El problema de ransomware no está mejorando. Algunos ejemplos recientes sobre extendidos ataques de ransomware, incluyendo el CoinVault, CryoptoLocker y otros, indican que los cibercriminales están incrementando el uso de este tipo de ataques. Sin embargo, a pesar del incremento de ataques de ransomware, una reciente encuesta de Kaspersky Lab concluyó que solo un 37% de las empresas consideran el ransomware un grave peligro.
Andrey Pozhogin, experto en ciberseguridad en Kaspersky Lab, da a conocer su experiencia en el crecimiento de ataques de ransomware, cómo opera, las consecuencias asociadas con el pago del rescate y qué pueden hacer los usuarios y las compañías para protegerse.
1. ¿Qué es el ransomware?
El ransomware es un tipo de malware que funciona como mecanismo digital para la extorsión. Es un tipo de software que bloquea el acceso a un sistema informático hasta que el usuario o compañía paga un rescate. CryptoLocker, CryptoWall, CoinVault, TorLocker, CoinVault, TeslaCrypt, y CTB-Locker son ejemplos de ransomware.
¡Ojo amantes de los juegos online! #Ransomware TeslaCrypt 2.0: más fuerte y peligroso https://t.co/oOoebdeSSn #gamers
— Kaspersky España (@KasperskyES) July 16, 2015
2. ¿Quiénes son las víctimas del ransomware?
El consumidor medio y las pequeñas y grandes empresas pueden ser víctimas de ransomware. Los cibercriminales no discriminan y a menudo suelen buscar la manera de impactar a todos los usuarios posibles para conseguir el mayor beneficio económico.
3. ¿Cómo funciona un ataque de ransomware?
Un ataque de ransomware normalmente se hace a través de un email que incluye un archivo o una imagen adjunta que puede ser ejecutable. Una vez que se abre el archivo adjunto, el malware invade el sistema del usuario. Un ransomware también podría acceder a un ordenador visitando un sitio web con malware. Una vez en la página web, el usuario, sin saberlo, ejecuta un script inseguro (a veces al hacer click en un link o al descargar un archivo) y es entonces cuando el malware invade el sistema.
Cuando el equipo de un usuario se infecta, nada visible sucede de inmediato. El malware opera silenciosamente en un segundo plano hasta que el sistema o el mecanismo de bloqueo de datos se activa y se compromete. Los cibercriminales son cada vez más hábiles en el desarrollo de ransomware que puede operar silenciosamente, y tienen muchas herramientas y técnicas a su disposición para asegurarse de que el ransomware no sea descubierto por la víctima. Luego aparece un cuadro de diálogo que notifica al usuario el bloqueo de los datos y exige el pago de un rescate para recuperar el acceso a los datos.
Ransomware news: A new spam campaign is pushing ctb-locker. Back those files up! – http://t.co/Q74hbq3Ah6 pic.twitter.com/5Pjd9csEJJ
— Kaspersky (@kaspersky) May 2, 2015
Cuando un usuario ve el cuadro de diálogo ya es demasiado tarde para intentar salvar los datos con medidas de seguridad. El precio que demandan los cibercriminales durante estos ataques puede variar, pero hemos visto precios de cientos, incluso miles, de dólares para poder descifrar los datos de la víctima.
4. ¿Podrías dar un ejemplo de ataque de ransomware?
Un ejemplo es TorLocker. Este ransomware empieza su infección descifrando su sección de datos con una clave AES de 256 bits – un mecanismo de cifrado que es casi imposible de descifrar – e invadiendo el sistema del usuario. Los primeros cuatro bytes de esta clave se utilizan como identificación de muestra única, que se añade al final de los archivos cifrados. Luego el malware se copia a una carpeta temporal y se crea una clave de registro para la ejecución automática de esa copia. Después, el malware sigue los siguientes pasos:
- Busca y elimina procesos del sistema cruciales.
- Elimina todos los puntos de recuperación del sistema.
