Análisis en profundidad

Ransomware: Guía, qué es, cómo ataca y cómo se elimina

  • Home
  • Ciber Seguridad Informatica

El ransomware es un virus informático que hace inaccesibles los archivos de los ordenadores infectados y exige el pago de un rescate para restaurarlos. Vea todo lo que necesita saber para prevenir y defenderse

Publicado el 16 Dic 2022

Ransomware
Ransomware

El ransomware es el príncipe de las ciberamenazas. Un tipo de ciberataque muy rentable para quienes lo realizan y que -en parte por ello- ha crecido mucho en los últimos años

Índice de temas

Qué es el ransomware: significado

La palabra ransomware se refiere a una clase de malware que hace inaccesibles los datos de los ordenadores infectados y exige el pago de un rescate, ransom, para restaurarlos. Técnicamente, son caballos de Troya criptográficos y tienen el único propósito de extorsionar mediante la incautación de archivos, que a través de la encriptación los hace inutilizables.

En lugar del clásico fondo, aparece un aviso que parece provenir de la policía o de otra organización de seguridad y propone una oferta.

A cambio de una contraseña capaz de desbloquear todo el contenido, exige una suma de dinero bastante elevada (normalmente menos de 1.000 dólares hasta hace unos años, pero en los últimos años han subido a millones de dólares): normalmente el rescate se pide en criptodivisas (Bitcoin, pero no sólo).

Por esta razón, el ransomware es un ataque que se revela casi inmediatamente, porque el objetivo de los ciberdelincuentes es ganar dinero. En este sentido, se diferencia de los ataques APT (Advanced Persistent Threat) más sofisticados, cuyo propósito es persistir en el sistema atacado durante el mayor tiempo posible.

Ransomware
Ransomware

¿Cómo pagar el rescate? 

Detrás de la industria del ransomware no hay simples hackers, sino verdaderas organizaciones criminales que han alcanzado un alto nivel de eficacia y organización. Así, después de cifrar todos nuestros archivos, harán aparecer una pantalla en el ordenador atacado donde se dan instrucciones detalladas para pagar el rescate. Normalmente a través de la red TOR (es decir, en la Dark Web).

Y como una buena atención al cliente es la base de cualquier negocio de éxito, algunos atacantes se han dotado de chats en tiempo real. Como pagar el rescate puede no ser fácil, los ciberdelincuentes suelen ofrecer un servicio de “atención al cliente”, con instrucciones sobre cómo realizar el pago y, a veces, con un espacio para negociar el precio a pagar.

Cómo atrapar el ransomware

Los correos electrónicos de suplantación de identidad (que nos invitan a hacer clic en un determinado enlace o a descargar un determinado archivo) siguen siendo la modalidad más extendida, ya que se aprovechan de la falta de atención y conciencia de los usuarios.

A menudo, el mensaje de correo electrónico se disfraza para que parezca enviado por alguien de confianza, por ejemplo, un compañero de trabajo (con la técnica conocida como “spoofing”). En otros casos, los ciberdelincuentes se aprovechan de las vulnerabilidades de varios programas, como Java o de diferentes sistemas operativos.

En este último caso, el software malicioso se propaga de forma autónoma sin que el usuario tenga que realizar ninguna acción.

Los vectores de infección utilizados por el ransomware son esencialmente los mismos que los utilizados por otros tipos de ataques de malware:

Correos electrónicos de phishing

El más extendido, porque desgraciadamente sigue funcionando muy bien, son los correos electrónicos de phishing: más del 75% del ransomware se transmite a través de esta técnica, que aprovecha la ingeniería social. A todos nos habrá ocurrido recibir correos electrónicos de cargadores, o con facturas falsas adjuntas.

Evidentemente, se trata de correos electrónicos de phishing, pero las estadísticas nos dicen que en el 10% de los casos estos mensajes son abiertos por los usuarios e incluso, según el informe de investigación de fugas de datos de Verizon, en aproximadamente el 2-5% de los casos también se hace clic en los archivos adjuntos o en los enlaces de los correos electrónicos, lo que permite que se infiltre el malware.

Drive – by downloading

A través de la navegación en sitios comprometidos: la llamada “drive-by downloading” (literalmente: descarga sin saberlo) desde sitios en los que se han introducido kits de explotación de vulnerabilidades en los navegadores, Java u otros, por parte de atacantes que han conseguido hackear el sitio o que han creado a propósito sitios falsos similares a otros más conocidos.

Los ciberdelincuentes comprometen e infectan (con JavaScript, HTML, exploits) los sitios visitados por las víctimas potenciales.

En este caso, el escenario cambia, ya que es la víctima la que acude al sitio infectado y no el atacante el que solicita la visita a través de un correo electrónico. Aparecen, por ejemplo, en forma de banners o botones que nos invitan a hacer clic. A continuación, se nos dirigirá a sitios maliciosos, diferentes del original, donde tendrá lugar la descarga del malware.

