Peligro: Ransomware

Publicado por Lautaro Tallarico en

Tan lucrativo como peligroso, se ha convertido en una de las principales amenazas a la seguridad.

INTRODUCCIÓN

Actualmente, uno de los principales riesgos y preocupaciones latentes en lo que respecta a temas de seguridad informática es el software malicioso. Con el objetivo de dañar ordenadores, se han desarrollado diversos tipos de malware tales como virus, troyanos y gusanos. Actualmente hay individuos y  organizaciones (atacantes) dedicadas a crear nuevas variantes de estos malware con el fin de obtener rédito.

El malware de tipo Ransomware ha sido uno de los softwares maliciosos que ha cobrado relevancia en los últimos años. Del inglés “ransom” que significa rescate y “ware” que hace referencia a software, el ransomware es un software malicioso que infecta un ordenador, restringiendo el acceso a los archivos afectados y pide un rescate al usuario para quitar la restricción. Para lograr esto, utiliza criptografía para cifrar archivos y deja a la víctima en una encrucijada: si quiere recuperar el acceso a su información necesita si o si pagar un rescate (por lo general en la famosa criptomoneda: bitcoins). Otros de los objetivos que la criptografía maliciosa puede tener como objetivo son: el control de acceso sobre los datos del ordenador infectado, fuga de información, robo de información sensible, entre otros.

La víctima del ransomware puede ser un usuario aislado o una organización entera, sufre daños económicos y financieros tras ocurrir una infección. No solo es afectado por el pago que tiene que realizar para recuperar su información encriptada, sino que también puede tener otras consecuencias negativas colaterales tales como el tiempo de baja de servicio o la pérdida de reputación.

Si bien el primer caso de este tipo de malware data del 1989, la explosión de ransomware comenzó a partir del año 2005 y se acrecentó con la expansión de Internet. Se estima que en el 2017, los ataques de ransomware le costaron a las empresas un total de 5 billones de dólares, teniendo en cuenta no solo el precio de rescate, sino también las pérdidas producto de la baja del servicio.

En cuarentena, aumentaron 50 por ciento los ataques de ransomware

¿CÓMO ATACAN?

Los atacantes utilizan distintas estrategias para poder distribuir este tipo de software malicioso. Ellas son:

  1. Phishing

Mediante phishing (o suplantación de identidad), el atacante envía un correo electrónico de aspecto inocente con el objetivo de esconder el software malicioso, incluido como archivo adjunto o en un sitio cuyo enlace está presente en el mensaje. La infección puede ocurrir si el usuario: abre el archivo adjunto malicioso que instala el ransomware; abre el adjunto malicioso que inicia una descarga y luego instala el ransomware o ingresa al enlace del mensaje que apunta al ransomware.

  1. Exploit kit

El atacante utiliza herramientas que aprovechan las vulnerabilidades de seguridad que se encuentran sin arreglar en una aplicación o sistema operativo para instalar malware. La infección puede ocurrir meramente debido a la presencia de una vulnerabilidad, no requiere acción alguna de  los usuarios. Este método es aún más efectivo si las vulnerabilidades que son explotadas son de “día cero” (zero-day), debido a que cualquier ordenador que posea el software en cuestión será vulnerable y permeable.

  1. Malvertising

Utilizando malvertising (o publicidad maliciosa), el atacante coloca anuncios maliciosos a través de sitios web de confianza con gran cantidad  de visitantes. La infección puede ocurrir si el usuario: hace clic en el anuncio malicioso provocando la descarga del ransomware o simplemente accede y carga la página web que aloja el anuncio, sin necesidad de interactuar.

Se estima que el ransomware genera pérdidas de 169 Billones de dolares al año.

ESTRATEGIAS DE DEFENSA

7 conceptos básicos de seguridad informática que deberías conocer – Educacion IT

Es importante tener en cuenta que hay acciones que pueden llevarse a cabo previo a que el ransomware haya infectado el ordenador, red y/o sistema. El objetivo de estas estrategias es que el administrador de seguridad o usuario final se encuentre con un nivel de protección que permita evitar los ataques de este tipo de código malicioso. A continuación mencionaremos las más importantes para luego desarrollarlas con profundidad:

  1. Red segura
  2. Software de seguridad
  3. Actualizaciones
  4. Copias de seguridad
  5. Concientización
  1. Red segura

Asegurar la red en la que se encuentran los servidores y ordenadores de usuarios finales es una de las principales medidas que se deben tomar en la batalla contra el ransomware. Mediante una red segura, no sólo es posible evitar que los dispositivos sean afectados por el código malicioso en primera instancia, sino también evita que se expanda la infección en caso de ya haber ingresado a la misma.

Para que una red sea segura es importante contar con un Firewall, es decir, un dispositivo que permite limitar, cifrar y/o descifrar el tráfico entre diferentes ámbitos, tanto entrante como saliente. También con un Sistema de detección y prevención de intrusiones;  este dispositivo monitorea eventos que ocurren en la red en busca de incidentes, violaciones o amenazas a las políticas de seguridad. Además, ayudan a identificar un sistema dentro de la organización que está intentando infectar a otros sistemas y así evitar su expansión.

