Desde su primera aparición, el ransomware ha experimentado una evolución, desde herramientas incompletas creadas por entusiastas independientes hasta una poderosa industria clandestina que recopila grandes recompensas para sus creadores. Es más, el precio por entrar a este mundo sombrío es cada vez menor.
Hoy en día, los cibercriminales ya no necesitan crear su propio malware ni comprarlo en la dark web. Todo lo que necesitan es acceso a una plataforma de servicio RaaS (Ransomware como servicio, por sus siglas en inglés) en la nube. Estos servicios, fáciles de implementar y que no requieren conocimientos de programación, permiten que casi cualquier persona utilice herramientas de ransomware, lo que, como es natural, ha llevado a un aumento del número de ciberincidentes de ransomware.
Otra tendencia actual muy preocupante es la transición de un modelo simple de ransomware a una serie de ataques combinados que extraen datos antes de cifrarlos. En estos casos, el impago del rescate no da como resultado la destrucción de la información, sino su publicación en fuentes abiertas o su venta en subastas (cerradas). En una de esas subastas, que tuvo lugar durante el verano del 2020, se pusieron a la venta bases de datos de empresas agrícolas, robadas con el ransomware REvil, con un precio inicial de 55,000 dólares.
Por desgracia, muchas víctimas de ransomware se sienten obligadas a pagar el rescate a pesar de saber que esto no garantiza la recuperación de sus datos. Esto se debe a que los cibercriminales suelen dirigirse a empresas y organizaciones que no toleran los períodos de inactividad. Por ejemplo, el daño causado por una interrupción de la producción puede ascender a millones de dólares al día, mientras que la investigación de un incidente podría llevar semanas y no necesariamente restablecer el curso normal. ¿Y qué sucede con las instituciones sanitarias? En situaciones de urgencia, algunos propietarios de empresas consideran que su única opción es pagar.
El otoño pasado, el FBI emitió un comunicado especial sobre el ransomware, donde recomendaba inequívocamente que nadie pagara el rescate a los cibercriminales (pues pagar fomenta la implementación de más ataques y de ninguna forma garantiza la recuperación de los datos cifrados).
Principales titulares
Aquí te exponemos tan solo algunos de los incidentes que han tenido lugar durante la primera mitad de este año y que avalan la creciente escala del problema.
En febrero, la empresa danesa de servicios de instalaciones ISS fue víctima de un ransomware. Los cibercriminales cifraron la base de datos de la empresa, lo que provocó que cientos de miles de empleados en un total de 60 países se vieran desconectados de los servicios corporativos. Los daneses se negaron a pagar. La restauración de la mayor parte de la infraestructura y la investigación se demoró alrededor de un mes, y las pérdidas totales se estimaron entre 75 y 114 millones de dólares.
En la primavera, el ransomware también afectó al proveedor multinacional estadounidense de servicios informáticos Cognizant. El 18 de abril, la empresa admitió oficialmente haber sido víctima de un ataque del popular ransomware Maze. Los clientes de la empresa utilizan su software y servicios para brindar soporte al trabajo remoto de los empleados, cuyas actividades se vieron interrumpidas.
En una declaración enviada a sus socios inmediatamente después del ataque, Cognizant enumeró las direcciones IP del servidor y los archivos hash específicos de Maze (kepstl32.dll, memes.tmp, maze.dll) como indicadores de compromiso.
La reconstrucción de gran parte de la infraestructura corporativa llevó tres semanas y Cognizant informó de pérdidas de entre 50 a 70 millones de dólares en sus resultados financieros del segundo trimestre del 2020.
En febrero, Redcar y Cleveland Borough Council (Reino Unido) también sufrieron un ataque. El periódico británico The Guardian citó a un miembro de la junta que afirmó que, durante tres semanas, el tiempo que necesitaron para reconstruir de forma eficaz la infraestructura informática utilizada por cientos de miles de residentes locales, el consejo se vio obligado a depender de “papel y bolígrafo”.
Cómo protegerte
La mejor estrategia es estar preparado. Equipa los servicios de correo, que son posibles puertas de enlace al acceso no autorizado, con filtros de correo no deseado para bloquear o poner en cuarentena los archivos adjuntos ejecutables.
Si a pesar de tu preparación, un ataque tiene éxito, minimiza el tiempo de inactividad y el daño potencial manteniendo copias de seguridad actualizadas periódicamente de toda la información crítica del negocio. Almacena tus copias de seguridad en una nube segura.
Además de los productos y acciones de higiene digital descritos anteriormente, utiliza soluciones especializadas como [Kaspersky Anti-Ransomware Tool. Mediante el uso del análisis de comportamiento y de la nube, Kaspersky Anti-Ransomware Tool evita que el ransomware penetre en los sistemas al detectar el comportamiento sospechoso de las aplicaciones y, para los sistemas que ya están infectados, esta herramienta también puede revertir las acciones maliciosas.
Nuestra solución integrada, Kaspersky Endpoint Security for Business, ofrece una protección mucho más amplia contra todo tipo de amenazas. Además de las características de la herramienta Kaspersky Anti-Ransomware, Kaspersky Endpoint Security for Business contiene una gama completa de controles web y de dispositivos, la herramienta de Control de Anomalías Adaptable y recomendaciones para configurar las políticas de seguridad para armar la solución incluso contra los últimos tipos de ataques, por ejemplo, aquellos que usan malware sin archivo.