenciales para las agencias del orden público como el FBI y la Interpol. El ransomware alegaría que el usuario había cometido un delito, como piratería informática, descarga de archivos ilegales o incluso estar involucrado en pornografía infantil. La mayoría de las familias de ransomware de aplicación de la ley requieren una multa que debe pagar de $ 100 a $ 3,000 con una tarjeta de prepago como UKash o PaySafeCard.
Los usuarios promedio no sabían qué hacer con esto y creían que realmente estaban siendo investigados por la policía. Esta táctica de ingeniería social, que ahora se conoce como culpabilidad implícita, hace que el usuario cuestione su propia inocencia y, en lugar de ser convocado a una actividad de la que no se enorgullece, pague el rescate para que todo desaparezca.
Finalmente, en 2013, CryptoLocker reintrodujo el mundo para encriptar el ransomware, pero esta vez fue mucho más peligroso. CryptoLocker utilizó cifrado de grado militar y almacenó la clave necesaria para desbloquear archivos en un servidor remoto. Esto significaba que era prácticamente imposible para los usuarios recuperar sus datos sin pagar el rescate. Este tipo de ransomware de encriptación todavía está en uso hoy en día, ya que ha demostrado ser una herramienta increíblemente efectiva para que los ciberdelincuentes ganen dinero. Los brotes a gran escala de ransomware, como WannaCry en mayo de 2017 y Petya en junio de 2017, utilizaron encriptación de ransomware para atrapar a usuarios y empresas de todo el mundo.
Ransomware Mac
No son los únicos que quedaron fuera del juego ransomware, los autores de malware de Mac lanzaron el primer ransomware para sistemas operativos Mac en 2016. Llamado KeRanger, el ransomware infectó una aplicación llamada Transmission que, cuando se lanzó, copiaba archivos maliciosos que seguían funcionando silenciosamente en el fondo para tres días hasta que detonaron y encriptaron los archivos. Afortunadamente, el programa anti-malware integrado de Apple, XProtect, lanzó una actualización poco después de que se descubriera el ransomware que impediría que infectara los sistemas de los usuarios. Sin embargo, Mac ransomware ya no es teórico.
Ransomware móvil
No fue hasta la altura del infame CryptoLocker y otras familias similares en 2014 que el ransomware se vio a gran escala en los dispositivos móviles. El ransomware móvil normalmente muestra un mensaje de que el dispositivo se ha bloqueado debido a algún tipo de actividad ilegal. El mensaje indica que el teléfono se desbloqueará después de pagar una tarifa. El ransomware móvil a menudo se entrega a través de aplicaciones maliciosas, y requiere que inicie el teléfono en modo seguro y elimine la aplicación infectada para recuperar el acceso a su dispositivo móvil.
¿A quién se dirigen los autores de ransomware?
Cuando se introdujo el ransomware (y luego se reintrodujo), sus víctimas iniciales fueron sistemas individuales (también conocidos como personas normales). Sin embargo, los ciberdelincuentes comenzaron a desarrollar todo su potencial cuando lanzaron ransomware a las empresas. Ransomware fue tan exitoso contra las empresas, deteniendo la productividad y dando como resultado la pérdida de datos e ingresos, que sus autores dirigieron la mayoría de sus ataques hacia ellos. A fines de 2016, el 12.3 por ciento de las detecciones empresariales globales eran ransomware, mientras que solo el 1.8 por ciento de las detecciones de consumidores eran ransomware en todo el mundo. Y para 2017, el 35 por ciento de las pequeñas y medianas empresas habían experimentado un ataque de ransomware.
Geográficamente, los ataques de ransomware todavía se centran en los mercados occidentales, con el ranking de Reino Unido, Estados Unidos y Canadá como los tres países principales, respectivamente. Al igual que con otros actores de amenazas, los autores de ransomware seguirán el dinero, por lo que buscan áreas que tengan tanto una amplia adopción de PC como una riqueza relativa. A medida que los mercados emergentes de Asia y América del Sur aumenten el crecimiento económico, esperamos ver un aumento en ransomware (y otras formas de malware) allí también.