- Cifra todos los documentos Office del usuario, vídeos y archivos de audio, imágenes, documentos, bases de datos, copias de seguridad, claves de cifrado de la máquina virtual, certificados y otros archivos de todas las unidades de disco duro y de red.
- Abre un cuadro de diálogo que pide al usuario que pague un rescate para descifrar los datos.
El problema es que TorLocker infecta a cada sistema de manera única, por lo que incluso a pesar de encontrar de alguna manera una clave para descifrar los datos, no sería útil para descifrar los datos de otros sistemas. Los cibercriminales ofrecen a los usuarios un número determinado de días (normalmente 72 horas) para pagar por una clave que descifre los datos o de lo contrario estos datos se perderían. Los cibercriminales suelen ofrecer diferentes métodos de pago, incluyendo Bitcoins y pago a través de páginas terceras.
5. ¿Qué buscan los cibercriminales cuando ejecutan un ataque de ransomware?
La motivación clave de los cibercriminales para ejecutar un ataque de ransomware es extorsionar el dinero de sus víctimas; sin embargo, hemos detectado que el promedio de casos de ataque de ransomware contra empresas es bastante perjudicial, ya que el objetivo del ataque suele ser la propiedad intelectual de la compañía.
La epidemia del ransomware: por qué deberías estar preocupado
Tweet
6. ¿Son comunes los ataques de ransomware a móviles?
Los ataques ransomware a móviles son cada vez más frecuentes. El malware móvil está avanzando hacia la monetización a medida que más cibercriminales continúan creando malware capaz de extorsionar y robar dinero. De hecho, el informe sobre el desarrollo de amenazas del primer trimestre de 2015 realizado por Kaspersky Lab, descubrió que el 23% de las nuevas amenazas de malware detectadas fueron creadas para robar o extorsionar dinero.
Además, el malware Trojan-Ransom demostró haber tenido la mayor tasa de crecimiento de todas las amenazas móviles. El número de muestras detectadas dentro del primer trimestre fue de 1.113, lo cual indica un crecimiento del 65% dentro de nuestra recopilación de muestras de ransomware para celulares. Esta es una tendencia peligrosa ya que el ransomware está diseñado para extorsionar, puede dañar datos personales y bloquear dispositivos infectados.
7. ¿Qué deben hacer los usuarios si el sistema ya está infectado?
Desafortunadamente, en la mayoría de casos, cuando el ransomware ya está activado, a menos que haya una copia de seguridad o una tecnología preventiva, es muy poco lo que un usuario puede hacer. Sin embargo, a veces es posible ayudar a los usuarios a descifrar los datos que han sido bloqueados por el ransomware sin tener que pagar un rescate. Kaspersky Lab se asoció recientemente con la Unidad de Crimen de Alta Tecnología de los Países Bajos (en inglés, National High Tech Crime Unit of the Netherlands) para crear un depósito de claves de descifrado y una aplicación de descifrado para las víctimas del ransomware CoinVault.
¿Víctima del #ransomware #CoinVault? Descifra tus archivos gratis aquí http://t.co/Vh0SZaAaI8 pic.twitter.com/X6CahbLDsg
— Kaspersky España (@KasperskyES) April 17, 2015
Además, advierto a las víctimas sobre el uso de software sin acreditación que encuentran en Internet y que pretenden solucionar datos cifrados. En el mejor de los casos, este software es una solución inútil, y en el peor de los casos el software distribuye malware adicional.
8. ¿En caso de ataque, se debe pagar el rescate?
Muchas de las víctimas están dispuestas a pagar para recuperar sus archivos. Según una encuesta realizada por el Centro Interdisciplinario de Investigación en Seguridad Cibernética en la Universidad de Kent en febrero de 2014, más del 40% de las víctimas de CryptoLocker accedieron a pagar el rescate. Cryptolocker ha infectado decenas de miles de máquinas y ha generado millones de dólares de ingresos para los cibercriminales que están detrás de él. Además, un informe de Dell SecureWorks demuestra que el mismo malware reúne más de 30 millones de dólares cada 100 días.