Memoria USB con software malicioso

Utilizando un medio extraíble, por ejemplo, una memoria USB que contenga el software malicioso. Esta técnica se denomina “baiting” y, al igual que los correos electrónicos de phishing, se aprovecha del factor humano y de la curiosidad de la gente. Básicamente, un medio de almacenamiento, como una memoria USB o un disco duro, que contiene software malicioso (que se activará en cuanto el objeto se conecte al ordenador) se deja sin vigilancia en un lugar común (entrada de la empresa, cantina, aparcamiento, etc.). Y la curiosidad humana hace que en muchos casos este cebo (anzuelo) funcione y la persona introduzca la unidad flash desconocida en su ordenador.

Dentro de otros programas que se descargan

Por ejemplo, programas gratuitos que prometen “crackear” programas caros (a menudo videojuegos) para poder utilizarlos sin pagar. Es una práctica que se ha vuelto muy peligrosa hoy en día, ya que el crack que vamos a descargar será un ejecutable (.exe) dentro del cual también podría haber una desagradable sorpresa. En los primeros meses de 2021, se informa de que las campañas de ransomware se llevan a cabo a través de versiones crackeadas (es decir, gratuitas) de conocidos programas de pago, especialmente Microsoft Office y Adobe Photoshop CC.

Ataques a través del escritorio remoto

Remote Desktop Protocol, normalmente situado en el puerto 3389. Son ataques que implican el robo de credenciales (para acceder a los servidores a través de RDP y tomar el control de los mismos. Los ordenadores y servidores con RDP activo y expuesto en la red son objeto de ataques destinados a obtener las credenciales de acceso (normalmente con ataques de fuerza bruta). Una vez conseguido el acceso al sistema, el ciberdelincuente puede realizar diversas operaciones, como el robo de credenciales y datos y, por supuesto, la inyección de ransomware.

A través de la explotación de vulnerabilidades

Citemos sólo dos casos muy famosos: el famoso WannaCry de mayo de 2017 (que utilizó una vulnerabilidad en el protocolo Windows Server Message Block versión 1.0 (SMBv1)) y el ataque de marzo de 2021 que utilizó vulnerabilidades en Microsoft Exchange Server (el software que las empresas y organizaciones de todo el mundo utilizan para gestionar los correos electrónicos y los calendarios) para distribuir ransomware después de que los servidores se vieran comprometidos.

Microsoft ha asignado a esta nueva familia de ransomware el nombre de Win32/DoejoCrypt.A. (o más simplemente, DearCry). El ataque parece haber sido iniciado por un grupo cibercriminal chino llamado Hafnium y aprovecha las vulnerabilidades de día cero de Microsoft Exchange para infiltrarse en los servidores Exchange locales de las víctimas, accediendo a los buzones de la empresa para robar su contenido e inyectar malware.

PC Cyborg: el primer ransomware de la historia

Corría el año 1989 cuando debutó el que se considera el primer ransomware de la historia. Bautizado como “PC Cyborg”, porque los pagos se dirigían a una ficticia “PC Cyborg Corporation”, el malware bloqueaba el funcionamiento de la computadora justificándolo por la supuesta “caducidad de la licencia de un software no especificado”. Exigió 189 dólares para que todo volviera a la normalidad. Fue realizado por Joseph Popp. Se propagó en un congreso sobre el sida, mediante disquetes infectados que se entregaron a los participantes: al insertar el disquete, el virus se instalaba y encriptaba los archivos.

Este ransomware tuvo una propagación extremadamente limitada, ya que pocas personas utilizaban ordenadores personales. Internet era una red solo para usuarios internos (por lo que se transmitía a través de disquetes), la tecnología de encriptación era limitada y los pagos internacionales eran mucho más engorrosos. Desde entonces, estos virus han avanzado mucho. Se volvió cada vez más sofisticados: las claves criptográficas utilizadas son cada vez más difíciles de descifrar, y el mensaje que nos avisa de que el PC está bloqueado aparece en el idioma de la víctima, gracias a técnicas comparables a la geolocalización.

PC Cyborg: el primer ransomware de la historia
PC Cyborg: el primer ransomware de la historia

Ransomware: un poco de historia y evolución de los virus ransomware

Tras el breve paréntesis de 1989, la explosión del ransomware comenzó en 2012 y no se ha detenido desde entonces: para los ciberdelincuentes, ha sido cada vez más rentable y los nuevos ransomware se han multiplicado: solo en 2016, se crearon 62 nuevas “familias” de ransomware y, de ellas, 47 (o el 75%) fueron desarrolladas por ciberdelincuentes rusos. Echemos un vistazo a la historia del ransomware más popular:

Cryptolocker: 2013. Creado por el famoso hacker ruso Evgeniy Mikhailovich Bogachev, también inventor del malware Zeus y por el que el FBI ha puesto una recompensa de 3 millones de dólares. Con varias actualizaciones, sigue golpeando hasta el día de hoy.

CryptoWall: (Principios de 2014.

-CTB-Locker: mediados de 2014. Tiene miles de variantes.

-TorrentLocker: febrero de 2014.

-Ransom32: finales de diciembre de 2015.

-TeslaCrypt: febrero de 2015. En mayo de 2016, los autores liberaron la llave maestra y cerraron el proyecto.

-Locky: febrero de 2016 (a través de macros en archivos de Word).

