A través de esta nota nos introduciremos en el mundo del Ransomware, que es?, cómo funciona?, cómo se propaga?, que puedo hacer para proteger mis datos?, cómo puedo prevenir las infecciones?, y mucho más.
¿Qué es el Ransomware?
El ransomware es un tipo de amenaza de malware que los diferentes actores como los ciberdelincuentes entre otros usan para infectar computadoras y cifrar archivos de computadora hasta que se pague un rescate. Después de la infección inicial, el ransomware intentará propagarse a los sistemas conectados, incluidas las unidades de almacenamiento compartido y otras computadoras accesibles.
Si no se cumplen las demandas de rescate del actor de la amenaza (es decir, si la víctima no paga el rescate), los archivos o los datos cifrados generalmente permanecerán encriptados y no estarán disponibles para la víctima. Incluso después de que se haya pagado un rescate para desbloquear archivos cifrados, los actores de la amenaza a veces exigirán pagos adicionales, eliminarán los datos de una víctima, se negarán a descifrar los datos o se negarán a proporcionar una clave de descifrado que funcione para restablecer el acceso de la víctima. No se recomienda hacer el pago por demandas de ransomware a menos que aún los datos respaldados se han visto comprometidos.
¿Cómo Funciona el Ransomware?
Ransomware identifica las unidades en un sistema infectado y comienza a cifrar los archivos dentro de cada unidad. El ransomware generalmente agrega una extensión a los archivos cifrados, como .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault o .petya, para mostrar que los archivos se han cifrado, la extensión de archivo utilizada es exclusiva del tipo ransomware.
Una vez que el ransomware ha completado el cifrado de archivos, crea y muestra un archivo o archivos que contienen instrucciones sobre cómo la víctima puede pagar el rescate. Si la víctima paga el rescate, el actor (ciberdelincuentes entre otros) de amenazas puede proporcionar una clave criptográfica que la víctima puede usar para desbloquear los archivos, haciéndolos accesibles.
¿Cómo se Entrega el Ransomware?
El ransomware se entrega comúnmente a través de correos electrónicos de suplantación de identidad (phishing) o a través de watering hole "descargas ocultas". Los correos electrónicos de suplantación de identidad (phishing) a menudo aparecen como si hubieran sido enviados desde una organización legítima o alguien conocido por la víctima e incitan al usuario a hacer clic en un enlace malicioso o abrir un malicioso adjunto archivo. Watering hole es una "descarga directa", es un programa que se descarga automáticamente de Internet sin el consentimiento del usuario o, a menudo, sin su conocimiento. Es posible que el código malicioso se ejecute después de la descarga, sin la interacción del usuario. Después de ejecutar el código malicioso, la computadora se infecta con ransomware.
¿Qué Puedo Hacer para Proteger mis Datos y Redes?
Respaldo de seguridad de tu computadora, realice copias de seguridad frecuentes de su sistema y otros archivos importantes, y verifique sus copias de seguridad con regularidad. Si su computadora se infecta con ransomware, puede restaurar su sistema a su estado anterior usando sus copias de seguridad.
Almacene sus respaldo de seguridad por separado, la mejor práctica es almacenar sus respaldos de seguridad en un dispositivo separado al que no se puede acceder desde una red, como en un disco duro externo. Una vez que se complete el respaldo de seguridad, asegúrese de desconectar el disco duro externo o el dispositivo separado de la red o la computadora.
Entrena tu organización (Security Awareness), las organizaciones deben garantizar que brinden capacitación sobre concientización sobre ciberseguridad a su personal. Idealmente, las organizaciones tendrán sesiones de capacitación de concienciación sobre ciberseguridad regulares y obligatorias para garantizar que su personal esté informado sobre las amenazas actuales de la ciberseguridad y las técnicas de los distintos actores de amenazas. Para mejorar la conciencia de la fuerza laboral, las organizaciones pueden evaluar a su personal con evaluaciones de phishing que simulan correos electrónicos de phishing del mundo real.
¿Qué Puedo Hacer para Prevenir las Infecciones por Ransomware?
Actualice y parche su computadora, asegúrese de que sus aplicaciones y sistemas operativos (SO) se hayan actualizado con los últimos parches. Las aplicaciones y sistemas operativos vulnerables son el objetivo de la mayoría de los ataques de ransomware.
