Blog

Ransomware:qué es y cómo evitarlo

Ransomware:qué es y cómo evitarlo

El ransomware es un subconjunto de malware en el que el sistema de la víctima, o sus archivos, son bloqueados generalmente mediante cifrado.Posteriormente se exige el pago de un rescate, normalmente en una moneda virtual como Bitcoins, a cambio de la clave privada para poder descifrarlos.

Pagar el rescate no garantiza que el usuario podrá recuperar los datos secuestrados.

Más bien todo lo contrario: es posible que sea objeto de ataques posteriores, o que una vez satisfecho el importe del chantaje, le soliciten cada vez una cifra mayor.

Los delincuentes se centran principalmente en organizaciones que no pueden permitirse la perdida o el robo de datos:

  • Comerciales.
  • Confidenciales.
  • Datos valiosos que pueden afectar su productividad.
  • Una interrupción demasiado prolongada de sus servicios.

Pero los usuarios domésticos tampoco estamos exentos del riesgo de sufrir un ataque.

Cómo infecta el ransomware un dispositivo

No importa si solo tienes un ordenador personal o estás conectado al servidor de una empresa.

En cualquiera de los casos puede representar una gran amenaza para la información confidencial almacenada en el dispositivo.

  • Mensajes de correo electrónico, que incluyen un archivo adjunto infectado
  • Kits de exploits, para aprovechar alguna vulnerabilidad conocida del sistema operativo o de las aplicaciones.
  • Una falsa actualización de software.
  • Aplicaciones o programas que contiene código malicioso.
  • Una página web comprometida con o sin el conocimiento de sus propietarios.
  • Diferentes variantes de ingeniería social.
  • Publicidad maliciosa.
  • Dispositivos extraíbles como memorias USB.
  • Utilizando el protocolo de escritorio remoto.
  • Enlaces malicioso en publicaciones en redes sociales, chats de mensajería instantánea, etc.

Etapas de un ataque de ransomware

Etapas de un ataque de ransomware

Infección: el ransomware se descarga e instala de forma encubierta en el dispositivo.

Ejecución: el ransomware escanea las ubicaciones de los distintos tipos de archivo del dispositivo objetivo, incluidos los almacenados localmente y los accesibles mediante la red.

Algunos tipos de ransomware también eliminan o cifran cualquier archivo y carpeta de copia de seguridad o roban información confidencial.

Cifrado: el ransomware realiza un intercambio de claves con el servidor de comando y control, utilizando la clave de cifrado para codificar todos los archivos descubiertos durante el paso de ejecución.

Notificación al usuario: el ransomware agrega archivos con instrucciones que detallan el proceso de pago y luego usa esos archivos para mostrar una nota de rescate al usuario.

Limpieza: el ransomware se elimina después de hacer su trabajo, dejando solo los archivos con las instrucciones de pago. 

Rescate: la víctima hace clic en un enlace que viene junto a las instrucciones de pago, que le lleva a una página web con información adicional sobre cómo realizar el pago del rescate.

Para encapsular y ofuscar estas comunicaciones, los villanos suelen utilizan la red Tor.

Descifrado: después de que la víctima ha pagado el rescate, generalmente mediante Bitcoin u otra criptomoneda, con mucha suerte puede recibir la clave de descifrado.

Principales tipos de ransomware

El ransomware toma muchas formas, pero todas tienen el mismo objetivo: exigir un rescate a cambio de devolver el acceso al sistema operativo, o a los archivos secuestrados.

Crypto Ransomware.

Es una de las variantes más conocidas y dañinas.

Cifra los archivos y datos dentro de un sistema, haciendo que el contenido sea inaccesible sin una clave de descifrado.

Scareware.

Software falso que afirma haber detectado un problema en el dispositivo (normalmente malware) y pide un pago para resolverlo.

Algunos tipos de scareware bloquean el ordenador, mientras que otros simplemente inundan la pantalla con insidiosas ventanas emergentes, pero sin dañar los archivos.

Doxware.

Mientras que algunos tipos de ransomware bloquean sistemas, archivos y aplicaciones, el doxware también roba datos confidenciales de personas o empresas.

Seguidamente, pide el pago de un rescate tanto para facilitar la clave de descifrado, como para no hacer pública la información extraída.

RaaS (ransomware como servicio).

Modelo de negocio que maneja todos los aspectos del ataque: la distribución del ransomware, el cobro del rescate, y la restauración del acceso, a cambio de una parte del botín.

Los kits RaaS permiten que los clientes que carecen de habilidades técnicas para desarrollar su propia variante de ransomware, puedan perpetrar sus fechorías de forma rápida mediante un cómodo panel de control.

Todo ello por un precio bastante asequible.

Lockers.

Bloquean completamente el sistema operativo, por lo que los archivos y aplicaciones son inaccesibles por parte del dueño del dispositivo.

La demanda de rescate, se muestra en una pantalla de bloqueo al iniciar el sistema operativo, posiblemente con un reloj de cuenta regresiva, para aumentar la sensación de urgencia e impulsar a las víctimas a actuar.

Cómo evitar el ransomware

Siempre es mejor la prevención que tener que bregar con las pésimas consecuencias de un ataque tan insidioso.

Por lo tanto, hay que tomar precauciones para no ser víctimas de una cepa de ransomware u otro incidente de seguridad.

  • Configurar la protección antispam de la manera correcta.
  • Abstenerse de abrir archivos adjuntos que parezcan sospechosos.
  • Precaución con los enlaces obtenidos a través de redes sociales o mensajería instantánea.
  • Utilizar la función Mostrar extensiones de archivo.
  • Parchear y mantener el software actualizado, sobre todo el sistema operativo.
  • Descargar software únicamente desde sitios confiables. Preferiblemente desde la página web del desarrollador.
  • Ajustar el software de seguridad para escanear archivos comprimidos.
  • Instalar un complemento del navegador para bloquear ventanas emergentes.
  • Desactivar la ejecución automática de medios extraíbles
  • No insertar memorias USB desconocidas
  • Desactivar el uso compartido de archivos.
  • Apagar las conexiones inalámbricas innecesarias, como Bluetooth.

La mayoría de las muestras de ransomware necesitan establecer una conexión con sus servidores de comando y control para completar su rutina de cifrado.

Sin acceso a Internet, el ransomware permanecerá inactivo.

Por lo tanto, si detectas algo sospechoso, desconecta rápidamente tu dispositivo de internet, y de la red doméstica.

Temas:

Avisos de seguridad

Air VPN - The air to breathe the real Internet

Otros artículos

DarkTortilla: malware distribuido a través de sitios de phishing
Riesgos de seguridad asociados con las unidades USB
Que es el rociado de contraseñas
¿Necesito protección antivirus para mi Mac?
Los ciberdelincuentes se estafan unos a otros