-CryptXXX: principios de 2016 (a través de páginas web comprometidas)

-Petya: marzo de 2016, con sus muchas variantes, incluyendo GoldenEye.

-Cerber: marzo de 2016.

-PokemonGo: agosto de 2016. En la nota de rescate, se presentaba con la entonces muy de moda imagen de -Pokemon.

-Palomitas: finales de 2016 (dilema: ¿pagar o difundir?).

-WannaCry (mayo de 2017): el más rápido en propagarse, gracias a una vulnerabilidad de Windows.

-NotPetya (junio de 2017): probablemente el que ha creado más daños en todo el mundo.

-Conejo malo (octubre de 2017)

-GandCrab, Ryuk (2018)

-LockerGoga (2019) famoso por afectar fuertemente a las plantas industriales del gigante del aluminio Norsk Hydro

-Anatova y MegaCortex (2019)

-Mazza (2019), que inauguró la “doble Extorsión”.

Tipos y ejemplos de ransomware

CryptoLocker – TorrentLocker

En 2017, dos ransomwares ocuparon muchos titulares. El primero es CryptoLocker, un troyano que apareció en 2013 y se perfeccionó en mayo del año pasado, que infecta ordenadores con Windows.

Aparece como un archivo adjunto zip que contiene un archivo ejecutable (aunque parece un word o pdf). Adoptando un método de camuflaje, se presenta como un archivo adjunto de tipo ZIP que contiene un archivo ejecutable.

Es famoso hasta el punto de que “Cryptolocker” se utiliza a menudo para definir el ransomware. Aparecido en septiembre de 2013, cifra los archivos con la extensión .encrypted, utilizando un algoritmo “fuerte” como el AES (Advanced Encryption Standard). 

Generalmente se propaga a través de un archivo adjunto de correo electrónico que parece provenir de instituciones legítimas. Parece un archivo adjunto zip que contiene un archivo ejecutable (aunque parezca un word o un pdf).

Adoptando un método de camuflaje, se presenta como un archivo adjunto de tipo ZIP que contiene un archivo ejecutable. El archivo no es visible como ‘.exe’ porque el atacante aprovecha el hecho de que los sistemas Windows no muestran las extensiones de los archivos por defecto, y un contenido creado de esta manera se muestra como ‘.pdf’, a pesar de ser un ejecutable, induciendo a los usuarios a abrirlo y ejecutarlo.

Una vez instalado, el malware comienza a cifrar los archivos del disco duro y los recursos compartidos de red asignados localmente con la clave pública y guarda cada archivo cifrado en una clave del registro.

CryptoWall

Aparece en abril de 2014. La extensión del archivo es variada, utiliza el algoritmo (de doble clave o asimétrico) RSA-2048 y exige un rescate de 500/1000 dólares (en Bitcoin).

CTB-Locker (Curve Tor Bitcoin Locker)

Ha sido uno de los más populares a partir de julio de 2014. Utiliza una extensión causal, pero de 7 caracteres, con encriptación AES y un rescate de 1-2 bitcoins, obviamente a pagar a través de la red TOR.

TeslaCrypt

Apareció en febrero de 2014, desde la versión 1.0 llegó hasta la versión 4.0. Luego, en mayo de 2016, los autores publicaron la Llave Maestra y cerraron el proyecto. Pero hasta ese momento era el de mayor volumen de negocio: en los primeros 5 meses de 2016 tuvo una prevalencia del 35% de todo el ransomware. Utilizaba el algoritmo AES con peticiones de rescate de 500/1000 dólares.

Locky

Febrero de 2016. Normalmente a través de macros en archivos de Word. Utilizaba un cifrado doble: el algoritmo RSA-2048 (de doble clave o asimétrico) y el algoritmo simétrico AES-128. Exigía un rescate de 0,5-1 Bitcoin

Petya / NotPetya

Petya/NotPetya es un ransomware del que se han creado versiones: la primera es Petya, mientras que la segunda es NotPetya. Los vemos en detalle a continuación.

Petya

La primera versión en pantalla roja data de marzo de 2016. Luego siguieron las versiones: Petya.B (pantalla verde) en mayo de 2016, Petya.C (todavía verde) en julio de 2016, y Petya.D ‘GoldenEye’ (pantalla amarilla) en diciembre de 2016. Además de encriptar los archivos, también encriptó (este es el primer caso) el Master Boot Record (MBR) del disco, haciendo imposible incluso el arranque del ordenador, con el algoritmo Salsa20. Demanda de rescate de 0,99 bitcoin. Se dirigía principalmente a usuarios corporativos, ya que se distribuía a través de correos electrónicos de spam que simulaban contener solicitudes de empleo.

NotPetya (o EternalPetya)

Explotó de forma violenta el martes 27 de junio de 2017. Aprovecha, al igual que WannaCry, la vulnerabilidad SMB de Windows y el exploit creado por la NSA (EternalBlue) para propagarse en las redes corporativas. La demanda de rescate es de 300 dólares, se propaga principalmente en Ucrania, pero Italia es el segundo país más afectado.