Tenga cuidado con los enlaces y cuándo ingrese direcciones de sitios web, tenga cuidado al hacer clic directamente en los enlaces de los correos electrónicos, incluso si el remitente parece ser alguien que usted conoce. Intente verificar de forma independiente las direcciones de los sitios web (por ejemplo, póngase en contacto con el servicio de asistencia de su organización, busque en Internet el sitio web de la organización de remitentes o el tema mencionado en el correo electrónico). Preste atención a las direcciones de sitios web en las que hace clic, así como a las que ingresa usted mismo. Las direcciones de sitios web maliciosos a menudo parecen casi idénticas a los sitios legítimos, a menudo utilizan una ligera variación en la ortografía o un dominio diferente (por ejemplo, .com en lugar de .net).
Abra los archivos adjuntos de correo electrónico con precaución, tenga cuidado al abrir archivos adjuntos de correo electrónico, incluso de remitentes que cree que conoce, especialmente cuando los archivos adjuntos son archivos comprimidos o archivos ZIP.
Mantenga su información personal segura, verifique la seguridad de un sitio web para asegurarse de que la información que envíe esté encriptada antes de proporcionarla.
Verificar los remitentes de correo electrónico, si no está seguro de si un correo electrónico es legítimo o no, intente verificar la legitimidad del correo electrónico comunicándose directamente con el remitente. No haga clic en ningún enlace en el correo electrónico. Si es posible, use un correo electrónico anterior (legítimo) para asegurarse de que la información de contacto que tiene para el remitente es auténtica antes de contactarlos.
Infórmate, manténgase informado sobre las amenazas de ciberseguridad recientes y al día sobre las técnicas de ransomware. Puede encontrar información sobre ataques de phishing conocidos en el sitio web de Anti-Phishing Working Group.
Usar y mantener programas de software preventivos, instale software antivirus, cortafuegos y filtros de correo electrónico, y manténgalos actualizados, para reducir el tráfico malicioso de la red. (Consulte Descripción de los cortafuegos para uso doméstico y en pequeñas oficinas).
¿Cómo Respondo a una Infección Ransomware?
Aislar el sistema infectado, elimine el sistema infectado de todas las redes y desactive la conexión inalámbrica, el Bluetooth y cualquier otra capacidad de red potencial de la computadora. Asegúrese de que todas las unidades compartidas y conectadas a la red estén desconectadas, ya sean cableadas o inalámbricas.
Apague otras computadoras y dispositivos, apague y separe (es decir, elimine de la red) las computadoras infectadas. Apague y separe cualquier otra computadora o dispositivo que haya compartido una red con la (s) computadora (s) infectada (s) que no hayan sido totalmente encriptadas por el ransomware. Si es posible, recopile y proteja todas las computadoras y dispositivos infectados y potencialmente infectados en una ubicación central, asegurándose de etiquetar claramente cualquier computadora que haya sido cifrada. Apagar y segregar las computadoras infectadas y las computadoras que no han sido completamente encriptadas puede permitir la recuperación de archivos parcialmente encriptados por especialistas. (Consulte antes de conectar una nueva computadora a Internet para obtener consejos sobre cómo hacer que una computadora sea más segura antes de volver a conectarla a una red).
Asegure sus respaldos de seguridad, asegúrese de que sus datos de respaldo de seguridad estén fuera de línea y seguros. Si es posible, escanee sus datos de copia de seguridad con un programa antivirus para verificar que esté libre de malware.
¿Qué Hago si mi Computadora está Infectada con Ransomware?
Usuarios de Hogar: comuníquese de inmediato con la Policía de Investigaciones o sepan cuando denunciar en CSIRT.gob para solicitar asistencia.
Usuarios de Organizaciones: notifique inmediatamente los incidentes de ransomware a su servicio de asistencia técnica de TI o a la oficina de seguridad de su compañía.
Todos los usuarios: cambien todas las contraseñas del sistema una vez que se haya eliminado el ransomware. NOTA: En EEUU existe el centro de ciberseguridad donde se pueden enviar archivos de ransomware para su análisis.
Referencias
CISA Ransomware page
CISA Malware Analysis Submission page
CISA Mailing Lists and Feeds page
Protecting Against Malicious Code
Protecting Your Privacy
Understanding Firewalls for Home and Small Office Use
Understanding Patches and Software Updates
Using Caution with Email Attachments
Handling Destructive Malware
Choosing and Protecting Passwords
Supplementing Passwords
Anti-Phishing Working Group’s website
Carnegie Mellon Software Engineering Institute blog post: Ransomware: Best Practices for Prevention and Response
FBI article: Incidents of Ransomware on the Rise
FBI Tech Tuesday: Building a Digital Defense Against Ransomware at Home
En Inntesec seguimos evangelizando en materias de Security Awareness para convertir al usuario en un Human Firewall, nos puedes contactar a info@inntesec.com.