Ransomware
¿Qué es el ransomware?
El ransomware es un tipo de ciberataque diseñado para obtener acceso a un sistema y cifrar los archivos alojados en el mismo. Los archivos no podrán descifrarse sin una clave privada, que los delincuentes solo entregarán previo pago de un rescate.
¿Por qué los ataques de ransomware son cada vez más frecuentes?
La incidencia del ransomware está aumentando debido a que las organizaciones se centran de manera creciente en una toma de decisiones basada en los datos y consideran los datos empresariales como propiedad intelectual valiosa. Además de cifrar los datos, algunos delincuentes cibernéticos también roban información y, bajo la amenaza de ponerla en conocimiento de otros malhechores, presionan a la organización para que pague el rescate.
¿Cómo se resuelven los ataques de ransomware?
Por desgracia, los delincuentes raras veces entregan la clave para descifrar los datos aún cuando se realiza el pago del rescate, privando a las víctimas tanto del importe del rescate como de sus datos. Con un coste anual para sus víctimas que alcanzará un importe estimado de 265 000 millones de dólares (USD) en 2031, se produce un ataque de ransomware cada dos segundos contra una empresa, un consumidor o un dispositivo.
Ejemplos de ransomware
Algunos ataques de ransomware se inician cuando se incita a un usuario a abrir un archivo; con frecuencia se trata de un adjunto a un correo electrónico que, una vez abierto, descarga código malicioso que se propaga por toda la red. Otros aprovechan los puntos débiles de los sistemas operativos, las debilidades en los sistemas de seguridad físicos o las vulnerabilidades del software para obtener acceso a una red e instalarse en el sistema.
La primera gran amenaza de ransomware a gran escala comenzó en septiembre de 2013 con la emergencia de CryptoLocker, un troyano que engañaba a los usuarios para que descargasen un archivo que, acto seguido, infectaba toda su red. En mayo de 2014, fruto de una operación conjunta entre agencias de seguridad y cuerpos de seguridad del estado, se logró acabar con el troyano CryptoLocker. No obstante, algunas imitaciones todavía siguen en activo.
Desde la desactivación de CryptoLocker, se han desarrollado otras muchas familias de ransomware. Entre las más frecuentes figuran Conti, Maze (Egregor), Sodinokibi (REvil), TorrentLocker, WannaCry, Petya (NotPetya), Ryuk y MegaCortex. Sea cual sea su nombre, su objetivo es el mismo: obtener dinero de sus víctimas mediante extorsión a cambio de la clave para descifrar sus datos archivos.
Los nuevos esquemas de ransomware como servicio (RaaS), que permiten que cualquiera con conocimientos informáticos básicos y acceso a Internet pueda acceder al negocio del ransomware, están contribuyendo a un crecimiento significativo de este tipo de ataque. El autor del ransomware pone recursos, como las herramientas de cifrado, la comunicación con las víctimas y el cobro del rescate, a disposición de otros ciberdelincuentes a cambio de un porcentaje del importe del rescate.
¿Qué puedes hacer para protegerte de los ataques de ransomware?
Muchos de los ataques de ransomware actuales son difíciles de detectar porque, en gran medida, logran permanecer ocultos de administradores de sistemas y la protección de extremos. De este modo, los delincuentes logran mantenerse en el dispositivo durante mucho tiempo y, por tanto, tienen la capacidad para provocar daños a voluntad. La persistencia media de un ataque de ransomware es de 24 días, por lo que los delincuentes disponen de tiempo y oportunidades suficientes para acceder a los datos de una organización y manipularlos a su antojo.
Basta con que un usuario gestione sus contraseñas de manera inadecuada o haga clic en un enlace de un correo electrónico de phishing para poner en riesgo toda la red de una empresa. Un paso importante para reducir el riesgo de entrada de ransomware en las redes de las empresas es poner en marcha cursos de formación sobre concienciación en seguridad dirigidos a los empleados. Esta formación deberá repetirse de forma periódica para estar al día de los avances en las técnicas empleadas para llevar a cabo los ciberataques.
La mejor manera de protegerse frente al malware que explota las vulnerabilidades de software es mantener los sistemas operativos y las aplicaciones cruciales perfectamente actualizados y con todas las reparaciones instaladas. La supervisión de la red, la protección de contraseñas, la autenticación multifactorial (MFA) y las medidas de seguridad para puntos de conexión son tácticas y tecnologías de gran utilidad para reducir el perfil de amenazas de una organización.
Puesto que resulta imposible eliminar por completo la amenaza de un ataque de ransomware, contar con una sólida estrategia de copia de seguridad puede ayudar a acelerar la recuperación de una organización víctima de un ataque, con una interrupción mínima de las operaciones. Estas copias de seguridad deben residir en una ubicación al margen de la red para evitar el acceso de malware, puesto que la mayoría del ransomware intentará cifrar también las copias de seguridad.
