domingo, octubre 20

Ransomware representa una amenaza

0
Compartir nota

CUANDO SE CREÍA QUE ESTE TIPO DE ATAQUE YA NO ERA RELEVANTE, LAS COMPAÑÍAS SIGUEN SIENDO IMPACTADAS POR ESTE MÉTODO DEL QUE SE DEBE ESTAR MÁS ALERTA QUE NUNCA

Ransomware, a modo general, es un tipo de malware que es introducido a las computadoras, al estar dentro secuestra la información. Actualmente muchas familias encriptan los archivos para pedir un rescate para que la información pueda ser recuperada. En la mayoría de los casos se presenta un mensaje en el monitor que da las instrucciones para el pago, o bien se advierte al atacado sobre la posibilidad de que se cometa una acción ilegal con su información y piden a cambio dinero para que no suceda. 

Tal como lo recalcó Denise Giusto Bilic, Security Researcher de Eset Latinoamérica, este tipo de ataques no es algo reciente, es un código malicioso que realiza acciones ilegitimas sin autorización existe desde los años 80, y con el paso del tiempo se ha ido perfeccionando. “Antes se bloqueaba sólo la pantalla, eran sencillos y se desinfectaba de forma fácil”, acentuó. Por su parte, Roberto Martínez, analista de seguridad senior en Kaspersky, detalló que el primer ataque data de 1989, explicó que esta modalidad no se difundió mucho debido a que en esa época los sistemas no estaban tan interconectados, así que no era tan sencillo que se propagara de modo masivo como actualmente sucede. 

Un vistazo a la evolución del ransomware 

Muchos son los tipos de ransomware que han ganado fama, ya sean por codificación de archivos o por bloqueo de pantalla, “su nivel de importancia se debe a la cantidad de usuarios afectados, y por otro lado, si es que aportó un nuevo mecanismo para generar amenazas, sí agregan complejidad”, indicó Giusto. Algunos de ellos son:

•Aids Trojan: data de 1989 y es considerado el primer tipo de ransomware, se transmitía por medio de disquete. 

Reveton: apareció en 2016, tenía geolocalización para señalar al usuario su ubicación, con lo que la víctima se sentía más presionado para pagar una supuesta multa que se mostraba en un mensaje que pedía un pago por usar contenido ilegal, tal como lo explicó Giusto. En este sentido, Martínez señaló a éste como uno de los ataques más populares desde la existencia del ransomware y fue conocido como el ‘Virus de la Policía’. Martínez, añadió que liberarse de este ataque era sencillo, ya que se requería un disco de arranque para eliminarlo desde la unidad de registro. También recordó que en el 2010 cambió la estructura y se creó un nuevo código malicioso que impide el acceso por medio del cifrado y varían con cada una de las víctimas.

•Cryptolocker: apareció en 2013, “es uno de los que más ‘dolor de cabeza’ dio y logró introducirse al FBI, filtrado de información, con claves seleccionaba archivos específicos que sabe que son importantes para el usuario. Presentó una forma de infección que se distribuyó a través de redes peer to-peer (P2P) para compartir archivos, haciéndose pasar por claves de activación para programas populares de software como Adobe Photoshop y Microsoft Office. Si el equipo se infecta, Cryptolocker busca una amplia gama de tipos de archivos para cifrar”, explicó Eset.

•CryptoWall: al siguiente año apareció esta forma de ataque que cifraba algunas extensiones de una computadora y se volvió uno de los más propagados.

•Locky: lanzado en 2016, fue difundido por un correo con un documento que pide habilitar macros que serán maliciosas. Una de sus principales características es que cambia la extensión de los archivos a .locky, y en otra de sus variantes a .ykcol, para despistar sobre la familia de ransomware. 

•WannaCry: apareció en 2017 y de acuerdo con la especialista de Eset, fue el primero en denegar infraestructura crítica a nivel global, por esta razón se le considera como un acto terrorista. Según cifras de la compañía de seguridad, un aproximado de las pérdidas a nivel global fue de 4 billones de dólares.

•Petya: se registra el primer ataque en 2017, el cual ataca el disco duro para que al momento de iniciar se bloquea todo el acceso al sistema. Usa Dropbox para propagarse y lograr que los usuarios descarguen un archivo que ejecutará un troyano.

Formas más comunes de infección 

Los especialistas señalaron que algunos de los principales vectores de infección tanto para plataformas móviles como de escritorio son: 

•Gusanos: que consiste en la propagación autónoma, sin necesidad de que el usuario intervenga.

Mensajes y correos fraudulentos, donde se encuentran troyanos ransom que se ejecutan luego de una acción determinada del usuario.

•Enlaces a páginas maliciosas.

•Redes para compartir archivos (P2P)

Esta historia continúa 

Giusto indicó que WannaCry fue uno de los que mayor auge tuvo en los medios, “actualmente ya no se habla tanto de este tipo de ataques, sin embargo, siguen siendo una amenaza. De hecho, en un estudio que hicimos a 4 mil empresas de América Latina, un 20% de ellas aceptó haber sido infectadas por ransomware”. 

Eset reveló que el 72% de las empresas afectadas no tienen acceso a sus datos por al menos dos días, y el 32% de ellas supera los cinco días en adelante para poder recuperarse.

De acuerdo con cifras de Kaspersky Labs, en 2018 un 30% de los equipos a nivel mundial fue atacado con malware, del total ransomware registró un aumento del 43%, con más de 39,842 variaciones de crypto-ransomware, y 11 nuevas familias descubiertas que en conjunto comprometieron a 220 usuarios corporativos. De ellos se estima que el 60% de las compañías pagan el mensaje, según cifras de Kaspersky. Además, Martínez advirtió que las campañas de ataques se vuelven cada vez más dirigidas y por tanto el impacto continúa siendo muy alto.

