El problema de ransomware no está mejorando. Algunos ejemplos recientes sobre ataques de ransomware conocidos, incluyendo el CoinVault, CryoptoLocker y otros, indican que los cibercriminales están incrementando el uso de este tipo de ataques. Sin embargo, a pesar del incremento de ataques de ransomware, en un estudio reciente de Kasperksy Lab, resultó que solo un 37% de empresas consideran que el ransomware es un peligro serio.
Andrey Pozhogin, experto en ciberseguridad en Kaspersky Lab, da a conocer su experiencia en el crecimiento de ataques de ransomware, en cómo se operan sus ataques, qué consecuencias hay por pagar el rescate y qué pueden hacer los usuarios desde casa y las empresas para protegerse.
1. ¿Qué es el ransomware?
El ransomware es un tipo de malware que funciona como mecanismo digital para la extorsión. Es un tipo de software que bloquea el acceso al sistema de la computadora hasta que el usuario o compañía paga un rescate. Todos los ejemplos de ransomware son: CryptoLocker, CryptoWall, CoinVault, TorLocker, CoinVault, TeslaCrypt, y CTB-Locker.
#TeslaCrypt 2.0 disguised as #CryptoWall https://t.co/vBy9PKo2Cx #GReAT #research pic.twitter.com/f6mxNGAPVq
— Kaspersky (@kaspersky) July 14, 2015
2. ¿Quiénes son las víctimas del ransomware?
El consumidor promedio, y pequeñas y grandes empresas pueden ser víctimas de ransomware. Los cibercriminales no discriminan a nadie y suelen buscar la manera de impactar a todos los usuarios posibles para cosechar un mayor beneficio económico.
3. ¿Cómo funciona un ataque de ransomware?
Un ataque de ransomware normalmente se hace a través de un email que incluye un archivo o imagen adjunta que puede ser ejecutable. Una vez que el usuario haya abierto el adjunto, el malware invade el sistema. Un ransomware también podría acceder a una computadora al momento de visitar un sitio web con malware. Al estar en el sitio web, el usuario, sin saber, ejecuta un script inseguro (a veces al hacer click en un link o al descargar un archivo), es entonces cuando el malware entra al sistema.
Cuando el equipo de un usuario se infecta, no ocurre nada que pueda ser visible al momento. El malware opera silenciosamente en un segundo plano de la computadora hasta que el sistema o el mecanismo de bloqueo de datos se activa y se compromete. Los cibercriminales se están volviendo más hábiles para desarrollar ransomware que puede operar silenciosamente, y tienen muchas herramientas y técnicas a su disposición para asegurarse de que el ransomware no sea descubierto por la víctima. Luego aparece una caja de diálogo que le notifica al usuario sobre el bloqueo de datos y pide un rescate para poder volver a tener acceso a ellos.
Ransomware news: A new spam campaign is pushing ctb-locker. Back those files up! – http://t.co/Q74hbq3Ah6 pic.twitter.com/5Pjd9csEJJ
— Kaspersky (@kaspersky) May 2, 2015
Cuando un usuario ve la caja de diálogo, quiere decir que ya es demasiado tarde para intentar salvar los datos con sus medidas de seguridad. El precio que demandan los cibercriminales durante estos ataques puede variar, pero hemos visto precios de incluso miles de dólares para poder descifrar los datos de la víctima.
4. ¿Podrías dar un ejemplo de ataque de ransomware?
Un ejemplo es TorLocker. Este ransomware empieza por descifrar su sección de datos con una clave AES de 256-bits – un mecanismo de cifrado que es casi imposible de crackear – invadiendo el sistema. Los primeros cuatro bytes de esta clave se utilizan como identificación de muestra única, que se añade al final de los archivos cifrados. Luego el malware se copia a una carpeta temporal y se crea una clave de registro para la ejecución automática de esa copia. Después, el malware continúa de la siguiente manera:
- Busca y elimina procesos del sistema cruciales.
- Elimina todos los puntos de recuperación del sistema.