Se cree que es el ciberataque más destructivo de la historia y parece haberse originado en Rusia. Entre los afectados se encuentran el gigante naviero danés Moller-Maersk, que reclama daños por valor de entre 250 y 300 millones de dólares; Merck (sector farmacéutico), que sufre interrupciones en sus operaciones a nivel mundial: Reckitt Benckiser, que reclama pérdidas de ventas por valor de unos 110 millones de libras esterlinas; TNT Express (daños por valor de 300 millones de dólares); la multinacional alimentaria Mondelēz International, que vio bloqueados 1.700 servidores y 24.000 ordenadores (daños por valor de 84 millones de dólares).

Pop Corn

Apareció a finales de 2016 y tiene una característica que demuestra la evolución del “marketing” del ransomware. Básicamente, para recuperar los archivos de uno (la petición de rescate es de 1 bitcoin y hay 6 días para pagar) se “aconseja” enviar un enlace infectado a otras personas: si al menos dos pagan, “se recuperan los archivos gratis”. ¡Una verdadera incitación a cometer un delito! Los ciberdelincuentes afirman ser “estudiantes sirios” y dicen que lo hacen para comprar “alimentos y medicinas”.

WannaCry

Otro ataque que ha ocupado los titulares internacionales se llama WannaCry. El 12 de mayo de 2017, el virus se cebó con ordenadores de medio mundo, gracias a un fallo encontrado en el servidor SMB de Windows: un “agujero” conocido y también ya “tapado” por la compañía de Redmond con un supuesto parche, el número MS17-010. Por tanto, los ordenadores infectados no habían instalado la última actualización.

Muchos investigadores del sector consideraron WannaCry “un ataque de proporciones sin precedentes”. Kaspersky Lab, un nombre distinguido en el mundo de la seguridad informática, ha registrado más de 45.000 ataques en 74 países, entre ellos Rusia, China, Italia, India, Egipto y Ucrania. Pero hay quienes elevan las estimaciones a 150 países, mientras que Europol, la agencia de la Unión Europea dedicada a la lucha contra el crimen, habló de “un ataque sin precedentes que requiere una investigación internacional”.

Uno de los países más afectados, en cuanto a consecuencias, fue el Reino Unido, donde el “golpe” cibernético paralizó 25 hospitales, sumiendo al sistema sanitario británico (NHS) en una crisis.

SamSam

Apareció en 2016, con varias versiones, probablemente de Irán. Muchos atentados selectivos en Estados Unidos (Atlanta, el hospital Hancock Health, etc.), con rescates que a menudo superan los 50.000 dólares. En lugar de las técnicas de phishing, utiliza el protocolo de escritorio remoto (RDP). En la versión 3, la nota de rescate se llama SORRY-FOR-FILES.html. Ha recaudado más de 6 millones de dólares.

Conejo malo

Octubre de 2017. Disfrazado como un instalador de Adobe Flash, Bad Rabbit se propaga a través de “drive-by downloads” en sitios web comprometidos. Cifra los archivos y los discos duros.

GandCrab

Un ransomware multimillonario que apareció a principios de 2018. Aprovecha las macros de Microsoft Office, VBScript y PowerShell para evitar su detección y utiliza un modelo de ransomware como servicio (RaaS). Europol y Bitdefender encontraron el desencriptador y GanCrab fue desactivado, aunque reapareció como REvil.

Ryuk

El ransomware Ryuk fue responsable de más de un tercio de todos los ataques de ransomware en 2020, con una recaudación estimada de 150 millones de dólares. Aparecido en agosto de 2018, se atribuye al grupo de hackers de habla rusa Wizard Spider.

Se infiltra a través de correos electrónicos de phishing con archivos adjuntos que contienen macros maliciosas y utiliza malware como Trickbot, BazaLoader y Emotet como droppers. Se centra principalmente en objetivos importantes: grandes empresas, hospitales, municipios y organizaciones gubernamentales/militares, principalmente en Estados Unidos, pero también en el Reino Unido y Canadá.

Exige un rescate elevado, normalmente de millones (de 15 a 50 bitcoins). En la mayoría de los casos, estos pagos se comunicaban mediante una cuenta de ProtonMail y se solicitaban en forma de bitcoins. Dispone de un cifrado fuerte (RSA4096 y AES-256) para el que no se ha encontrado ningún descifrador.

Laberinto

Se detecta por primera vez alrededor de mayo de 2019 y ha aumentado exponencialmente su actividad a principios de 2020. Utilización de documentos de suplantación de identidad de Microsoft Word y Excel con macros.

A finales de 2020, Maze comenzó a entregar su carga útil de ransomware desde dentro de una máquina virtual (VM) como medio para evadir la detección. Esta innovadora técnica se observó por primera vez en RagnarLocker y permite al ransomware distribuirse como una máquina virtual en casi cualquier dispositivo que infecte.

En 2020, las demandas de rescate de Maze alcanzaron una media de 4,8 millones de dólares, un aumento significativo respecto a la demanda media de rescate de 847.344 dólares para todas las familias de ransomware en 2020. La comunicación directa con los actores tuvo lugar a través de un sitio web de Tor.

