What Is Ransomware?

¿Cómo funciona el ransomware?

Ransomware uses asymmetric encryption. Se trata de una criptografía que utiliza un par de claves para cifrar y descifrar un archivo. El agresor genera el par de claves pública-privada para la víctima, y la clave privada para descifrar los archivos se almacena en el servidor del atacante. El ciberdelincuente solo pone la clave privada a disposición de la víctima una vez pagado el rescate, aunque, como se ha visto en recientes campañas de ransomware, no siempre es así. Sin acceso a la clave privada, es casi imposible descifrar los archivos por los que se pide un rescate.

Existen muchas variantes de ransomware. A menudo, el ransomware (y otros tipos de malware) se distribuye mediante campañas de spam por correo electrónico o a través de ataques selectivos. El malware necesita un vector de ataque para establecer su presencia en un endpoint. Una vez establecida su presencia, el malware permanece en el sistema hasta que cumple su cometido.

Tras un ataque exitoso, el ransomware lanza y ejecuta un binario malicioso en el sistema infectado. A continuación, este binario busca y cifra archivos valiosos, como documentos de Microsoft Word, imágenes, bases de datos, etc. El ransomware también puede aprovechar las vulnerabilidades del sistema y de la red para propagarse a otros sistemas y, posiblemente, a organizaciones enteras.

Una vez cifrados los archivos, el ransomware solicita al usuario el pago de un rescate en un plazo de 24 a 48 horas para descifrarlos, o se perderán para siempre. Si no se dispone de una copia de seguridad de los datos, o si se ha cifrado, la víctima se ve obligada a pagar el rescate para recuperar sus archivos personales.

¿Por qué se extiende el ransomware?

Los ataques de ransomware y sus variantes evolucionan rápidamente para contrarrestar las tecnologías preventivas por varias razones:

• Fácil disponibilidad de kits de malware que pueden utilizarse para crear nuevas muestras de malware bajo demanda.
• Uso de buenos intérpretes genéricos conocidos para crear ransomware multiplataforma (por ejemplo, Ransom32 utiliza Node.js con una carga útil de JavaScript).
• Uso de nuevas técnicas, como el cifrado de todo el disco en lugar de archivos seleccionados.

Los ladrones de hoy en día ni siquiera tienen que ser expertos en tecnología. En Internet han surgido mercados de ransomware, que ofrecen cepas de malware a cualquier ciberdelincuente en potencia y generan beneficios adicionales para los autores del malware, que a menudo piden una parte de lo recaudado por el rescate.

¿Por qué es tan difícil encontrar a los autores del ransomware?

El uso de criptomonedas anónimas para el pago, como el bitcoin, dificulta seguir el rastro del dinero y localizar a los delincuentes. Cada vez más, los grupos de ciberdelincuentes idean planes de ransomware para obtener un beneficio rápido. La fácil disponibilidad de código fuente abierto y plataformas de tipo de arrastrar y soltar para desarrollar ransomware ha acelerado la creación de nuevas variantes de ransomware y ayuda a los principiantes a crear su propio ransomware. Normalmente, los programas maliciosos de última generación como el ransomware son polimórficos por diseño, lo que permite a los ciberdelincuentes eludir fácilmente la seguridad tradicional basada en firmas y en el hash de los archivos.

¿Qué es el ransomware como servicio (RaaS)?

El ransomware como servicio es un modelo económico de ciberdelincuencia que permite a los desarrolladores de malware ganar dinero por sus creaciones sin necesidad de distribuir sus amenazas. Los delincuentes no técnicos compran sus productos y lanzan las infecciones, mientras pagan a los desarrolladores un porcentaje de sus ganancias. Los desarrolladores corren relativamente pocos riesgos, y sus clientes hacen la mayor parte del trabajo. Algunos casos de ransomware como servicio utilizan suscripciones, mientras que otros requieren registrarse para acceder al ransomware.