En el caso de México, somos el tercer país con más infecciones de ransomware, recibiendo el 14% del total de los ataques en América Latina, de acuerdo con información proporcionada por Eset. En caso de Kaspersky, lo ubica en el octavo lugar a nivel mundial. 

“MÉXICO OCUPA EL OCTAVO LUGAR EN NÚMERO DE ATAQUES DE RANSOMWARE A NIVEL GLOBAL”: KASPERSKY. 

Giusto opinó: “esta modalidad de ataques seguirá existiendo a pesar de que no esté tan presente en los medios, y con modalidades para robar credenciales, carteras electrónicas, o para robar información”. En su caso, Martínez, dijo: “Es importante que las empresas se den cuenta de que si esto sigue generando ganancias no va a desaparecer, lo mejor seguirá siendo evitar acciones de riesgo, cuidar correos desde a nivel individual; vemos que las compañías continúan minimizando el riesgo”. No obstante, como lo revelan las cifras, el ransomware sigue siendo una amenaza. De hecho, en la red se puede encontrar con un modelo de “ransomware as a service”, para que incluso personas sin mucho conocimiento hagan este tipo de ataques. Estos servicios rondan entre los 300 y 500 dólares, “lo que varía y se determina por la cantidad de características que contienen, depende de qué tan sencillo es generar el malware y de su nivel de complejidad”, recalcó Martínez. 

Sobre el rescate

De modo exacto, no se sabe cuánto se ha recaudado por este tipo de ataques, ya que tal como lo afirmó Martínez, existen muchas empresas que no dan este tipo de información. “Además ransomware no está legislado bajo la figura de delito”, dijo al respecto Giusto. 

Un estimado de Kaspersky indica que para 2019 se podrían registrar 11.5 billones por el pago de rescates de malware. El especialista de esta marca recordó que a esto se suma el impacto que genera en los negocios por las afectaciones en su operación o bien en su reputación.

Giusto señaló que la mayoría de las veces al hacer el pago del rescate las empresas o personas reciben la información, “es como un modelo de negocio, por ello es que en la mayoría de los casos liberan la información porque si no la gente dejaría de pagar”. Sin embargo, Martínez reconoció que existen veces en que esto no es así.  También se ha registrado que al recibir las claves de recuperación se encuentra otro código malicioso, con lo que podría volver a atacar a la misma organización.

¿Qué hacer?

Los especialistas recomendaron a las empresas no realizar los pagos y detallaron que lo mejor siempre es tomar acciones preventivas. “Es más fácil prevenir que resolver, porque la única forma de recuperarlo es descubrir una vulnerabilidad en la implementación, sólo así hay posibilidad de desarrollar una herramienta, sino no hay forma”, continuó Martínez. 

Recordó que muchas veces el ransomware es un distractor y lo que quieren es robar información, “de hecho, siempre que hablamos de ataque se hablan de actores, motivaciones y objetivos, y a veces existe una combinación de ataques para alcanzar su objetivo principal”.

 Es por ello que se debe de contar con modelo de protección por capas para conocer lo que está pasando en la red. 

Aunado a ello, explicó que los ataques pueden dirigirse a cualquier tipo de empresa sin importar su tamaño, recalcó que las PyME suelen ser las más expuestas. Es por ello que consideró que todo tipo de empresa debe de trabajar en un plan de respuesta a incidentes, mapear el ransomware e identificar diferentes fases para diseñar estrategias de defensa para evitar la propagación. “Se debe de establecer una estrategia por capas, no hay una sola herramienta que te protege de todo, debemos proteger por capas. Incluir capacitación al personal; las áreas directivas deben de estar muy conscientes de estos temas para que se tomen las decisiones adecuadas”, recomendó Martínez.  “Ese es nuestro modelo: multicapas, además de que nos aseguramos que se configuren adecuadamente, porque muchas veces se instala, pero no se configura adecuadamente. Todo es una combinación de elementos que bien configurados protegen a los usuarios”.

“PARA CUIDARNOS EL ALIADO ES EL RESPALDO DE LA INFORMACIÓN. SE PUEDE TENER UN BACK UP NO CONECTADO AL SERVIDOR PRINCIPAL, LO QUE ES ESENCIAL EN CASO DE RANSOMWARE. ASÍ SE AHORRA EL RESCATE Y SOBRE TODO SE EVITA PARAR LAS OPERACIONES DE LAS EMPRESAS”: GIUSTO 

 

De acuerdo con la especialista de Eset, lo que se requiere es una solución de seguridad integral, micro segmentación de las redes, seguridad acorde a la infraestructura; es muy importante, configuraciones por defecto que no permitan ingresar a los atacantes, gestión de seguridad, desarrollo de políticas, realización de análisis de riesgo, contar con un socio para hacer administración de parcheo y con ello contar con todas las actualizaciones. 

Para lo anterior, el canal cumple un rol preponderante ya que son ellos quienes pueden ayudar a los usuarios. “Los socios son estratégicos, a ellos les recomendaría conocer el tema a fondo, no es algo general, no se trata solo de licenciamiento. Por ello es importante que faciliten la forma en que se debe de implementar la seguridad de acuerdo a sus necesidades; no solo de instalar un antivirus”, dijo Martínez. 

Compartir nota
Share.

Sobre el autor

Comments are closed.