El ransomware es una de las mayores amenazas para las empresas hoy en día, y con los nuevos ataques que salen en las noticias a diario, el riesgo puede parecer abrumador. Pero, ¿qué es realmente el ransomware, y cómo pueden las empresas protegerse? En esta serie, analizaremos en profundidad el ransomware, destacando métodos específicos de ataque como el compromiso del correo electrónico, las vulnerabilidades y el Protocolo de Escritorio Remoto, profundizando en los ataques a la cadena de suministro y dando consejos sobre cómo las empresas pueden mitigar el riesgo.
Lee más artículos de la serie:
PARTE 2: Ransomware: Los múltiples peligros del protocolo de escritorio remoto
PARTE 3: Ransomware: Cómo proporicionar una valiosa capa de protección al correo electrónico
PARTE 4: Ransomware: La necesidad de proteger el eslabón más débil
¿Qué es ransomware?
El ransomware es un tipo de ciberataque que busca cifrar, prohibir o restringir severamente el acceso a los datos, dispositivos o sistemas completos de la víctima hasta que se hayan cumplido las demandas de rescate y se restauren los datos del usuario. El daño causado puede ser severo y generalizado. El mayor ataque de ransomware hasta la fecha, WannaCry, afectó a más de 230,000 ordenadores en 150 países diferentes en 2017.
El ransomware hoy en día es muy frecuente y se ha visto incrementado por la tendencia actual de trabajo híbrido. Entre enero de 2020 y junio de 2021, ha habido la increíble cifra de 71 mil millones de ataques de ransomware en todo el mundo. Si nadie está a salvo, las pymes se han convertido, cada vez más, en objetivos muy atractivos para los ataques. Esto se debe a que, aunque contienen muchos datos valiosos de clientes y financieros, a menudo carecen de las sólidas medidas de seguridad empleadas por las grandes corporaciones. Lo que también empeora la situación es que debido a que no se ven a sí mismos como objetivos potenciales, es menos probable que hagan una copia de seguridad de sus datos.
Si bien hemos visto varias variantes de ransomware desde su aparición en 1989, generalmente se pueden dividir en cuatro tipos principales:
- Screen locker ransomware, que bloquea el acceso a tu dispositivo a través de un screen locker
- Pin locker ransomware, que cambia el código PIN de tu dispositivo, haciendo que su contenido y funcionalidad sean inaccesibles
- Ransomware de codificación de disco, que cifra el MBR (Master Boot Record) y / o las estructuras críticas del sistema de archivos, lo que te impide acceder al sistema operativo
- Crypto-ransomware, que cifra los archivos en tu disco
¿Cómo funciona técnicamente?
A medida que los empleados se han trasladado a trabajar desde casa y acceder a los sistemas y servicios internos de la empresa a través del Protocolo de Escritorio Remoto (RDP), además, de la tendencia creciente de empleados que llevan sus propios dispositivos al trabajo (BYOD), los ciberdelincuentes han aprovechado esto como un medio para realizar un ataque ransomware, entre otras amenazas maliciosas. Sin embargo, este no es el único vector que se utiliza. Las campañas de Malspam y phishing que entregan documentos dudosos, macros maliciosas, hipervínculos dañinos y binarios de botnet también siguen siendo populares.
También están los ciberdelincuentes que ejecutan esquemas de ransomware como servicio (RaaS) para obtener acceso a una máquina a través de vulnerabilidades conocidas, y luego moverse lateralmente a través de la red, antes de decidir dónde cifrar. Otros realizan ataques a la cadena de suministro para acceder a ecosistemas de TI completos. Al apoderarse de las populares plataformas de proveedores de servicios administrados (MSP) y las herramientas de productividad, los ciberdelincuentes pueden desatar ransomware en múltiples redes a escala.
¿Cómo funciona psicológicamente?
El ransomware funciona ejerciendo presión sobre sus objetivos. Esto podría ser la presión del daño a la reputación, las interrupciones comerciales o incluso las sanciones legales y financieras. Su efectividad ha llevado a que cientos de millones de euros terminen en las cuentas de los ciberdelincuentes. Los rescates recientes, como los 66 millones de euros exigidos por Sodinokibi en el ataque de Kaseya o los casi 38 millones de euros pagados por CNA, demuestran la magnitud del problema en 2021.
Desafortunadamente, esto ha llevado a un círculo vicioso. A medida que grandes sumas fluyen a las arcas de las bandas de ransomware, les permite desarrollar aún más su modelo de negocio RaaS e incorporar numerosos afiliados nuevos.
No te conviertas en una estadística
El ransomware convierte un desafortunado incidente de malware en una guerra psicológica que tiene como objetivo obligar a las víctimas a actuar en contra de su propia voluntad y mejores intereses. Darse cuenta de que te has convertido en una víctima generalmente no toma mucho tiempo. El ransomware generalmente te informará de su presencia poco después de afectar a tus dispositivos mostrando una nota de rescate en su pantalla, agregando un archivo de texto a las carpetas afectadas o cambiando la extensión de los documentos de los archivos cifrados.
Asegúrate de no convertirte en una estadística. Para minimizar el riesgo de ransomware, no tomes atajos e implementa una solución de seguridad integral.