Cómo defender de los ataques de ransomware

Para evitar caer en la trampa y mejorar su seguridad en Internet, siga estas recomendaciones:

• Cree una copia de seguridad de sus datos. La mejor manera de evitar la amenaza de que le bloqueen sus archivos críticos es asegurarse de que siempre tiene copias de seguridad de ellos, preferiblemente en la nube y en un disco duro externo. De esta forma, si sufre una infección por ransomware, podrá borrar su ordenador o dispositivo y reinstalar sus archivos desde la copia de seguridad. Así protegerá sus datos y no caerá en la tentación de recompensar a los autores del malware pagando un rescate. Las copias de seguridad no evitarán el ransomware, pero pueden mitigar los riesgos.
• Proteja sus copias de seguridad. Asegúrese de que los datos de sus copias de seguridad no son accesibles para su modificación o eliminación desde los sistemas donde residen los datos. El ransomware buscará las copias de seguridad de los datos y las cifrará o borrará para que no puedan recuperarse, así que utilice sistemas de copia de seguridad que no permitan el acceso directo a los archivos de copia de seguridad.
• Utilice software de seguridad y manténgalo actualizado. Asegúrese de que todos tus ordenadores y dispositivos están protegidos con un software de seguridad completo y manténgalo actualizado. Asegúrese de actualizar el software de sus dispositivos pronto y con frecuencia, ya que los parches para los fallos suelen incluirse en cada actualización.
• Navegue con seguridad. Tenga cuidado con dónde hace clic. No responda a mensajes de correo electrónico ni a mensajes de texto de personas que no conozca, y descargue solo aplicaciones de fuentes fiables. Esto es importante, ya que los autores de programas maliciosos suelen utilizar la ingeniería social para intentar que instale archivos peligrosos.
• Utilice solo redes seguras. Evite utilizar redes Wi-Fi públicas, ya que muchas de ellas no son seguras y los ciberdelincuentes pueden espiar su uso de Internet. En su lugar, considere la posibilidad de instalar una VPN, que lee proporciona una conexión segura a Internet vaya donde vaya.
• Manténgase informado. Manténgase al día de las últimas amenazas de ransomware para saber a qué atenerse. En caso de infección por ransomware y de que carezca de copia de seguridad de todos sus archivos, debe saber que las empresas tecnológicas ponen a disposición de las víctimas algunas herramientas de descifrado.
• Implemente un programa sobre sensibilización en materia de seguridad. Imparta formación periódica de sensibilización sobre seguridad a todos los miembros de su organización para que puedan evitar el phishing y otros ataques de ingeniería social. Realice simulacros y pruebas con regularidad para asegurarse de que se respeta la formación.

Datos clave de la respuesta a incidentes de ransomware

Nuestros expertos en respuesta a incidentes de primera línea suelen observar las siguientes tendencias cuando investigan y solucionan casos de ransomware.

Tiempo medio de permanencia de los ataques de ransomware (en días)

El tiempo medio de permanencia de los ataques de ransomware es de 72,75 días, en comparación con todas las amenazas, que son 56 días (incluido el ransomware).

Días de la semana más utilizados para el despliegue de ransomware

Days of the week highlighted above represent when deployment and execution of the ransomware attack begins, not when the attacker gains initial access.

Minimice el riesgo y reduzca el tiempo de permanencia del ransomware

Focus on attacker behavior to reduce the average dwell time of a strategic ransomware actor
from 72 days to only 24 hours or less.

9 pasos para responder a un ataque de ransomware

If you suspect you’ve been hit with a ransomware attack, it’s important to act quickly. Afortunadamente, hay varias medidas que puede tomar para tener la mejor oportunidad posible de minimizar los daños y volver rápidamente a la normalidad.

