ransomware
Como cada año, nuestros expertos analizan los incidentes que sucedieron y anuncian cuál fue el más importante del año. No hay duda de que el 2017 fue el año del ransomware, como demuestran las tres epidemias que tanto dieron de qué hablar: WannaCry, ExPetr y la menos conocida, Bad Rabbit, pero al menos solo una “pareció” ser de ransomware cifrador.
Hay que recalcar que, aunque los incidentes sucedieron de repente y agarraron a muchos usuarios por sorpresa, nuestros expertos ya predijeron estas tendencias en 2016. Costin Raiu y Juan Andrés Guerrero-Saade anunciaron en su pronóstico del 2017 publicado en Securelist que esperaban la aparición de diferentes ransomware que bloquearían el acceso a los archivos o al sistema de la víctima o que, simplemente, eliminarían sus archivos y le engañarían pidiendo un rescate para luego no devolverle nada.
Recordemos las lecciones más importantes que aprendimos a causa de estos ataques.
Las técnicas de movimiento lateral que usa el malware
Estas epidemias se hicieron famosas porque el malware no solo cifraba una computadora, sino también todos los dispositivos conectados a la misma red. Este nivel de infiltración fue posible gracias a las vulnerabilidades que divulgó el grupo The Shadow Brokers.
Cuando empezaron las epidemias, ya existían parches para prevenirlas, sin embargo, la mayoría de los dispositivos no los tenían instalados todavía. Además, algunos ciberdelincuentes siguen usando hoy en día estas vulnerabilidades (y, por desgracia, con bastante éxito).
Lección 1: Instala las actualizaciones en cuanto estén disponibles, sobre todo cuando estén directamente relacionadas con la seguridad.
Sistemas no críticos
Entre las víctimas de los cifradores, hubo muchos sistemas que estaban completamente desprotegidos del rasomware porque nadie creyó que necesitaran esa protección. Algunos de estos sistemas fueron paneles informativos y máquinas expendedoras pero, siendo sinceros, no hay nada que cifrar en estos sistemas y nadie pagaría para descifrarlos.
En estos casos, los ciberdelincuentes no escogían a sus víctimas, sino que infectaban todo lo que podían. El daño fue significativo, ya que reinstalar los sistemas operativos de estos dispositivos no críticos fue y sigue siendo una costosa pérdida de tiempo.
Lección 2: Protege todos los elementos de tu infraestructura de información.
Sabotaje en lugar de extorsión
ExPetr carece de un mecanismo que pueda identificar a la víctima en particular, por lo que los hackers no podrían, aunque quisieran, dar a los usuarios la clave para descifrar sus archivos. Porello, suponemos que su objetivo fue el de causar todo el daño posible y cada rescate que conseguían era un premio para ellos.
Esto vuelve a confirmar que pagar el rescate no te garantiza que vayas a recuperar la información.
Lección 3: La única forma de no perder tus datos es hacer copias de seguridad e instalar soluciones de seguridad.
Esperamos que estas lecciones minimicen el daño de ataques similares en el futuro. Después de todo, según nuestros expertos, los cibercriminales seguirán usando malware cifrador el año que viene al estilo de ExPetr: como un arma cibernética que destruye información. Puedes encontrar más detalles del pronóstico del 2018 que nuestros investigadores hicieron en esta entrada de Securelist.
Consejos