¿Cómo se propaga el ransomware?
El paisaje de amenazas de ransomware crece sin control a medida que se multiplican los accesos de los usuarios a cargas de trabajo y aplicaciones empresariales críticas desde un número creciente de aplicaciones: oficinas domésticas, instalaciones sobre el terreno, puntos de venta comerciales, plantas de fabricación, habitaciones de hospitales y otras ubicaciones en el extremo. Además, un número creciente de dispositivos conectados que componen el Internet de las cosas (IoT) comparten datos entre sí en las redes empresariales, sin que sea necesaria intervención humana alguna. A medida que se generalizan las iniciativas de transformación digital, las vulnerabilidades de seguridad quedan más al descubierto y se convierten en una amenaza mayor para las empresas.
Aunque las variantes de ransomware son muchas y evolucionan constantemente, suelen utilizar uno o varios de los tres vectores de ataque principales para conseguir acceder a una red.
Mensaje de correo electrónico de phishing
Un popular vector de ransomware es el mensaje de correo electrónico de phishing. Los delincuentes envían a sus víctimas potenciales mensajes de correo electrónico que parecen proceder de una fuente de confianza. Por norma general, estos mensajes intentan que el destinatario introduzca algún tipo de credencial personal en una página web falsificada o descargue un archivo que contiene malware.
Protocolo de Escritorio Remoto (RDP)
El Protocolo de Escritorio Remoto (RDP) es un protocolo de Microsoft que permite a los usuarios conectarse de forma remota con un sistema y ejecutar comandos en el mismo. Por desgracia, la seguridad del RDP depende en gran manera de que los usuarios tengan unas contraseñas exclusivas y sólidas, lo que, en la práctica, no suele ser el caso. Los delincuentes pueden descifrar con facilidad las credenciales del RDP o comprar nombres de usuarios y contraseñas pirateados en la Dark web para acceder a un sistema.
Vulnerabilidades del software
Las vulnerabilidades del software representan otro método frecuente para la entrada del ransomware. El software que no se ha actualizado crea lagunas en las arquitecturas de seguridad y abre a la puerta al malware. Estas vulnerabilidades son un objetivo relativamente sencillo para los delincuentes pues no necesitan robar, piratear ni obtener credenciales de ninguna otra forma.
¿Cómo puede HPE protegerte contra los ataques de ransomware?
Desafortunadamente, incluso los mejores sistemas y prácticas de seguridad no nos protegen totalmente frente a los ataques de ransomware. Para poder restaurar las operaciones y minimizar las potenciales pérdidas de datos en el supuesto de sufrir un ataque, resulta esencial contar con un plan completo de copia de seguridad y recuperación de los datos.
Una solución hiperconvergente HPE SimpliVity consolida la infraestructura de TI y simplifica tanto la estrategia de protección de los datos como el proceso de recuperación, en especial para aquellas empresas que cuentan con múltiples oficinas remotas. Estas soluciones incorporan funciones, como protección de datos integrada, para ayudar a reducir la carga y brindar una protección más eficaz en toda la empresa, tanto en las oficinas locales como remotas (ROBO). Unas prácticas de datos eficientes permiten la realización de copias de seguridad más frecuentes para obtener una protección de datos casi continua, mayores periodos de retención y una recuperación más rápida. Incluso en caso de una infección por ransomware, una máquina virtual y todos sus datos pueden restaurarse de forma sencilla y ágil, minimizando el tiempo de inactividad, las interrupciones del negocio y la pérdida de ingresos.
HPE StoreOnce es un dispositivo (o máquina virtual) de copia de seguridad específico que incluye almacenes HPE StoreOnce Catalyst para aislar de manera eficaz los datos críticos de los ataques de ransomware. Como resultado de ello, los delincuentes no podrán tener acceso a los datos sin recurrir a interacciones físicas directas que, en última instancia, destruyen de forma total o parcial el propio hardware. Incluso aunque se destruya el hardware en una única ubicación, bien por causa de un ataque de malware o un desastre natural, la avanzada implementación de almacenes HPE StoreOnce Catalyst (distribuida) protegería los datos para tareas cruciales mediante un aislamiento eficaz de las líneas de comunicación y los conjuntos de comandos tradicionales de los que se aprovechan los autores de los ataques de ransomware.
Zerto, una empresa de Hewlett Packard Enterprise, brinda protección de datos continua (CDP) y recuperación inigualable basada en registros para tus aplicaciones y datos virtualizados y contenedorizados, desde el extremo hasta la nube. La plataforma de Zerto brinda la flexibilidad para ofrecer protección integral para nubes de todo tipo, ya se trate de nubes privadas, públicas o implementaciones nativas de la nube . Su arquitectura con escalabilidad horizontal puede proteger PB de datos y miles de máquinas virtuales. La solución basada únicamente en software copia cada cambio en los datos, con independencia del hardware subyacente, sin ralentizar los sistemas de producción.