- Cifra todos los documentos office del usuario, videos y archivos de audio, imágenes, bases de datos, respaldos de información, claves de cifrado de la máquina virtual, certificados y otros archivos de todas las redes y discos duros.
- Abre un cuadro de diálogo que pide al usuario que pague un rescate para descifrar los datos.
El problema es que TorLocker infecta a cada sistema de manera única, entonces, a pesar de encontrar de alguna manera una clave para descifrar los datos, no sería útil para descifrar los datos de otros sistemas. Los cibercriminales les dan a los usuarios un cierto número de días (normalmente 72 horas) para pagar por la clave para descifrar sus datos, de lo contrario pierden los datos. Los cibercriminales suelen ofrecer diferentes métodos de pago, incluyendo Bitcoins y pago a través de terceros.
5. ¿Qué motiva a los cibercriminales a ejecutar un ataque de ransomware?
La motivación clave de los cibercriminales para ejecutar un ataque de ransomware es extorsionar a sus víctimas; sin embargo, nos hemos dado cuenta de que el promedio de casos de ataque de ransomware contra empresas es bastante perjudicial, ya que el objetivo del ataque suele ser la propiedad intelectual de la compañía.
La epidemia del ransomware: por qué deberías estar preocupado
Tweet
6. ¿Qué tan comunes son los ataques de ransomware a celulares?
Los ataques ransomware a celulares se están convirtiendo en algo más persistente. El malware de celulares está avanzando hacia la monetización a medida que más criminales continúan creando malware capaz de extorsionar y robar dinero. De hecho, el informe de amenazas del primer trimestre hecho por Kaspersky Lab, descubrió que el 23% de amenazas nuevas de malware que se detectaron, fueron creadas para extorsionar o robar dinero. Además, el malware llamado Trojan-Ransom demostró haber tenido el mayor nivel de crecimiento en comparación con todas las demás amenazas para celulares. El número de muestras detectadas dentro del primer trimestre fue de 1,113, lo cual indica un crecimiento del 65% dentro de nuestra recopilación de muestras de ransomware para celulares. Ésta es una tendencia peligrosa ya que el ransomware está diseñado para extorsionar, puede perjudicar datos personales y dispositivos de bloque que estén infectados.
7. ¿Qué deben hacer los usuarios si el sistema ya está infectado?
Desafortunadamente, en la mayoría de casos, cuando el ransomware ya está activado, a menos de que haya un respaldo de información o tecnología preventiva a la mano, es muy poco lo que el usuario puede hacer para salvar su sistema. Sin embargo, a veces es posible ayudar a los usuarios a descifrar los datos que le han sido bloqueados por el ransomware sin tener que pagar un rescate. Kaspersky Lab se asoció recientemente con la Unidad de Crimen de Alta Tecnología de los Países Bajos (en inglés, National High Tech Crime Unit of the Netherlands) para crear un depósito de claves para descifrar y una aplicación de descifrado para las víctimas del ransomware CoinVault.
Learn how to remove CoinVault ransomware and restore your lost files – http://t.co/OB02O372Yy pic.twitter.com/QjwzvIdKnz
— Kaspersky (@kaspersky) April 17, 2015
Además, suelo advertirles a las víctimas sobre el uso de softwares sin acreditación que encuentran en Internet y que pretenden arreglar datos cifrados. Este tipo de softwares son una solución inútil y distribuyen malware adicional.
8. ¿Se debe pagar el rescate en caso de ser víctima de ransomware?
Muchas víctimas están dispuestas a pagar para recuperar sus archivos. De acuerdo a un estudio hecho por el Centro Interdisciplinario de Investigación en Seguridad Cibernética de la Universidad de Kent en febrero de 2014, más del 40% de víctimas de CryptoLocker accedieron a pagar el rescate. Cryptolocker ha infectado miles de máquinas y ha generado millones de dólares de ingresos para los cibercriminales que están detrás de todo esto. Además, un informe de Dell SecureWorks demuestra que el mismo malware reúne más $30 millones de dólares cada 100 días.
