El ransomware es malware que cifra archivos en su ordenador o red, y pide un rescate para descifrarlos. Los hackers utilizan este malware para ganar dinero mediante la extorsión digital.
El ransomware cifra los datos, por lo que no es posible acceder a ellos salvo que se disponga de la clave de descifrado, que lamentablemente, sólo puede aportar el hacker después de haber recibido el pago requerido. En muchos casos, los hackers no envían la clave de descifrado pese a haber recibido el pago.
La única forma de recuperar los datos en este caso, es disponer de una copia de seguridad.
Cuando el ransomware empieza a funcionar, realiza un análisis del almacenamiento local y en la red en busca de archivos para cifrar. Se dirige a archivos que considera importantes para su empresa o para personas. Esto incluye archivos de backup o respaldo que pudieran ayudar a recuperar la información.
Los principales tipos de archivos objeto del ransomware son:
- Microsoft Office: .xlsx, .docx y .pptx, más las versiones anteriores
- Imágenes: .jpeg, .png, .jpeg, .gif
- Imágenes relacionadas con la empresa: .dwg
- Datos: .sql y .ai
- Vídeo: .avi, .m4a, .mp4
La mayoría de ransomware ataca archivos de Microsoft Office porque, con frecuencia, almacenan información empresarial crítica, y esto aumenta la probabilidad de que se pague el rescate.
Índice
Tipos de ransomware
Hay variaciones de ransomware que se diferencian en la forma en la que cifran los datos e impiden a los usuarios obtener la clave de descifrado, como son:
- Cifrado simétrico
Hoy en día, los hackers que utilizan ransomware rara vez utilizan solo el cifrado simétrico. El cifrado simétrico por sí solo utiliza una única clave para cifrar y descifrar. A menudo, la clave se almacena en el sistema local. Allí, especialistas e investigadores pueden encontrarla y descifrar los datos sin tener que pagar el rescate. Para solucionar este problema, ahora los hackers usan con mayor frecuencia la criptografía híbrida
- Cifrado asimétrico en el cliente
El cifrado asimétrico utiliza una clave pública para cifrar datos y una clave privada e independiente para descifrarlos. Un método de cifrado muy común es la criptografía con RSA, que también utiliza HTTPS. El RSA es más lento que el cifrado simétrico y todos los archivos se deben cifrar antes de que el atacante pueda enviar la clave privada al servidor.
El software finaliza el cifrado, envía la clave privada al servidor del atacante y la elimina del almacenamiento local. El riesgo reside en que el equipo quede offline antes de que finalice el cifrado. En este caso, la clave privada nunca se transfiere al servidor del atacante. Como consecuencia, el atacante no puede exigir un rescate.
- Cifrado asimétrico en el servidor
El cifrado asimétrico en el servidor soluciona el problema del cifrado en el cliente cifrando archivos cuando el equipo vuelve a estar online. El servidor del atacante genera un par de claves pública y privada y cifra los archivos con la clave pública del servidor.
Cuando paga el rescate, el atacante transfiere la clave privada para el descifrado. El riesgo para el atacante reside en que cuando se transfiere la clave privada, usted puede interceptarla y obtenerla, lo que permite que pueda guardarla y compartirla con otras empresas afectadas, dejando al ransomware inutilizado.
- Cifrado híbrido
Los hackers descubrieron que las versiones anteriores de ransomware eran vulnerables, por lo que diseñaron versiones híbridas. En las versiones híbridas, el software genera dos conjuntos de claves y una cadena de cifrado soluciona los problemas con las versiones antiguas. La cadena de cifrado funciona de forma similar a esta:
- La clave simétrica cifra archivos.
- El software genera un par de claves en el cliente. La clave pública en el cliente cifra los archivos de la clave simétrica.
- El software genera un par de claves en el servidor. La clave pública en el servidor cifra la clave privada en el cliente y, a continuación, finaliza en el atacante.
- Cuando paga el rescate, la clave privada en el servidor descifra la clave privada en el cliente y esta termina en su empresa, donde se invierte la cadena de cifrado.
Cómo evitar ransomware
La mejor solución para luchar contra ransomware es detenerlo antes de que se inicie. La mayoría de los ataques se inician cuando los usuarios descargan involuntariamente el software directamente o ejecutan accidentalmente un script malicioso.
Las dos formas de impedir que los usuarios descarguen ransomware son:
- Filtrado de contenido basado en DNS y la ciberseguridad de email que incorpora cuarentena con inteligencia artificial. El filtrado de contenido basado en DNS impide que los usuarios naveguen por sitios web incluidos en listas negras.
- Los filtros de email envían adjuntos y contenido malicioso a cuarentena para que el administrador los revise.
Por último, siempre ejecute software anti-malware con machine learning y supervisión de comportamiento en todos los dispositivos, incluidos los móviles. Una buena aplicación anti-malware detecta ransomware antes de que pueda acceder a la memoria y cifrar los archivos. Para obtener la máxima eficacia, el software anti-malware siempre debe estar actualizado y con las revisiones más recientes con el fin de que pueda reconocer las últimas amenazas.
Utilice copias de seguridad como medida de prevención
No hay mejor forma de protegerse frente al ransomware que realizar copias de seguridad de sus archivos. El almacenamiento en la nube está protegido frente a análisis de red de ransomware, por lo que constituye una buena solución para la recuperación y la única con total seguridad, ya que las copias locales son vulnerables al cifrado de un ransomware. Una excepción es si asigna un almacenamiento en la nube como una unidad local o subcarpeta.
Algunos ejemplos de ransomware
Probablemente WannaCry sea uno de los ransomware más conocido en todo el mundo por la gran repercusión que tuvo en el año 2017, cuando afectó a organismos gubernamentales de todo el mundo, transporte público, empresas de telecomunicación, logística y diversas universidades.
Otros ramsomware son:
- GandCrab: según el informe Ransomware in Global Context de Virus Total, esta familia ha sido la más prevalente en ataques de ransomware desde 2020, con un 78,5 % de las muestras tomadas para el informe proveniente de esta familia.
- REvil: este grupo es conocido por robar grandes cantidades de información en los sectores legal y del entretenimiento, así como en el sector público. La primera vez que aparecieron en los titulares fue en mayo de 2020.
- Ryuk: esta cepa de ransomware se ha relacionado con una serie de grupos que han impactado a sectores como la asistencia médica, el sector público y la educación, en especial en los sistemas escolares de EE. UU.
- DarkSide: asociada al grupo de ransomware DarkSide, esta variante fue responsable del ataque a Colonial Pipeline en 2021 y es uno de los ejemplos más notables de ransomware de doble extorsión. Este ataque en particular se utiliza normalmente como servicio.
- Evil Corp: este grupo es responsable de Dridex, un tipo de malware desplegado a través de correos electrónicos de phishing que es conocido por robar credenciales bancarias. Desde entonces se lo ha asociado con otros tipos de ransomware como WastedLocker, BitPaymer y DoppelPaymer.
- Maze: esta variante apareció por primera vez en mayo de 2019 y se utilizó en un ataque de ransomware a Cognizant, que provocó interrupciones en el servicio para algunos de sus clientes.
Soluciones Acronis ofrecidas por indosmedia en www.indosmedia.tienda/acronis
Desde mis primeras líneas de Basic con un Spectrum han pasado muchos años… pero me sigue apasionando mi trabajo!
En 2004 me embarqué en la aventura de emprender, y aquí estamos, en indosmedia!
#analista #ecommerce #programacion #sql #software #web #diseñoweb #servidores