En noviembre de 2020, los actores de Maze anunciaron su retirada de la escena del ransomware. Sin embargo, lo más probable es que el grupo simplemente se haya dividido en grupos más pequeños, incluyendo el ransomware Egregor, que comenzó a surgir poco antes de este anuncio. Estas acciones siguen un patrón similar al del grupo de ransomware GandCrab, que anunció su retirada en mayo de 2019, sólo para volver bajo el nombre de REvil.

Maze fue el “pionero” de la doble extorsión, que posteriormente también utilizaron muchos otros ransomware como NetWalker (uno de los más activos), RagnarLocker, DoppelPaymer y Sodinokibi (alias REvil).

La doble extorsión es una técnica especialmente retorcida para obligar a la víctima a pagar el rescate, incluso si la víctima tiene una copia de seguridad utilizable. La amenaza utilizada es exponer los datos -que han sido extraídos antes del cifrado- en un sitio público o en la web oscura. Es probable que esto tenga un fuerte impacto en la empresa atacada, que se verá obligada a informar de una violación de datos, con todas las implicaciones también para el GDPR.

El primer caso conocido de doble extorsión por parte de Maze se remonta a 2019: Allied Universal, una gran empresa de seguridad estadounidense, fue atacada. Cuando las víctimas se negaron a pagar un rescate de 300 Bitcoins (unos 2,3 millones de dólares), los atacantes amenazaron con utilizar la información sensible extraída de los sistemas de Allied Universal, así como los correos electrónicos y los certificados de dominio robados para una campaña de spam que suplantara a Allied Universal.

Para probar su punto, los ciberdelincuentes de Maze publicaron una muestra de los archivos robados, incluyendo contratos, registros médicos, certificados de encriptación y más. En una publicación posterior en un foro de hacking ruso, los atacantes incluyeron un enlace a lo que, según ellos, era el 10% de la información robada y una nueva petición de rescate un 50% mayor.

Recientemente, también se han producido importantes casos de ransomware con doble extorsión en Italia. Se han visto afectados: Enel (unos 5 terabytes de datos de centrales eléctricas publicados en la Dark Web en 2019), Campari, etc.

La evolución del ransomware y las nuevas técnicas de ataque

Los ciberdelincuentes hacen investigación y desarrollo, como una empresa normal. Ante las medidas defensivas adoptadas por las empresas, éstas han evolucionado sus técnicas, elevando el nivel de los ataques.

Las nuevas tendencias que estamos viendo en los últimos años son:

– Menos ataques oportunistas. En los primeros años del ransomware (alrededor de 2013-2017, veíamos sobre todo “pesca de arrastre”: objetivos no dirigidos y rescates generalmente bajos, con una media inferior a 1.000 dólares.

-Hoy en día, estamos viendo más ataques dirigidos, en los que los ciberdelincuentes preparan el ataque con actividades de OSINT, hackeando, inspeccionando la red de la víctima para desactivar sus protecciones e identificando los puntos de acceso.

-Como resultado, la cantidad exigida por el rescate ha aumentado mucho. La media de los rescates pagados pasó de 115.123 dólares en 2019 a 312.493 dólares en 2020 (un incremento del 171% interanual). De 2015 a 2019, la mayor demanda fue de 15 millones de dólares, mientras que en 2020 alcanzó los 30 millones. (Fuente: ‘Unit 42 Ransomware Threat Report 2021’ de Palo Alto Networks). En 2021 se alcanzó el “récord” de 50 millones de dólares para la empresa ACER, uno de los mayores fabricantes de ordenadores del mundo.

-Apareció la doble extorsión

-Se utiliza la técnica de hacer que los ordenadores infectados se reinicien en el modo seguro de Windows, limitando así las funciones de seguridad.

-El ransomware se ejecuta desde una máquina virtual (VM) que se crea en todos los dispositivos que van a ser atacados

Cómo protegerse contra el ransomware: tres puntos clave

La mejor protección es la prevención

El primer paso es actualizar siempre nuestro antivirus y nuestro sistema operativo. Mejor aún es implementar sistemas avanzados de protección y detección (IDS, IPS, EDR).

Las copias de seguridad de los datos también son importantes

Es decir, copias de trabajo y recientes (no tan obvias, por desgracia) de los archivos propios. Las copias de seguridad de los datos corporativos deben ser una actividad planificada según la “seguridad por diseño” y no pueden dejarse a la “buena voluntad” de un operador.

Siempre debe incluir “redundancia”: no sólo una copia de seguridad, sino al menos tres copias según la regla básica 3-2-1. En la práctica: tres copias de cada dato que quiera conservar, incluyendo dos copias “in situ” pero en diferentes almacenamientos (HD, NAS, Cloud, etc.) y una copia “fuera del sitio” (en un sitio remoto) en Cloud, cintas, etc.

De este modo, si el ransomware infectara el sistema, una copia de los datos permanecería protegida, dándonos la oportunidad de restaurarlos si fuera necesario. Igualmente importante es la protección de la copia de seguridad, que debe estar aislada y no ser accesible por ningún usuario en red. Tenemos casos de copias de seguridad desprotegidas en las que el ransomware ha conseguido acceder a los datos y cifrarlos. En ese momento, la víctima se encuentra a merced del atacante.