1. Aísle el dispositivo infectado: El ransomware que afecta a un dispositivo es un inconveniente moderado. Pero cuando el ransomware infecta a todos los dispositivos de su empresa es una catástrofe mayor, y podría dejarle fuera del negocio para siempre. La diferencia entre ambos casos suele reducirse al tiempo de reacción. Para garantizar la seguridad de su red, unidades compartidas y otros dispositivos, es esencial que desconecte el dispositivo afectado de la red, Internet y otros dispositivos lo antes posible. Cuanto antes lo haga, menos probabilidades habrá de que se infecten otros dispositivos.
2. Detenga la propagación:  como el ransomware se mueve con rapidez —y el dispositivo con infectado no es necesariamente el paciente cero—, el aislamiento inmediato del dispositivo infectado no garantizará que ransomware ha llegado a otros lugares de la red. Para limitar eficazmente su alcance, tendrá que desconectar de la red todos los dispositivos que se comporten de forma sospechosa, incluidos los que funcionen fuera de las instalaciones: si están conectados a la red, representan un riesgo independientemente de dónde se encuentren. Apagar la conectividad inalámbrica (Wi-Fi, Bluetooth, etc.) en este punto también es una buena idea.
3. Evalúe los daños:  para determinar qué dispositivos han sido infectados, compruebe si hay archivos cifrados recientemente con nombres de extensión de archivo extraños, y busque denuncias de nombres de archivo extraños o usuarios con problemas para abrir archivos. Si descubre algún dispositivo que no se haya cifrado por completo, debe aislarlo y apagarlo para ayudar a contener el ataque y evitar más daños y pérdidas de datos. su objetivo es crear una lista exhaustiva de todos los sistemas afectados, incluidos los dispositivos de almacenamiento en red, almacenamiento en la nube, almacenamiento en discos duros externos (incluidas las memorias USB), los ordenadores portátiles, los smartphones y cualquier otro vector posible. Llegados a este punto, es prudente bloquear los recursos compartidos. Todos ellos deben estar restringidos si es posible; si no, restrinja tantos como pueda. Esto detendrá cualquier proceso de cifrado en curso y evitará que se infecten más recursos compartidos mientras se lleva a cabo la reparación. Pero antes de hacer eso, querrá examinar los recursos compartidos cifrados. Esto le permitirá obtener información muy útil: Si un dispositivo tiene un número de archivos abiertos mucho mayor de lo habitual, puede que acabe de encontrar a tu paciente cero. Si no...
4. Localice al paciente cero: rastrear la infección resulta considerablemente más fácil una vez que se ha identificado el origen. Para ello, compruebe si hay alertas procedentes de tu antivirus/antimalware, solución EDR o cualquier plataforma de supervisión activa. Y como la mayoría del ransomware entra en las redes a través de enlaces y adjuntos maliciosos de correo electrónico, que requieren que el usuario final actúe, pregunte a la gente sobre sus actividades (como si han abierto mensajes de correo electrónico sospechosos) y si han observado algo también puede ser útil. Por último, echar un vistazo a las propiedades de los propios archivos también puede proporcionar una pista: la persona que aparece como propietaria es probablemente el punto de entrada. (No obstante, ten en cuenta que puede haber más de un paciente cero).
5. Identifique el ransomware: Antes de seguir adelante, es importante descubrir con qué variante de ransomware estás tratando. Una forma es visitar No More Ransom, una iniciativa mundial de la que forma parte Trellix. El sitio cuenta con un conjunto de herramientas para ayudarte a liberar tus datos, incluida la herramienta Crypto Sheriff: solo tienes que subir uno de tus archivos encriptados y lo escaneará para encontrar una coincidencia. También puede utilizar la información incluida en la nota de rescate: si no especifica directamente la variante de ransomware, puede ser útil utilizar un motor de búsqueda para consultar la dirección de correo electrónico o la propia nota. Una vez que haya identificado el ransomware y haya investigado un poco sobre su comportamiento, debe alertar a todos los empleados no afectados lo antes posible para que sepan cómo detectar las señales de que han sido infectados.
6. Denuncie el ataque de ransomware a las autoridades: tan pronto como se contenga el ransomware, póngase en contacto con las fuerzas de seguridad, por varias razones. En primer lugar, el ransomware es ilegal y, como cualquier otro delito, debe denunciarse a las autoridades competentes. En segundo lugar, según el FBI, "las fuerzas del orden pueden utilizar autoridades y herramientas legales que no están al alcance de la mayoría de las organizaciones". Se pueden aprovechar las asociaciones con las fuerzas de seguridad internacionales para ayudar a encontrar los datos robados o cifrados y llevar a los autores ante la justicia. Por último, el ataque puede tener implicaciones de conformidad: según los términos del Reglamento general de protección de datos (RGPD) de la UE, si no notifica a las autoridades dentro de las 72 horas de una violación que involucre datos de ciudadanos de la UE, su empresa podría incurrir en fuertes multas.
7. Evalúe sus copias de seguridad:  ahora es el momento de iniciar el proceso de respuesta. La forma más rápida y sencilla de hacerlo es restaurar sus sistemas a partir de una copia de seguridad. En el mejor de los casos, dispondrá de una copia de seguridad completa y no infectada creada hace poco tiempo. Si es así, el siguiente paso es emplear una solución antivirus/antimalware para asegurarse de que todos los sistemas y dispositivos infectados están limpios de ransomware; de lo contrario, continuará bloqueando su sistema y cifrando sus archivos, dañando potencialmente su copia de seguridad. Una vez que se hayan eliminado todos los rastros de malware, podrá restaurar sus sistemas a partir de esta copia de seguridad y, cuando haya confirmado que se han restaurado todos los datos y que todas las aplicaciones y procesos vuelven a funcionar con normalidad, volver a la normalidad. Desgraciadamente, muchas organizaciones no se dan cuenta de la importancia de crear y mantener copias de seguridad hasta que las necesitan y no las tienen. El ransomware actual es cada vez más sofisticado y resistente, por tanto, algunos de los que crean copias de seguridad pronto descubren que el ransomware también las ha dañado o cifrado, haciéndolas completamente inútiles.
8. Research your decryption options: If you find yourself without a viable backup, there’s still a chance you can get your data back. A growing number of free decryption keys can be found at No More Ransom. Si hay una disponible para la variante de ransomware con la que está tratando (y suponiendo que ya haya borrado todo rastro de malware de tu sistema), podrá utilizar la clave de descifrado para desbloquear tus datos. Sin embargo, incluso si tienes la suerte de encontrar un descifrador, la cosa no termina ahí: todavía puede sufrir horas o días de inactividad mientras trabaja en la reparación.
9. Move on: Unfortunately, if you have no viable backups and cannot locate a decryption key, your only option may be to cut your losses and start from scratch. Reconstruir no será un proceso rápido ni barato, pero una vez agotadas las demás opciones, es lo mejor que puede hacer.