Otra estrategia fundamental para lograr una red segura es la segmentación de la misma. Esto consiste en dividir la red en subredes (por ejemplo a través de VLANs) que controlan el tráfico con el fin de mejorar el rendimiento, disminuyendo la cantidad de ordenadores conectados a cada subred. Ante un ataque de ransomware, la segmentación no evita que sea satisfactorio, pero ayuda a garantizar que una infección afecte sólo en el segmento de red en el que se encuentra el ordenador comprometido y no permite que se extienda por toda la red.

  1. Software de seguridad

Existen gran variedad de programas, aplicaciones y herramientas para proteger ordenadores y servidores de ataques, los fundamentales son: Antivirus, Filtro de correo electrónico, Filtro Web y Software anti-ransomware. Este último fue desarrollado debido al crecimiento de las familias de ransomware y a la ocurrencia de ataques masivos en los últimos años; su objetivo es proteger a los usuarios de este tipo de software malicioso proactivamente y así evitar el cifrado de archivos. La detección de esta herramienta se basa en heurísticas, permitiendo así detectar ataques zero-day. Además, incorpora otros métodos de defensa como la comparación de la suma de verificación y la predicción de comportamiento.

  1. Actualizaciones

Una de las puertas de entrada de los ransomware son los sistemas operativos o aplicaciones que se encuentran desactualizadas y con alguna vulnerabilidad en seguridad. Por tal motivo, la actualización continua del software utilizado e instalación de parches de seguridad se convierte en un hábito primordial para defenderse de este tipo de malware. Las actualizaciones son necesarias tanto para el sistema operativo como para el buscador utilizado (Chrome, Mozilla, etc.), Paquete Office, Java, Adobe Reader, etc.

  1. Copias de seguridad

Una copia de seguridad o backup, es un duplicado de información (documentos, carpetas, servidores, etc.) La copia permite recuperar la información original en casos de que se pierda la misma o no se encuentre disponible debido a fallos de software, hardware, catástrofes, infección por software malicioso, entre otros. Por tal motivo es fundamental que se almacene una copia de seguridad en un lugar seguro, preferiblemente en un lugar diferente y separado (lógica y físicamente), de lo contrario un mismo problema que afecte a la información original podría afectar a la duplicada, dejando sin efecto esta medida de protección. La copia de seguridad puede ser online (aquella que se almacena en sistemas basados en la nube) u offline (aquella que se almacena en un medio físico de hardware como discos duros externos, dvds, cintas, etc. Esta última queda a salvo de cualquier ataque cibernético que pueden sufrir las redes o servicios conectados a internet.

  1. Concientización

Mediante la concientización, se puede convertir a los usuarios en la primera línea de defensa ante un ataque de un criptovirus. La capacitación, concientización y educación sobre qué es el ransomware, sus vectores de ataques e impacto que causa a los usuarios y a la organización harán que las personas entiendan que su comportamiento puede afectar a sus clientes, a su compañía y/o a ellos mismos. Permite que los usuarios tomen conciencia e incorporen medidas para protegerse, por ejemplo, evitando abrir archivos adjuntos inesperados de fuentes desconocidas.

CONCLUSIÓN

Diariamente nos encontramos expuestos a posibles infecciones de nuestros ordenadores/redes con software malicioso. En los últimos años ha crecido fuertemente el caso de infecciones por ransomware. Las principales conclusiones que podemos obtener respecto a este tipo de software malicioso son las siguientes:

  • Los cibercriminales se actualizan continuamente, evaluando qué nuevas características o funcionalidades pueden incorporar para garantizarles mayor masividad y anonimato.
  • Es necesario solo un clic para que el ransomware ingrese a la organización. Si bien cuando el malware utiliza un exploit kit no se le puede atribuir mucha responsabilidad a la víctima, para el resto de los casos se termina concluyendo el ataque por un clic en un anuncio o una descarga de un archivo adjunto a partir de un phishing.
  • Cuando esto ocurre en un ordenador que es parte de una red corporativa puede provocar una infección masiva de todos los ordenadores (siempre que el ransomware pueda replicarse), ocasionando pérdidas económicas inmensas para las compañías, no solo por el rescate a pagar sino también por el tiempo que pueden pasar con todo el sistema detenido.
  • No existe una única medida que garantice efectivamente la protección frente al ransomware, sino que la seguridad se logra utilizando una combinación de las tácticas y herramientas mencionadas. Es recomendable establecer una seguridad por capas, incrementando la seguridad en la red (a través de la segmentación y los dispositivos como IDS), ordenadores y servidores (con software de seguridad como anti-ransomware, actualización continua de parches y copias de respaldo) y usuarios finales (mediante planes de educación y concientización del impacto de esta amenaza informática).

Algunos casos de público conocimiento:

BIBLIOGRAFÍA:

Categorías: DestacadaSeguridad
Etiquetas:

Lautaro Tallarico

Equipo de Infraestructura de Feedback IT

Entradas relacionadas

Cloud

Migración de aplicaciones a la Nube: Estrategias Clave

Transforma tu tecnología: Explora los beneficios y desafíos de la migración a la nube

Seguridad

Fortigate: SD-WAN

Al hablar de SDWAN nos referimos a la tecnología que permite la creación de una interfaz virtual para la administración de otras interfaces físicas. Esta interfaz está compuesta de al menos 2 enlaces.

Destacada

Mentalidad de crecimiento: ¿Cómo se consigue?

El éxito es 1% de inspiración y 99% de transpiración