Si es atacado, la buena práctica dice que nunca debe pagar el rescate

Pero contacte con una empresa de seguridad informática. Sin embargo, aquí se discute en profundidad la valoración que debe hacerse sobre si se debe pagar o no en caso de un ataque de ransowmare.

Protección contra el ransomware: lo que nunca hay que hacer

A pesar de la virulencia y la propagación del ransomware, existen sencillas reglas generales que pueden ayudarnos a evitarlo. Los enumeraremos aquí brevemente:

No abra archivos dudosos

No abra nunca los archivos adjuntos de los correos electrónicos de origen dudoso. En caso de duda, es aconsejable preguntar al remitente si el correo electrónico es auténtico.

Atención con los correos electrónicos desconocidos

-Cuidado con los correos electrónicos incluso de direcciones conocidas (pueden haber sido pirateados mediante un método de falsificación conocido como “spoofing”).

Activar la opción “Mostrar extensiones de nombres de archivos” en la configuración de Windows

Los archivos más peligrosos tienen la extensión .exe, .zip, js, jar, scr, etc. Si esta opción está desactivada, no podremos ver la extensión real del archivo y podemos ser engañados.

Desactivar la reproducción automática

Desactivar la reproducción automática (“autorun”) de memorias USB, CD/DVD y otros soportes externos y, de forma más general, evitar poner estos objetos en nuestro ordenador si no estamos seguros de su origen. Este modo de ataque se denomina “cebo”: consiste en utilizar un señuelo para que una persona pueda acceder a un sistema informático determinado (una especie de caballo de Troya).

Hoy en día, esta amenaza se ha convertido en algo real, por lo que en algunas empresas se establecen políticas muy restrictivas por las que se deshabilitan los puertos USB de los ordenadores para los usuarios. De este modo, el puerto USB puede utilizarse para conectar un ratón, cargar un smartphone, pero no podrá transmitir ni recibir datos. En otros casos -más frecuentes- no se produce este tipo de restricción (que a los usuarios les cuesta aceptar y comprender). Siempre es una buena idea formar a los usuarios en el uso cuidadoso de los medios extraíbles, haciéndoles conscientes de los riesgos que conllevan.

Desactivar la ejecución de macros por parte de los componentes de Office (Word, Excel, PowerPoint)

Los archivos adjuntos de Office armados con macros maliciosas representan una de las técnicas de ataque más extendidas en la actualidad. La activación de las macros permitirá que éstas se activen automáticamente, desencadenando el proceso de infección del ransomware.

Actualice siempre los sistemas operativos y los navegadores

En general, es una buena idea instalar siempre los “parches” de seguridad (actualizaciones) que nos ofrecen los fabricantes del software que tenemos instalado.

Utilizar, siempre que sea posible, cuentas sin derechos de administrador

Si una cuenta con privilegios y acceso de administrador es hackeada, el atacante podrá utilizar los mismos privilegios para realizar más acciones y hacer más daño. Por el contrario, un usuario no administrador tiene privilegios limitados y las mismas limitaciones se trasladarán a la mano del atacante

Antispam avanzados

Instalar servicios antispam eficaces y avanzados que implementen los protocolos SPF, DKIM y DMARC. No podrán bloquear todos los correos electrónicos de phishing, pero los mejores consiguen una eficacia superior al 95%.

Atención con RDP

Tenga cuidado al utilizar el Protocolo de Escritorio Remoto (RDP): representa un puerto expuesto en la red, que -si no se necesita- debe cerrarse. Si tenemos que utilizarlo (sobre todo en estos tiempos en los que el trabajo inteligente a distancia es tan frecuente) debemos proteger este acceso con contraseñas fuertes y, posiblemente, con una doble autenticación.

Análisis de comportamiento

Implementar soluciones de análisis del comportamiento del usuario (UBA) en la red corporativa (análisis de anomalías del tráfico web) con sistemas IDS, IPS y EDR. Estas herramientas representan la protección más avanzada contra el ransomware en la actualidad. Se sabe, de hecho, que este malware presenta una serie de comportamientos típicos (acceder/escribir carpetas del sistema, conectarse a servidores externos para descargar archivos cifrados, etc.). Por lo tanto, las UBA analizan el comportamiento de cada uno de los ordenadores de la empresa y son capaces de comprender si se producen eventos “anormales” (como un tráfico de datos superior a la media, el acceso a direcciones IP clasificadas como maliciosas, el acceso y la escritura en carpetas del sistema que no deberían utilizarse). Al detectar eventos anormales y sospechosos, pueden aislar el ordenador infractor y bloquear (al menos circunscribir) el ataque.

Habilitar el uso de la caja de arena

Estas herramientas suelen estar presentes en los sistemas UBA (mencionados en el punto anterior) y permiten analizar los archivos entrantes sospechosos en un entorno aislado (la “caja de arena”).

