En este post vamos a recordaros qué es y cómo actúa un Ransomware. Y también a explicaros de paso algunas medidas que os ayudarán prevenir a vuestras empresas ante ataques de ciberseguridad de este peligroso malware.
Confiamos que os sirva de ayuda 😉
El Ransomware es un tipo de ataque de ciberseguridad por malware. Los casos más recientes han evolucionado de simples programas dañinos a auténticos ataques de ingeniería muy bien planificados y ejecutados.
El objetivo de este tipo de amenazas avanzadas de ciberseguridad es cifrar diferentes tipos de archivos de gran utilidad en el día a día: bases de datos, archivos de sistemas de gestión empresarial (ERP, CRM, BI…), certificados digitales, documentos de Word, libros de Excel, librerías de Windows, imágenes, vídeos, música, etc.
El cifrado empleado es imposible de ‘romperlo’ con la tecnología actual, lo que permite a los ciberdelincuentes “secuestrar” los archivos infectados, bloqueando o restringiendo el acceso a los mismos a todos los usuarios, incluidos los propietarios legítimos. Esta situación provoca que, según sea la naturaleza del archivo infectado, los usuarios no puedan, por ejemplo, utilizar su software de gestión empresarial (para facturar, contabilizar, gestionar nóminas, etc.), acceder a sus correos, o trabajar con sus archivos ofimáticos (Excel, Word, PowerPoint, etc.).
La consecuencia de este tipo de ciberataques es que las empresas afectadas se ven obligadas a parar su actividad por completo (o casi). Por lo que la magnitud del problema al que se enfrentan es muy importante. Sobre todo, porque las pérdidas económicas y de otras índoles que se derivan de esa inactividad pueden afectar seriamente a su viabilidad futura.
Gracias a ello, los ciberdelincuentes adquieren poder para chantajear a los usuarios afectados por el ransomware solicitándoles un pago a modo de rescate que elimine el “secuestro” de sus archivos. Los atacantes suelen solicitar que el pago del rescate se haga mediante bitcoins u otros sistemas de pago digitales basados en el uso de criptomonedas, ya que estos les garantizan su anonimato como receptores de la transacción.
La forma en la que los cibercriminales llevan a cabo las campañas de infección hace que las probabilidades de sufrir este tipo de ataques de ciberseguridad por ransomware no sean para nada remotas. Por lo que, lamentablemente, ninguna empresa o particular está a salvo de ellos.
Los ciberdelincuentes aprovechan dos errores humanos claves:
Por lo general, los ciberdelincuentes lanzan campañas masivas y a nivel mundial. La fase inicial consiste en el envío de un email con un archivo adjunto infectado con el ransomware. Este primer envío se hace a millones de direcciones de correo electrónico. Los ciberdelincuentes saben que el impacto de esta primera acción es limitado. De hecho, sólo un pequeño porcentaje de los destinatarios será infectado por el malware. Sin embargo, será en las siguientes olas cuando la efectividad de la infección se dispare. Esto se debe a que, una vez se infecta un equipo, el ransomware actúa en dos vertientes:
El ransomware es capaz propagarse por la red local a la que está conectado el equipo infectado. ¿Cómo lo hace? Tras infectar a la primera víctima, este tipo de malware escanea la red local. Su objetivo es detectar equipos y dispositivos en red con vulnerabilidades técnicas que permitan la auto-instalación del virus. De ese modo la infección se extiende y se amplifican los daños causados.
Por otra parte, el ransomware puede también alcanzar a equipos remotos. ¿Cómo lo hace? Una vez a infectado a la primera víctima, el malware accede a su libreta de direcciones para enviar a todos sus contactos un email que contiene o enlaza con el archivo infectado. Los contactos de la primera víctima serán por tanto quienes reciban la segunda oleada de emails infectados. Estos ven que en el remite del correo recibido aparece el nombre de una persona o empresa que le es conocido. Y, en consecuencia, muchos de ellos ‘bajarán la guardia’ y caerán en la trampa de descargar y abrir el archivo adjunto infectado. Este hecho, a su vez, iniciará una nueva oleada de ataques que tendrá el mismo modus operandi. De ese modo, el ransomware se propagará exponencialmente cada vez que infecte a nuevos usuarios.
La primera de todas las acciones preventivas debe enfocarse al eslabón más débil de la cadena de seguridad: los usuarios. Consecuentes con esta máxima, es necesario adoptar medidas formativas y de concienciación para que los usuarios actúen siempre con la mayor lógica y seguridad posibles. Aunque se considere una medida obvia, es importante incidir a los usuarios en la necesidad e importancia de estar siempre vigilantes ante la llegada de posibles correos fraudulentos. Y, cuando se dé el caso (que se dará), no abrir nunca archivos inesperados o de remitentes desconocidos, por muy atractivo o curioso que sea el asunto, el mensaje o el nombre del archivo recibido. Recordar siempre ese dicho que reza: “la curiosidad mató al gato”
Adicionalmente a este tipo de actuaciones centradas en reforzar el comportamiento de los usuarios, están las medidas técnicas. Este tipo de acciones ayudan mucho a la hora de planificar cómo prevenir a las organizaciones ante ataques de ciberseguridad por Ransomware. Aunque las medidas técnicas son variadas, las más recomendables pasan por:
En relación con este último punto, la razón por la que en la actualidad es importante contar con una solución de ciberseguridad adaptativa e inteligente es porque muchos de los ciberataques que se dan en la actualidad utilizan lo último en técnicas de malware o variantes de malwares conocidos. Las soluciones tradicionales basadas en firmas son muy eficaces y precisas a la hora de descubrir el malware conocido. Pero sin embargo su fiabilidad baja a la hora de reconocer amenazas no conocidas basadas en variaciones o evoluciones del malware tradicional. De hecho, cada vez es más común que los ataques de ciberseguridad por ransomware utilicen técnicas Living-off-the-Land que ya no hacen uso de malware. Así que las soluciones de antimalware tradicionales basadas en firmas no pueden detectar este tipo de nuevas amenazas.
En VALORTIC_ podemos asesorarte sobre cómo prevenir a tu organización de ataques de ciberseguridad por Ransomware. Estamos especializados en ciencia de datos y tecnologías para el desarrollo de tus capacidades directivas y de tu negocio. Y una de nuestras especialidades es precisamente el aseguramiento de los DATOS empresariales.
De modo que nos gustaría acompañarte y asesorarte en el proceso de implantar tu estrategia y solución de Ciberseguridad avanzada adaptativa e inteligente. Para lograrlo, contamos con un experimentado equipo de analistas y consultores certificados, entre otras soluciones, en soluciones de ciberseguridad avanzada adaptativa e inteligente. Ellos serán los encargados de analizar tus requerimientos y necesidades, y te ayudarán a implementar modelos de seguridad basados en lógica contextual generada gracias técnicas de machine learning. Gracias a ello es posible revelar patrones de comportamiento malicioso y generar acciones de ciberdefensa avanzada contra amenazas conocidas y desconocidas. Y en consiguiente incrementar el éxito a la hora de evitar los ciberataques.
Llámanos al 948 81 53 25 o escríbenos a info@valortic.es y solicítanos una demo.