Ransomware no es un nuevo fenómeno, sus orígenes se remontan a la industria de la salud en 1989. Conocido como el troyano del SIDA, el malware se propagó a través de disquetes que fueron enviados a organizaciones de investigación del SIDA y archivos encriptados luego de varios reinicios del sistema.
Los objetivos de los malware van desde computadoras a SmartTvs y la lista se expande cada año. Hoy en día es un negocio de mil millones de dólares y el lado oscuro de la Web quiere formar parte de esto. El año 2016 fue un año exitoso para el ransomware ya que hubo aumento no sólo en número de ataques sino también en la variedad y la tendencia continúa en este 2017 con ataques a gran escala como el Wannacry del 12 de mayo pasado.
El Wannacry es el mayor ataque hasta la fecha, afectando a alrededor de 200,000 computadoras en 150 países en industrias que van desde la salud hasta el transporte público.
¿Qué es el ransomware?
Ransomware es un tipo de malware que se instala en un sistema cuando:
- Se ingresa a un sitio Web poco fiable y se hace clic en un “anuncio” que luego descarga silenciosamente el malware en segundo plano o que el sitio Web automáticamente inicia la descarga tan pronto como se acceda a ella, también conocida como «descarga de unidad».
- Se hace clic en un enlace del correo electrónico o en un sitio Web que descarga silenciosamente el ransomware.
- La computadora ya tiene algún otro tipo de malware y los hackers lo utilizan para instalar el ransomware de forma remota y en segundo plano.
Depende el tipo de ataque, la víctima puede perder el acceso a su sistema de archivos enteramente o sólo algunos archivos. El damnificado entonces recibe una demanda de rescate, a veces en forma de un archivo emergente o un archivo README. A menudo, el rescate debe ser pagado en bitcoins ya que pueden ser enviados y recibidos de forma anónima, lo que mantiene la identidad del atacante oculto.
El medio más popular de propagación de ransomware es a través de sitios Web y enlaces malignos. Aunque los sistemas de Windows son particularmente vulnerables, ningún dispositivo o plataforma está absolutamente a salvo de los ataques de ransomware. A pesar de haber diferentes tipos de ransomware, se pueden dividir en dos grandes categorías:
1.- No encriptados
Este tipo de ransomware bloquea el acceso a un sistema, a menudo aparece como una pantalla bloqueada que aparece cada vez que la víctima trata de obtener acceso al sistema. El malware exige que se pague un rescate para restaurar el acceso. Por lo general, los bloqueos no son muy sofisticados y suelen ser de fácil de mover si se tienen copias de seguridad.
Un buen ejemplo de un bloqueador reciente es Win32 / Lamdelim.A, que estaba tan mal escrito que se podía solucionar introduciendo Alt + F4. Por desgracia, no todos los ransomware son tan fáciles de frustrar.
2.- Encriptados
Cuando una computadora de escritorio, una laptop o un smartphone ha sido hackeado, en algún momento los archivos que guarda serán encriptados por el malware, haciendo que el contenido sea ilegible por el usuario y el propio dispositivo. Algunas variantes sólo encriptarán ciertos tipos de archivos; otros codificarán muchos tipos de archivos en minutos, a veces, segundos. Una vez encriptada, la víctima recibe una demanda de rescate para obtener la clave de descifrado y así recuperar el acceso a sus archivos.
El WannaCry (o WannaCrypt) estropeó más de 200,000 computadoras sobrescribiendo los archivos almacenados en el Escritorio, Mis documentos o discos extraíbles, suprimiéndolos, volviéndolos irrecuperables. El ataque fue detenido, pero desde entonces ha sido modificado y se está ejecutando de nuevo bajo el nombre Uiwix. No hay manera de detener la nueva cepa a partir de ahora y muchas víctimas ya han comenzado a pagar el rescate de $300 dólares en bitcoins. Aún queda esperanza ya que hay una herramienta de recuperación de disco que podría ser capaz de recuperar archivos perdidos si no han sido almacenadas en las ubicaciones mencionadas anteriormente.