Plugins actualizados

Asegúrese de que los plugins que utiliza (Java, etc.) están siempre actualizados. Se sabe que estos plugins son la vía de entrada preferida para la mayoría de los ciberataques. Tenerlas siempre actualizadas reduce sus vulnerabilidades (aunque no las elimina por completo). Hay que señalar que Adobe Flash Player fue abandonado por Adobe a finales de 2020, aunque todavía se utiliza en muchos sitios “heredados”. Por lo tanto, es una buena idea mantener Flash desactivado (o incluso mejor, desinstalado) y utilizarlo sólo cuando sea realmente necesario’ y con el máximo cuidado.

Ojo con los banners

Tenga siempre cuidado antes de hacer clic en banners (o ventanas emergentes) de sitios no seguros. Como ya he explicado, el ransomware puede atacarnos no sólo a través del phishing, sino también visitando sitios que han sido “infectados”, de una manera conocida como “drive-by downloading”.

Activar un procedimiento de copia de seguridad de sus datos

Esto -como ya hemos explicado- es una medida fundamental. Si, a pesar de todo, el ransomware consigue atacarle, su única salvación es tener una copia de seguridad de sus datos en otro lugar. Y es importante que la copia de seguridad se realice con frecuencia y en su totalidad. En ausencia de una copia de seguridad, sólo queda la opción de pagar el rescate.

No se olvide del factor humano

Y por último, no olvide nunca que el eslabón más débil de la seguridad es el factor humano. Por lo tanto, es esencial formar e informar a los usuarios para que no caigan en las trampas del “phishing”, el vector más utilizado para este tipo de ataques; en la práctica, el factor humano y la concienciación de los usuarios se subestiman con demasiada frecuencia.

Qué hacer si ha sido afectado por un ransomware

En este desafortunado escenario (pero siempre puede ocurrir), hay básicamente cuatro opciones:

1-Restaurar los archivos desde una copia de seguridad (la mejor solución, la única que una empresa bien organizada debería considerar).

2-Buscar un “desencriptador” en la red para desencriptar los archivos (solo funciona en algunos casos).

3-No hacer nada y perder sus datos.

4-Pague el rescate (“Ransom”).

Veámoslos con más detalle.

Restaurar archivos desde una copia de seguridad

Esta es la mejor solución, la única que debe considerarse si hemos actuado con cuidado y nos hemos organizado con una política adecuada de copias de seguridad periódicas de nuestros datos. Obviamente, para hacer una restauración, es necesario tener una copia de seguridad que esté disponible, sea reciente y funcione.

Incluso en el peor de los casos de no tener una copia de seguridad, vale la pena hacer una investigación exhaustiva que pueda llevarnos a recuperar copias de los archivos más importantes.

Podríamos recuperarlos desde la nube (todas las nubes proporcionan “versionado” de archivos, por lo que una versión anterior, no eliminada por el ransomware, puede recuperarse.

Sin embargo, si tenemos una copia de seguridad utilizable, hay que realizar una limpieza de la máquina (o máquinas) infectadas antes de restaurar los datos.

La limpieza, para ser efectiva y segura, debe incluir un formateo completo de la(s) máquina(s) infectada(s). Sólo entonces se pueden restaurar los datos a partir de la copia de seguridad.

Busque un “desencriptador” en la red para descifrar los archivos

La gran proliferación de variedades de ransomware en los últimos años ha hecho que los principales proveedores de seguridad del mundo traten de encontrar “antídotos” para estos programas maliciosos. Y en algunos casos incluso lo han conseguido: para algunas versiones menos eficaces del ransomware se han creado (y puesto a disposición en la red) programas y herramientas capaces de recuperar los archivos cifrados.

Sin embargo, estos procedimientos no son elementales y a menudo son complejos, y rara vez tienen éxito con los ransomware más nuevos y mejor elaborados. Al fin y al cabo, los hackers también leen los mismos blogs y foros de seguridad y actualizan sus productos para hacerlos inatacables a los desencriptadores.

Por ejemplo: las primeras versiones de Petya tenían debilidades en la clave de cifrado. En versiones posteriores, los hackers cerraron este fallo.

Ransomware TeslaCrypt

El ransomware TeslaCrypt (uno de los más extendidos hasta 2016) también tenía debilidades que permitían recuperar la clave privada con algunas herramientas especiales (TeslaDecoder, TeslaCrack, etc.). Desde la versión 3.0 de TeslaCrypt se ha eliminado este fallo y el cifrado AES de 256 bits ha hecho imposible cualquier recuperación de la clave de descifrado.

Por lo tanto, esta opción tiene pocas posibilidades de éxito (prácticamente ninguna si el cifrado se realizó con algoritmos de cifrado fuertes como AES 256, Salsa20 u otros), pero aún así puede valer la pena intentarlo en la red.

¡Para ello, señalo la muy útil página web No More Ransom! Fue creado en 2016 por la Unidad Nacional de Delitos de Alta Tecnología de la policía holandesa, el Centro Europeo de Ciberdelincuencia de Europol y dos empresas de seguridad informática, Kaspersky Lab y McAfee, con el objetivo de ayudar a las víctimas de ransomware a recuperar sus datos cifrados, sin tener que pagar a los delincuentes. Buscando en el sitio, o subiendo un archivo encriptado propio, podemos encontrar (¡si existe!) el desencriptador para descifrar -de forma gratuita- los archivos.