The best line of #defense against any #ransomware is to have backed up your machines yesterday. https://t.co/cpcBqX1Qy2
— Kaspersky (@kaspersky) January 30, 2015
Sin embargo, pagar el rescate es algo insensato, en primer lugar porque no te garantiza que los datos corrompidos se descifrarán. También hay muchas maneras de que la situación pueda ir mal, incluso si decides pagar el rescate, incluyendo virus incorporados en el malware que no te permitan recuperar los datos cifrados.
Además, si se paga el rescate, esto le comprueba a los cibercriminales que el ransomware es efectivo. Como resultado, los cibercriminales continuarán encontrando nuevas maneras de explotar sistemas y esto podría añadir nuevas infecciones que se podrían dirigir al mismo individuo, usuario o empresa.
9. ¿Cómo pueden prevenir los usuarios un ataque de ransomware? ¿Hacer un respaldo de información es suficiente para proteger los datos contra los cibercriminales?
Es imposible descifrar archivos con criptografía implementada y fuerte. Es importante emplear un buen método de seguridad junto con un respaldo de información como parte de una estrategia de ciberseguridad.
Además, algunas variantes de ransomware son lo suficientemente inteligentes para cifrar también cada respaldo de información que localizan, incluyendo aquellos compartidos en red. Por eso es importante hacer respaldos “fríos” (solo leer y escribir, no eliminar/con control total) que no pueden ser eliminados por el ransomware.
How does Kaspersky Internet Security protect you from #ransomware? – http://t.co/7drBP7PWxL pic.twitter.com/f5BDXJOC47
— Kaspersky (@kaspersky) May 23, 2015
Kaspersky Lab también ha desarrollado una medida de control llamada módulo de System Watcher. Este sistema es capaz de mantener respaldos de archivos locales protegidos y revertir cambios hechos por el malware. También activa un remedio automático y les evita a los administradores la molestia de restaurar el respaldo de información y de perder el tiempo. Es importante tener instalada tecnología de seguridad y asegurarse de que los usuarios tienen este módulo activado.
10. ¿De qué manera nos protegen las soluciones de Kaspersky Lab contra las amenazas?
Nuestras soluciones de seguridad incluyen Kasperksy Security Network (KSN), que reacciona contra amenazas sospechosas de una manera más rápida que los métodos tradicionales de protección. KSN tiene más de 60 millones de voluntarios alrededor del mundo. Esta nube de seguridad procesa más de 600,000 peticiones por segundo.
Los usuarios de Kaspersky del mundo proveen información en tiempo real sobre amenazas detectadas y eliminadas. Estos datos y otras investigaciones, son analizadas por un grupo de expertos en seguridad – el equipo de investigación y análisis global. Su principal propósito es descubrir y analizar ciberamenazas nuevas, junto con el pronóstico de nuevos tipos de amenazas.
Just how does the Kaspersky Security Network work? It's simpler than it sounds – http://t.co/4zKames5K2 pic.twitter.com/6IhPqfkW6T
— Kaspersky (@kaspersky) May 14, 2015
Mientras que las amenazas se convierten cada vez más sofisticadas, también hemos descubierto que muchos usuarios – tanto corporativos como consumidores – podrían mejorar su práctica en ciberseguridad. Lo peor es que algunos están utilizando soluciones de seguridad poco fiables y desactualizadas, las cuales no ofrecen la protección necesaria.
En resumen, es importante elegir la protección disponible más efectiva. De hecho, el año pasado, Kaspersky Lab participó en 93 pruebas independientes junto con todos sus comerciales, y Kaspersky Lab obtuvo los mejores resultados. Kaspersky Lab ha sido mencionado 66 veces dentro del top 3, y ha obtenido el primer lugar 51 veces. La seguridad de la información está en el ADN de Kaspersky Lab y trabajamos constantemente para mejorar la eficacia de nuestra tecnología para que nuestros usuarios tengan las soluciones de seguridad más confiables.