Una vez que se detecta de que hemos sido víctimas de Wannacry, Uiwix u otro tipo de ransomware ya puede ser demasiado tarde. Sin embargo, se puede prevenir que la infección al sistema se propague aún más en su red. Lo primero que se debe hacer es identificar las máquinas infectadas y eliminarlas de la red inmediatamente. Una vez retiradas, hay que asegurarse de que todos los sistemas críticos estén intactos. A continuación, realizar copias de seguridad e iniciar el proceso de restauración, lo que puede tardar un tiempo.
¿Pagar o no pagar?
Si no existen copias de seguridad o necesita sus archivos de inmediato, entonces usted probablemente se está haciendo esta pregunta. La respuesta depende en gran medida de su sistema, lo importante que es, y cuánto daño se puede hacer si decide no hacerlo. Un hospital, por ejemplo, podría simplemente pagar el rescate porque es más rápido que tratar de restaurar sus sistemas y no ser capaz de tratar a los pacientes mientras tanto.
Una cosa es cierta: pagar el rescate no es garantía de que recuperará sus archivos. Después de todo, estamos hablando de criminales. Las investigaciones han demostrado que 20% de las víctimas no reciben sus archivos después de pagar el rescate. Los atacantes podrían incluso pedir más dinero una vez que se haya pagado un rescate. O puede no recuperar todo porque a menudo, los atacantes tienen que descifrar manualmente todos los archivos en cada sistema infectado y no tienen la mano de obra o el tiempo.
¿Qué puede hacer para protegerse de un ransomware?
La palabra clave es prevención. Algunas medidas simples de precaución reducirán en gran medida el riesgo de convertirse en una víctima de un ataque de ransomware.
1.- La copia de la copia de seguridad
Esto es válido para computadoras y todos los dispositivos móviles y gadgets que pueda tener: hay que crear varias copias de seguridad de todos los datos importantes y asegurarse de que no estén todos en el mismo lugar. También es muy importante para probar y supervisar regularmente las copias de seguridad.
2.- Dejar de clickear
La mejor manera de prevenir estos tipos de ataques es la educación. Las personas que trabajan en TI, por lo general, no están muy afectados por estos tipos de ataques ya que son capaces de identificar correos sospechosos y sitios Web antes de hacer clic en los enlaces. Educar a otras personas en la empresa acerca de cómo hacer lo mismo ayudará a reducir su susceptibilidad a este tipo de ataques. Los filtros de spam, el software antivirus y los firewalls ayudan a mantener la seguridad de su red, pero no impedirán que un usuario eluda su seguridad. Otras prácticas que se pueden llevar a cabo son el uso de la administración de directivas, listas negras y blancas de los sitios Web para regular lo que pueden descargar o instalar quienes ingresan.
3.- Deshabilitar los macros
¿Qué es un macro? Es una serie de instrucciones que se almacenan para que se puedan ejecutar de manera secuencial mediante una sola llamada u orden de ejecución
En cuanto a la propagación del malware, no todos los trucos en la bolsa son nuevos. Las infecciones aún se producen a través de macros, aunque los programas de software más recientes los desactivan de forma predeterminada. Asegúrese de mantener la configuración predeterminada y sólo descargarlos de fuentes verificables y confiables. Incluso entonces, tenga cuidado.
4.- Actualizar frecuentemente y rápidamente
Para estar siempre en la cima, se deben actualizar los sistemas operativos, aplicaciones y otro software con frecuencia. Las actualizaciones a menudo incluyen arreglos relevantes para la seguridad, y no desea perderlas. También se puede ahorrar la molestia de buscar activamente actualizaciones mediante la configuración de notificaciones que informan cuando estén disponibles o mediante la configuración de descargas automáticas.
Muchas de las víctimas del ataque del WannaCry utilizaban software obsoleto, como Windows XP, Server 2003, Windows 7 y Server 2008. El ataque podría haber sido evitado si se hubieran estado utilizando sistemas operativos más recientes que estuvieran actualizados.
Por David Montoya, Director de Canales de Paessler Latinoamérica.