¿Qué es el ransomware?

¿Cómo funciona el ransomware?

El ransomware utiliza cifrado asimétrico. Se trata de criptografía que utiliza un par de claves para cifrar y descifrar un archivo. El atacante genera de forma exclusiva el par de claves pública-privada para la víctima, y ​​la clave privada sirve para descifrar los archivos almacenados en el servidor del atacante. El atacante pone la clave privada a disposición de la víctima sólo después de pagar el rescate, aunque, como se ha visto en campañas recientes de ransomware, ese no es siempre el caso. Sin acceso a la clave privada, es casi imposible descifrar los archivos que se retienen para pedir un rescate.

Existen muchas variaciones de ransomware. A menudo, el ransomware (y otro malware) se distribuye mediante campañas de spam por correo electrónico o mediante ataques dirigidos. El malware necesita un vector de ataque para establecer su presencia en un punto final. Una vez establecida su presencia, el malware permanece en el sistema hasta que se cumple su tarea.

Después de un exploit exitoso, el ransomware cae y ejecuta un binario malicioso en el sistema infectado. Luego, este binario busca y cifra archivos valiosos, como documentos de Microsoft Word, imágenes, bases de datos, etc. El ransomware también puede explotar las vulnerabilidades del sistema y de la red para propagarse a otros sistemas y posiblemente a organizaciones enteras.

Una vez que los archivos están cifrados, el ransomware solicita al usuario que pague un rescate dentro de 24 a 48 horas para descifrar los archivos, o se perderán para siempre. Si una copia de seguridad de los datos no está disponible o esas copias de seguridad estaban cifradas, la víctima se enfrenta a pagar el rescate para recuperar archivos personales.

¿Por qué se propaga el ransomware?

Los ataques de ransomware y sus variantes están evolucionando rápidamente para contrarrestar las tecnologías preventivas por varias razones:

• Fácil disponibilidad de kits de malware que se pueden utilizar para crear nuevas muestras de malware bajo demanda.
• Uso de intérpretes genéricos buenos y conocidos para crear ransomware multiplataforma (por ejemplo, Ransom32 usa Node.js con una carga útil de JavaScript)
• Uso de nuevas técnicas, como cifrar el disco completo en lugar de archivos seleccionados.

Los ladrones de hoy ni siquiera tienen que ser expertos en tecnología. Han surgido mercados de ransomware en línea, que ofrecen cepas de malware para cualquier posible ciberdelincuente y generan ganancias adicionales para los autores del malware, quienes a menudo piden una parte de las ganancias del rescate.

¿Por qué es tan difícil encontrar a los perpetradores de ransomware?

El uso de criptomonedas anónimas para pagos, como bitcoin, dificulta seguir el rastro del dinero y localizar a los delincuentes. Cada vez más, los grupos de delitos cibernéticos están ideando esquemas de ransomware para obtener ganancias rápidas. La fácil disponibilidad de código fuente abierto y plataformas de arrastrar y soltar para desarrollar ransomware ha acelerado la creación de nuevas variantes de ransomware y ayuda a los principiantes en scripts a crear su propio ransomware. Normalmente, el malware de última generación, como el ransomware, tiene un diseño polimórfico, lo que permite a los ciberdelincuentes eludir fácilmente la seguridad tradicional basada en firmas basada en el hash de archivos.

¿Qué es el ransomware como servicio (RaaS)?

El ransomware como servicio es un modelo económico de cibercrimen que permite a los desarrolladores de malware ganar dinero con sus creaciones sin necesidad de distribuir sus amenazas. Los delincuentes sin conocimientos técnicos compran sus productos y lanzan las infecciones, mientras pagan a los desarrolladores un porcentaje de lo que obtienen. Los desarrolladores corren relativamente pocos riesgos y sus clientes hacen la mayor parte del trabajo. Algunos casos de ransomware como servicio utilizan suscripciones, mientras que otros requieren registro para obtener acceso al ransomware.

Cómo defenderse del ransomware

Para evitar el ransomware y mitigar el daño si es atacado, siga estos consejos:

• Haga una copia de seguridad de sus datos . La mejor manera de evitar la amenaza de que te bloqueen el acceso a tus archivos críticos es asegurarte de tener siempre copias de seguridad de ellos, preferiblemente en la nube y en un disco duro externo. De esta manera, si sufre una infección de ransomware, puede borrar su computadora o dispositivo y reinstalar sus archivos desde la Copia de seguridad. Esto protege sus datos y no tendrá la tentación de recompensar a los autores del malware pagando un rescate. Las copias de seguridad no evitarán el ransomware, pero pueden mitigar los riesgos.
• Asegure sus copias de seguridad. Asegúrese de que no se pueda acceder a sus datos de respaldo para modificarlos o eliminarlos desde los sistemas donde residen los datos. El ransomware buscará copias de seguridad de los datos y las cifrará o eliminará para que no puedan recuperarse, por lo que debe utilizar sistemas de Copia de seguridad que no permitan el acceso directo a los archivos de Copia de seguridad.
• Utilice software de seguridad y manténgalo actualizado. Asegúrese de que todas sus computadoras y dispositivos estén protegidos con un software de seguridad integral y mantenga todo su Software actualizado. Asegúrese de actualizar el Software de sus dispositivos con anticipación y frecuencia, ya que los parches para fallas generalmente se incluyen en cada actualización.
• Practica una navegación segura. Ten cuidado donde haces clic. No responda correos electrónicos ni mensajes de texto de personas que no conoce y descargue aplicaciones únicamente de fuentes confiables. Esto es importante ya que los autores de malware suelen utilizar la ingeniería social para intentar que usted instale archivos peligrosos.
• Utilice únicamente redes seguras. Evite el uso de redes Wi-Fi públicas, ya que muchas de ellas no son seguras y los ciberdelincuentes pueden espiar su uso de Internet. En su lugar, considere instalar una VPN, que le proporciona una conexión segura a Internet sin importar a dónde vaya.
• Mantente informado . Manténgase actualizado sobre las últimas amenazas de ransomware para saber a qué prestar atención. En el caso de que reciba una infección de ransomware y no haya realizado una Copia de seguridad de todos sus archivos, sepa que las empresas de tecnología ponen a disposición algunas herramientas de descifrado para ayudar a las víctimas.
• Implementar un programa de concientización sobre seguridad . Proporcione capacitación periódica sobre concientización sobre seguridad a todos los miembros de su organización para que puedan evitar el phishing y otros ataques de ingeniería social. Realice simulacros y pruebas periódicas para asegurarse de que se respete la capacitación.