El ransomware continúa siendo la mayor ciberamenaza para las empresas, según la última evaluación anual de la amenaza de la delincuencia organizada en Internet (IOCTA) publicada por Europol. Aunque en desaceleración, seguirá siendo protagonista por motivaciones financieras, antes que otro tipo de amenazas.
Por ello, Stormshield, principal proveedor europeo de servicios de protección de datos, ha examinado los ocho ejemplos más importantes de este tipo de amenazas, y explica cómo funcionan y el modo de combatirlos.
El ransomware es un tipo muy particular de malware que restringe el acceso a los ordenadores infectados, bloqueando todas o algunas funciones, y exigiendo al usuario el pago de un rescate, por lo general, mediante Bitcoins. Sin embargo, este desembolso no garantiza que el usuario vaya a recuperar el control de su máquina, ni el acceso al contenido.
Efectivamente, este es el caldo de cultivo de los ciberdelincuentes y hoy día estos ataques siguen manteniéndose en el centro de la atención pública. Ransomware como Wannacry y NotPetya, máximos exponentes durante este 2018, son solo algunos de los ejemplos más conocidos, pero ¿cuáles fueron sus orígenes?
Stormshield hace un repaso de los más sorprendentes tipos de ransomware de los últimos años, pioneros por su reclamo, y advierte de la posible existencia de variantes, simplemente porque los ciberdelicuentes siguen apelando a la confianza de los usuarios y creando nuevas historias para difundir su malware.
La ingeniería social al servicio del ransomware
• CryptoJocker: Con el objetivo de obtener una ventaja competitiva frente a programas de malware anteriores, CryptoJoscker se convirtió en el primer ransomware criptográfico en ofrecer a sus víctimas la posibilidad de negociar la cuantía del rescate. Aunque fue descubierto en enero de 2016, marcó el comienzo de una era mucho más creativa.
• Jigsaw: Algo más innovador, tocó de lleno el género de terror, inspirándose en la serie de películas “Saw”. Con el muñeco Billy como maestro de ceremonias, este tipo de ransomware juega con la presión mental, eliminando cada hora algunos archivos cifrados.
• CryptMix: El ransomware de la caridad. Sus creadores, «The Charity Team”, prometían donar el dinero del rescate a una organización benéfica para niños. No obstante, advertían que de no producirse el pago en un plazo de 24 horas, la cuantía se incrementaría. ¡Todo por los niños!
• PopCorne Time: Descubierto en diciembre de 2016 por los investigadores MalwareHunterTeam, es un tipo de malware cuyo rescate sigue el sistema piramidal. Toda una trama: las víctimas pueden pagar o intentar infectar a varios de sus conocidos y esperar a que al menos dos de ellos, paguen el rescate para recuperar sus archivos.
La formación y técnicas de marketing, nuevo gancho
• Koolova: A principios de 2017, este programa de rescate, con alma educativa, ofrecía como opción a quienes se infectaban con él, recuperar sus archivos de manera gratuita con una condición: era necesario leer dos artículos sobre ciberseguridad.
• Spora: De enero de 2017, este ransomware inició una etapa de creación de malware con técnicas de marketing. Como unos grandes almacenes, sus creadores ofrecían a las víctimas diferentes niveles de descifrado y de precios; ya sea para desencriptar un único archivo, desinstalar el virus, no re-infectar el sistema, o adquirir una restauración completa de los archivos.
• RensenWare: Creado por un estudiante coreano, este malware no exigía dinero para desbloquear los archivos, tan sólo que la víctima alcanzase la máxima puntuación en un juego a nivel de experto. No apto, pues, para todos los públicos.
• nRansom: Dio mucho que hablar en septiembre de 2017. Al igual que otros ya citados, nRansom no reclamaba dinero; exigía a la víctima el envío de al menos diez fotos de ellos mismos desnudos. Un análisis posterior de este virus demostró que se trataba de malware inofensivo y que en realidad no encriptaba los datos.
Aunque más vale prevenir, la ayuda tecnológica es importante
El software de rescate sigue suponiendo una amenaza, pero con unos sencillos consejos, el usuario puede mantenerse protegido: La instalación periódica de actualizaciones, la formación interna sobre el uso de archivos sospechosos y las copias de seguridad periódicas en la Nube, son los primeros pasos rápidos y sencillos que una empresa puede implementar.
A nivel tecnológico, ya que a veces no basta con formar a los empleados en las mejores prácticas de seguridad TI, implementar una solución de protección de alto nivel frente a estas amenazas modernas puede ser un gran aliado.
Stormshield Endpoint Security (SES), es capaz de salvaguardar de forma efectiva el puesto de trabajo frente a cualquier tipo de variantes y de hacer frente a nuevas amenazas desconocidas capaces de saltarse la protección de puesto tradicional.
Hay que tener en cuenta, además, que el ransomware tan solo necesita un único correo electrónico con un archivo adjunto dañino para infectar, por lo que desconfiar de correos de desconocidos o extraños y evitar abrir o pinchar enlaces incluidos en él debería bastar.
Para evitar descuidos, Stormshield cuenta con Breach Fighter, un portal a través del cual es posible analizar cualquier archivo sospechoso. Como una solución basada en Cloud, Breach Fighter amplía las capacidades de los firewalls Stormshield Network Security de próxima generación y garantiza protección en tiempo real contra tales ataques gracias a su tecnología única basada en el motor de análisis de comportamiento.