La información es clave para cualquier empresa. La pérdida de la misma puede llegar a suponer la quiebra de una compañía. Es por ello que, llegados al extremo, estamos dispuestos a pagar para intentar recuperarla. Conscientes de ello, los ciberdelincuentes han encontrado un modelo de negocio lucrativo, “secuestrando” la información de las empresas.
Funcionamiento del ransomware…
Normalmente aparece a través de inofensivas prácticas de navegación, emails de phishing o spam con archivos adjuntos o enlaces a sitios de descarga. Cuando el usuario pincha en el enlace, se descarga el ransomware. En el momento en que lo ejecuta, éste inicia la infección, procediendo a cifrar todos los ficheros dejándolos inaccesibles. Las nuevas variantes de ransomware se dirigen a una amplia gama de tipos de datos, desde documentos a programas altamente especializados, como SCADA o archivos CAD, y pueden proliferar a través de una red de sitios de intercambio online y de almacenamiento cloud. El móvil tampoco se libra.
Preparación, prevención y medidas proactivas son algunas formas para protegerse de este malware. A continuación las explicamos:
3…Preparación
El ransomware se propaga como la mayoría de los malware. Por eso, es necesario formar a los usuarios con frecuencia sobre los procedimientos de email y navegación web segura para evitar los peligros que pueden llegar desde Internet. Mantener los sistemas actualizados también es vital, pues muchas vulnerabilidades utilizadas son antiguas y han sido parcheadas, así que manteniendo los sistemas actualizados las posibilidades de que el malware le afecte disminuyen. Igualmente, es fundamental el uso de una solución profesional de backup.
2…Prevención
Como otras amenazas, el ransomware procede de muchos vectores, por lo tanto se debe utilizar una defensa en profundidad con un firewall de nueva generación o un sistema de gestión unificada de amenazas que ayude a frustrar a los ciberdelincuentes en cada intento. Por ejemplo, cuando el ransomware infecta el sistema, tiende a «llamar a casa» utilizando un servidor de comando y control para obtener la clave público-privada que utiliza para cifrar los archivos. Si se logra detectar y bloquear esa “llamada” puede impedirse el ataque. Las tecnologías de filtrado URL como WebBlocker permiten bloquear sitios maliciosos como botnets y centros C&C de amenazas avanzadas.
Por otro lado, y dado que este malware muta más rápido que la inclusión de firmas por parte de los fabricantes de antivirus, contar con una solución avanzada que utilice entornos de simulación es clave. Gracias a ella se podrán analizar los archivos sospechosos y su comportamiento, identificando ransomware de “día cero”.
1…Respuesta
A pesar de la preparación y prevención, los ciberdelincuentes pueden haber logrado su objetivo.
En muchos casos, la identificación del ransomware puede ayudar a derrotarle. El cryptoransomware más antiguo puede estar mal cifrado, por lo que es posible encontrar herramientas que descifren los archivos. Si tiene suerte, no habrá dado con una de las nuevas variantes de cryptomalware que pueden trabajar completamente sin conexión, incluso estando los datos bloqueados.
El tiempo se acabó
Si sucede lo peor, piense detenidamente antes de decidir pagar el rescate. Perder archivos importantes puede suponer un duro golpe, pero cuanta más gente pague, más ransomware habrá y continuará siendo una opción lucrativa para algunos.
Watchguard
Ingeniero Preventa