The best line of #defense against any #ransomware is to have backed up your machines yesterday. https://t.co/cpcBqX1Qy2
— Kaspersky (@kaspersky) January 30, 2015
Sin embargo, el pago del rescate es imprudente, sobre todo porque no garantiza que se puedan descifrar los datos dañados. También hay muchas formas de que las cosas vayan mal, incluso si decides pagar el rescate, incluyendo virus incorporados en el malware que hacen los datos cifrados irrecuperables.
Además, si se paga el rescate, esto valida a los cibercriminales que el ransomware es efectivo. Como resultado, los cibercriminales continuarán encontrando nuevas maneras de explotar sistemas y esto podría conducir a nuevas infecciones dirigidas a usuarios individuales o empresas.
9. ¿Cómo pueden prevenir los usuarios un ataque de ransomware? ¿Una copia de seguridad es suficiente para proteger los datos contra los cibercriminales?
Es imposible descifrar archivos encriptados con criptografía implementada y fuerte, así que es importante emplear un buen método de seguridad junto con una potente solución para realizar copias de seguridad como parte de una estrategia de ciberseguridad.
Además, algunas variantes de ransomware son lo suficientemente inteligentes para también cifrar cada copia de seguridad localizable, incluidas las que residen en recursos compartidos de red. Por eso es importante hacer copias de seguridad “frías” (solo leer y escribir, no eliminar/control total de acceso) que no puedan ser eliminadas por el ransomware.
Así te protege #Kaspersky del #malware que roba archivos y exige un rescate a sus víctimas https://t.co/ywJdKWyT94 #ransomware
— Kaspersky España (@KasperskyES) May 26, 2015
Kaspersky Lab también ha desarrollado una medida de control llamada módulo de System Watcher. Este sistema es capaz de mantener copias locales de los archivos protegidos y revertir los cambios realizados por el malware. Esto permite la recuperación automatizada y ahorra a los administradores la molestia de tener que restaurar la copia de seguridad y la pérdida de tiempo asociada. Es importante tener instalada tecnología de seguridad para cerciorarse de que los usuarios tienen este módulo activado.
10. ¿De qué manera nos protegen las soluciones de Kaspersky Lab contra las amenazas?
Nuestras soluciones de seguridad incluyen Kasperksy Security Network (KSN), que reacciona ante amenazas sospechosas de una manera más rápida que los métodos tradicionales de protección. KSN tiene más de 60 millones de voluntarios alrededor del mundo. Esta nube de seguridad procesa más de 600.000 peticiones por segundo.
Los usuarios de Kaspersky del mundo proveen información en tiempo real sobre amenazas detectadas y eliminadas. Estos datos y otras investigaciones, son analizados por un grupo de expertos en seguridad – el Equipo de Investigación y Análisis Global. Su principal propósito es descubrir y analizar nuevas ciberamenazas, junto con el pronóstico de nuevos tipos de amenazas.
Así funciona la #seguridad en la nube https://t.co/bL5OB8ZC72 #cloud pic.twitter.com/KEPeTHljhX
— Kaspersky España (@KasperskyES) May 19, 2015
Mientras que las amenazas se convierten cada vez más sofisticadas, hemos descubierto que muchos usuarios – tanto corporativos como consumidores – podrían mejorar sus prácticas de ciberseguridad. Lo peor es que algunos están utilizando soluciones de seguridad poco fiables y desactualizadas que no ofrecen la protección necesaria.
En resumen, es importante elegir la protección disponible más efectiva. De hecho, el año pasado Kaspersky Lab participó en 93 pruebas independientes junto con otras otras compañías del sector, y Kaspersky Lab obtuvo los mejores resultados. Kaspersky Lab ha sido mencionado 66 veces dentro del top 3, y ha obtenido el primer lugar 51 veces. La seguridad de la información está en el ADN de Kaspersky Lab y siempre estamos trabajando para mejorar la eficacia de nuestra tecnología para que nuestros usuarios tengan las soluciones más seguras.