Qué hacer si estás infectado
La regla número uno si te encuentras infectado con ransomware es nunca pagar el rescate. (Esto es ahora un consejo avalado por el FBI.) Todo lo que hace es alentar a los ciberdelincuentes a lanzar ataques adicionales contra usted o contra alguien más. Sin embargo, es posible que pueda recuperar algunos archivos cifrados mediante descifradores gratuitos.
Para ser claros: no todas las familias de ransomware han creado descifradores para ellas, en muchos casos porque el ransomware está utilizando algoritmos de cifrado avanzados y sofisticados. E incluso si hay un descifrador, no siempre está claro si es para la versión correcta del malware. No desea cifrar aún más sus archivos mediante el uso de la secuencia de comandos de descifrado incorrecta. Por lo tanto, deberá prestar mucha atención al mensaje de rescate en sí, o quizás pedir el asesoramiento de un especialista en seguridad / TI antes de intentar cualquier cosa.
Otras formas de lidiar con una infección de ransomware incluyen la descarga de un producto de seguridad conocido para la corrección y la ejecución de un análisis para eliminar la amenaza. Es posible que no recuperes tus archivos, pero puedes estar seguro de que la infección se limpiará. Para el ransomware de bloqueo de pantalla, una restauración completa del sistema podría estar en orden. Si eso no funciona, puede intentar ejecutar un escaneo desde un CD de arranque o una unidad USB.
Si quieres intentar frustrar una infección de ransomware encriptada en acción, deberás mantenerte especialmente alerta. Si nota que su sistema se desacelera aparentemente sin motivo, apáguelo y desconéctelo de Internet. Si, una vez que reinicia, el malware aún está activo, no podrá enviar ni recibir instrucciones del servidor de comando y control. Eso significa que sin una clave o forma de extraer el pago, el malware puede permanecer inactivo. En ese momento, descargue e instale un producto de seguridad y ejecute un análisis completo.
Cómo protegerse del ransomware
Los expertos en seguridad están de acuerdo en que la mejor manera de protegerse del ransomware es evitar que ocurra en primer lugar.
Si bien existen métodos para tratar una infección por ransomware, en el mejor de los casos son soluciones imperfectas y, a menudo, requieren mucha más habilidad técnica que el usuario promedio de la computadora. Así que esto es lo que recomendamos que hagan las personas para evitar las consecuencias de los ataques de ransomware.
El primer paso en la prevención del ransomware es invertir en seguridad cibernética, un programa con protección en tiempo real diseñado para frustrar ataques avanzados de malware como el ransomware. También debe buscar características que protejan tanto a los programas vulnerables de las amenazas (una tecnología anti-explotación) como a bloquear el ransomware de retener archivos como rehenes (un componente anti-ransomware). Los clientes que usaban la versión premium de Malwarebytes para Windows, por ejemplo, estaban protegidos de todos los principales ataques de ransomware de 2017.
Luego, por mucho que le duela, necesita crear copias de seguridad seguras de sus datos regularmente. Nuestra recomendación es utilizar el almacenamiento en la nube que incluye cifrado de alto nivel y autenticación de múltiples factores. Sin embargo, puedes comprar USB o un disco duro externo donde puedes guardar archivos nuevos o actualizados; solo asegúrate de desconectar físicamente los dispositivos de tu computadora después de realizar una copia de seguridad, de lo contrario, también pueden infectarse con ransomware.
Luego, asegúrese de que sus sistemas y software estén actualizados. El brote de ransomware WannaCry aprovechó una vulnerabilidad en el software de Microsoft. Aunque la compañía lanzó un parche para la laguna de seguridad en marzo de 2017, mucha gente no instaló la actualización, lo que los dejó abiertos para atacar. Sabemos que es difícil estar al tanto de una lista cada vez mayor de actualizaciones de una lista cada vez mayor de software y aplicaciones que se utilizan en su vida diaria. Es por eso que recomendamos cambiar su configuración para habilitar la actualización automática.
Finalmente, mantente informado. Una de las formas más comunes en que las computadoras están infectadas con el ransomware es a través de la ingeniería social. Infórmese usted mismo (y sus empleados si es dueño de un negocio) sobre cómo detectar mensajes maliciosos, sitios web sospechosos y otras estafas. Y, sobre todo, ejercitar el sentido común. Si parece sospechoso, probablemente lo sea.
Manténgase al día con las últimas noticias de ransomware en Nettix Perú
Deja una respuesta