En la búsqueda del antídoto que pueda recuperar nuestros archivos, ¡tengamos cuidado con los falsos desencriptadores!

En la red se puede encontrar de todo, incluso aquellos que explotan a los usuarios en estado de pánico por el ransomware.

Esto es lo que hicieron, por ejemplo, los creadores del troyano Zorab en 2020: ofrecieron una utilidad que parecía descifrar los archivos afectados por el ransomware STOP/Djvu, pero que en realidad los volvía a cifrar por segunda vez. A continuación, mostraría un mensaje invitando a la (doble) víctima a ponerse en contacto con los delincuentes para pagar el rescate y obtener la clave de descifrado.

Y esta estrategia parece haber tenido cierto éxito: el ransomware STOP Djvu, muy extendido en los últimos años, no se dirige a las empresas, sino a los usuarios domésticos, ya que se distribuye dentro de cracks de software y videojuegos (por lo que es uno de los vectores de infección que hemos mencionado anteriormente). Y estos usuarios menos experimentados podrían ser engañados más fácilmente por un falso descifrador ofrecido en la red.

No hacer nada y perder sus datos

Esta no es una opción emocionante y casi nunca es una opción, especialmente para una empresa. A menos que los datos encriptados sean realmente de poca importancia. Incluso si se optara por esta solución, sigo recomendando:

-Sacar el disco con los archivos comprometidos de la máquina y dejarlo a un lado: podría ocurrir que en el futuro alguien encontrara el desencriptador para desencriptar esos archivos nuestros, que podrían recuperarse. Podría llevar meses, pero podría ocurrir.

-o (por la misma razón) hacer una copia de seguridad de los archivos encriptados y luego reclamar la máquina de todos modos.

Pagar el rescate

Evidentemente, ésta es la peor solución, a la que nunca se debe llegar: si pagamos, alimentamos el crimen y lo hacemos aún más rico y fuerte. Pero incluso si paga, no tiene ninguna garantía de recuperar sus datos: recuerde siempre que hay delincuentes al otro lado.

Como he dicho antes, aunque pague, hay al menos un 20% de posibilidades de que no le den la clave de descifrado. Sin embargo, si decide pagar el rescate, los pasos a seguir suelen ser los siguientes (con pequeñas variaciones según el tipo de malware que nos haya afectado):

Leer las instrucciones que nos han enviado con la petición de rescate

Es útil entender cuál es la cantidad exigida (casi siempre en Bitcoin, una criptodivisa imposible de rastrear). Y lo más importante: cuánto tiempo disponemos para pagar antes de que nuestros archivos se pierdan definitivamente (los ciberdelincuentes suelen fijar un plazo de unas 72 horas, aunque nunca muy largo).

Comprar Bitcoins para pagar

Encontrar un sitio que “intercambie” esta moneda. Hay muchos y son públicos (es decir, no son ilegales). Es importante elegir una bolsa fiable y seria, porque hay muchas de dudosa reputación.

Abrir una cuenta en el sitio elegido

Se trata básicamente de una cuenta electrónica (cartera) donde se depositarán los Bitcoins comprados.

Navegador TOR

Debido a que el pago se solicita a través de la red TOR (una ‘darknet’ que garantiza una navegación completamente anónima), es necesario instalar un navegador TOR. Puede descargarlo directamente desde el sitio: http://www.torproject.org. Se utiliza de forma muy parecida a la de un navegador normal (deriva de Firefox).

Con TOR, hay que acceder al sitio indicado por los hackers en la petición de rescate. Los sitios de la red TOR no están indexados en Google y sólo se puede llegar a ellos si se conoce la dirección exacta, lo que es muy complejo. Este es un ejemplo de dirección TOR: 7yulv7filqlrycpqrkrl.onion.

Pagar el rescate

Esto significa transferir BTC de su cartera de Bitcoin a la cartera del hacker. Para llegar a ella, suele bastar con seguir las instrucciones del sitio. El monedero en el que realizar el pago se identifica mediante un “ID de monedero”, que consiste en una larga serie de números y letras como ésta: 19eXu88pqN30ejLxfei4S1alqbr23pP4bd. Este código rastrea el pago sólo en forma alfanumérica, lo que hace casi imposible rastrear el nombre del titular del monedero.

Después de transferir el BTC a la cuenta de los hackers, recibiremos otro código (de nuevo, una larga serie de números y letras) que representa la confirmación de la transacción.

Esperar y aguardar

En unas horas (el tiempo que tarda la transacción en ser procesada por los sistemas) deberíamos recibir un archivo con la clave privada de descifrado, o un archivo ejecutable que procederá a descifrar los archivos, en la práctica el descifrador. Para que el descifrado de los archivos sea completo, necesitamos mantener conectados todos los dispositivos y discos que estaban conectados en el momento de la infección (de lo contrario, algunos archivos podrían no ser descifrados).

Por Giorgio Sbaraglia

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Temas principales

Especificaciones

C
Ciberataques
V
virus

Nota 1 de 2