El ransomware es un tipo de malware (software malintencionado) que puede presentarse de diferentes maneras, afectando a sistemas individuales así como a redes de empresas, hospitales, aeropuertos y agencias gubernamentales.
El ransomware se está mejorando constantemente y se está volviendo cada vez más sofisticado desde la primera vez que se registró, en 1989. Mientras que los formatos simples son, por lo general, ransomware sin cifrado, los modernos utilizan métodos de cifrado para cifrar archivos, haciéndolos inaccesibles. El ransomware cifrado también se puede usar en los discos duros como una forma de bloquear completamente el sistema operativo de una computadora, evitando que la víctima acceda a él. El objetivo final es convencer a las víctimas de que paguen un rescate por descifrado, que generalmente se solicita en monedas digitales que son difíciles de rastrear (como Bitcoin u otras criptomonedas). Sin embargo, no hay garantía de que los atacantes honrarán los pagos.
La popularidad del ransomware ha aumentado significativamente en la última década (especialmente en 2017) y, como un ataque cibernético por motivos financieros, es actualmente la amenaza de malware más importante del mundo, según lo informado por Europol. (IOCTA 2018).
¿Cómo consiguen a las víctimas?
- Phishing: Una forma recurrente de ingeniería social. En el contexto del ransomware, los correos electrónicos de phishing son una de las formas más comunes de distribución de malware. Las víctimas generalmente se infectan a través de archivos adjuntos de correo electrónico comprometidos o enlaces que se disfrazan de legítimos. Dentro de una red de computadoras, una sola víctima puede ser suficiente para comprometer a toda una organización.
- Kits de exploits: Un paquete hecho de varias herramientas maliciosas y código de vulnerabilidad previamente escrito. Estos kits están diseñados para explotar problemas y vulnerabilidades en aplicaciones de software y sistemas operativos como una forma de propagar malware (los sistemas más inseguros que ejecutan software obsoleto son los objetivos más comunes).
- Malvertising: Los atacantes hacen uso de las redes de publicidad para difundir el ransomware.
¿Cómo protegerse de los ataques de ransomware?
- Utiliza fuentes externas para realizar copias de seguridad de tus archivos con regularidad, de modo que puedas restaurarlos después de eliminar una posible infección;
- Ten cuidado con los archivos adjuntos y enlaces de correo electrónico. Evita hacer clic en los anuncios y sitios web de origen desconocido;
- Instala un antivirus confiable y mantén tus aplicaciones de software y sistema operativo actualizados;
- Habilita la opción “mostrar extensiones de archivo” en la configuración de Windows para que puedas revisar fácilmente las extensiones de tus archivos. Evita las extensiones de archivo como .exe .vbs y .scr;
- Evita visitar sitios web que no estén protegidos por el protocolo HTTPS (es decir, las direcciones URL que comienzan con “https: //”). Sin embargo, ten en cuenta que muchos sitios web maliciosos están implementando el protocolo HTTPS para confundir a las víctimas y el protocolo por sí solo no garantiza que el sitio web sea legítimo o seguro.
- Visita NoMoreRansom.org, un sitio web creado por las fuerzas de seguridad y las compañías de seguridad IT que trabajan para la interrupción del ransomware. El sitio web ofrece kits de herramientas de descifrado gratuitos para usuarios infectados, así como consejos de prevención.
Ejemplos de Ransomware
GrandCrab (2018)
Visto por primera vez en enero de 2018, el ransomware produjo más de 50,000 víctimas en menos de un mes, antes de ser interrumpido por el trabajo de las autoridades rumanas junto con Bitdefender y Europol (hay disponible un kit gratuito de recuperación de datos). GrandCrab se difundió a través de correos electrónicos maliciosos y de phishing y fue el primer ransomware conocido en exigir un pago de rescate en la criptomoneda DASH. El rescate inicial varió de 300 a 1500 dólares.
WannaCry (2017)
Un ciberataque mundial que infectó más de 300,000 computadoras en 4 días. WannaCry se propagó a través de una vulnerabilidad conocida como EternalBlue y los sistemas operativos de Microsoft Windows (la mayoría de las computadoras afectadas ejecutaban Windows 7). El ataque fue detenido debido a parches de emergencia lanzados por Microsoft. Los expertos de seguridad de los Estados Unidos afirmaron que Corea del Norte fue responsable del ataque, aunque no se proporcionaron pruebas.
Bad Rabbit (2017)
Un ransomware que se difundió como una actualización de Adobe Flash falso que se descargó de sitios web comprometidos. La mayoría de las computadoras infectadas se encontraban en Rusia y la infección dependía de la instalación manual de un archivo .exe. El precio del descifrado era de aproximadamente 280 dólares estadounidenses en ese momento (0.05 BTC).
Locky (2016)
Por lo general, se distribuye por correo electrónico como una factura que requiere un pago que contenía archivos adjuntos infectados. En 2016, el Centro Médico Presbiteriano de Hollywood fue infectado por Locky y pagó un rescate de 40 BTC (17,000 dólares estadounidenses en ese entonces) para recuperar el acceso a los sistemas informáticos del hospital.