¿Por qué no pagar el rescate?

Ante la posibilidad de semanas o meses de recuperación, puede resultar tentador ceder a la petición de rescate. Pero hay varias razones por las que es una mala idea:

• puede que nunca consiga una clave de descifrado. Cuando paga un rescate, se supone que obtiene una clave de descifrado a cambio. Pero cuando realiza una transacción de ransomware, está dependiendo de la integridad de los delincuentes. Muchas personas y organizaciones han pagado el rescate y no han recibido nada a cambio: se han quedado sin decenas, cientos o miles de dólares, y aún tienen que reconstruir sus sistemas desde cero.
• Podría recibir repetidas peticiones de rescate. Una vez que paga el rescate, los ciberdelincuente que desplegaron el ransomware saben que está a su merced. Puede que le den una clave que funcione si está dispuesto a pagar un poco (o mucho) más.
• Puede que reciba una clave de descifrado que funcione, más o menos. Los creadores del ransomware no se dedican a recuperar archivos, sino a ganar dinero. En otras palabras, el descifrador que reciba puede ser lo suficientemente bueno para que los delincuentes digan que han cumplido su parte del trato. Además, no es inaudito que el propio proceso de cifrado corrompa algunos archivos hasta hacerlos irreparables. Si esto ocurre, incluso una buena clave de descifrado será incapaz de desbloquear sus archivos: habrán desaparecido para siempre.
• Puedes estar pintándose una diana en la espalda. Cuando paga un rescate, los delincuentes saben que su empresa es una buena inversión. Una organización que tiene un historial probado de pago del rescate es un objetivo más atractivo que un objetivo nuevo que puede o no pagar. ¿Qué va a impedir que el mismo grupo de delincuentes vuelva a atacar dentro de un año o dos, o que entre en un foro y anuncie a otros ciberdelincuentes que es un blanco fácil?
• Even if everything somehow ends up fine, you’re still funding criminal activity Say you pay the ransom, receive a good decryptor key, and get everything back up and running. Esto no es más que el peor de los casos (y no solo porque haya perdido mucho dinero). Cuando paga el rescate, está financiando actividades delictivas. Dejando a un lado las obvias implicaciones morales, está reforzando la idea de que el ransomware es un modelo de negocio que funciona. (Piénselo: si nadie pagara el rescate, ¿cree que seguirían desplegando ransomware?). Fortalecidos por su éxito y sus enormes ganancias, estos delincuentes seguirán causando estragos en empresas desprevenidas y seguirán invirtiendo tiempo y dinero en desarrollar nuevas y aún más nefastas variantes de ransomware, una de las cuales podría llegar a sus dispositivos en el futuro.