El ransomware es un subconjunto de malware en el que el sistema de la víctima, o sus archivos son bloqueados generalmente mediante cifrado.Posteriormente se exige el pago de un rescate normalmente en una moneda virtual como Bitcoins, a cambio de la clave privada para poder descifrarlos.
Pagar el rescate no garantiza que el usuario podrá recuperar los datos secuestrados, es posible que sea objeto de ataques posteriores o que una vez satisfecho el importe del chantaje, le soliciten cada vez una cifra mayor.
Los delincuentes se centran principalmente en organizaciones que no pueden permitirse la perdida de información confidencial, datos valiosos que pueden afectar su productividad o una interrupción demasiado prolongada de sus servicios.
Pero los usuarios domésticos tampoco estamos exentos del riesgo de sufrir un ataque.
Cómo infecta el ransomware un dispositivo
Hay varias formas en que el ransomware puede infectar un dispositivo.
Una de las más comunes es a través de mensajes de correo electrónico, que incluyen un archivo adjunto infectado (en distintos formatos como por ejemplo: PDF, Word, Excel, PowerPoint, VBScript, JavaScript etc.) o un enlace a un sitio web malicioso o comprometido.
Una vez que el usuario abre el archivo adjunto o hace clic en el enlace, el ransomware puede infectar el ordenador de la víctima e incluso propagarse por toda su red.
Otra forma es utilizar un kit de exploits, para aprovechar alguna vulnerabilidad conocida del sistema operativo o de las aplicaciones, e inyectar código malicioso sin que el usuario tenga que intervenir para nada.
Eso es lo que hizo el infame gusano WannaCry, que infectó cientos de miles de dispositivos repartidos por todo el mundo utilizando una vulnerabilidad en Microsoft Windows.
También puede tomar la forma de una falsa actualización de software, o esconderse dentro de un generador de claves (los famosos keygen) para quitar las restricciones impuestas por el fabricante de un programa.
Una página web comprometida con o sin el conocimiento de sus propietarios, o una memoria USB «abandonada» son otra forma de distribuir este insidioso malware.
Etapas de un ataque de ransomware
Infección: el ransomware se descarga e instala de forma encubierta en el dispositivo.
Ejecución: el ransomware escanea las ubicaciones de los distintos tipos de archivo del dispositivo objetivo, incluidos los almacenados localmente y los accesibles mediante la red.
Algunos ataques de ransomware también eliminan o cifran cualquier archivo y carpeta de copia de seguridad.
Cifrado: el ransomware realiza un intercambio de claves con el servidor de comando y control, utilizando la clave de cifrado para codificar todos los archivos descubiertos durante el paso de ejecución.
Notificación al usuario: el ransomware agrega archivos con instrucciones que detallan el proceso de pago y luego usa esos archivos para mostrar una nota de rescate al usuario.
Pago: la víctima hace clic en un enlace que viene junto a las instrucciones de pago, que le lleva a una página web con información adicional sobre cómo realizar el pago del rescate.
Para encapsular y ofuscar estas comunicaciones los villanos suelen utilizan la red TOR.
Descifrado: después de que la víctima ha pagado el rescate generalmente mediante Bitcoin u otra criptomoneda, con un poco de suerte puede recibir la clave de descifrado.
Cuáles son los diferentes tipos de ransomware
El ransomware toma muchas formas, pero todas tienen el mismo objetivo: exigir un rescate a cambio de devolver el acceso al sistema operativo, o a los archivos secuestrados.
Es importante recordar que estamos tratando con delincuentes y en caso de pagar no existe ninguna garantía de que cumplirán con su parte.
Crypto Ransomware
Es una de las variantes más conocidas y perjudiciales.
Este tipo de ransomware cifra los archivos o partes del sistema operativo, haciendo que el contenido sea inaccesible sin una clave de descifrado.
A diferencia de otros tipos de malware, la infección no intenta pasar desapercibida.
Se muestra de forma escandalosa, con mensajes espeluznantes para acojonar a la víctima para que pague el rescate.
Screen Lockers
Una vez lanzado, modifica el autorun del registro de Windows para iniciarse automáticamente al arrancar el ordenador.
También deshabilita el administrador de tareas y bloquea algunas herramientas del sistema operativo.
Una pantalla de bloqueo consistente en una ventana emergente que ocupa todo el escritorio, impide cualquier tipo de actividad y muestra la petición de rescate.
La mayoría de veces muestra un reloj de cuenta regresiva, para aumentar la urgencia e impulsar a las víctimas a pagar.
A diferencia del Crypto Ransomware, no cifra los archivos ni partes del sistema operativo
Scareware
Generalmente afirma haber detectado cantidades ingentes de malware en el ordenador de la víctima, y le urge a que pague cierta cantidad de dinero para descargar un supuesto programa de seguridad que resolverá el problema.
Algunos tipos exóticos de scareware bloquean el sistema, mientras que los más comunes simplemente usan la supuesta amenaza para sacar dinero pero sin dañar el dispositivo ni los archivos.
Algunos no lo consideran como un tipo de ransomware.
Si bien la mayoría de alertas de scareware acostumbran a ser falsas, no deben ignorarse por completo.Su sola presencia es una señal de que un dispositivo está infectado.
Aunque muchas veces también podría ser culpa del sitio web que estamos visitando en el momento en que se generó la alerta.
Doxware
Una vez activado, el doxware se comporta de manera similar a otros tipos de ransomware, encriptando archivos para seguidamente presentar sus exigencias económicas a la víctima.
Pero la diferencia es que además del cifrado de archivos, el doxware también roba datos confidenciales y envía copias a quien controla el malware.
Y el ciberdelincuente, amenaza con distribuir públicamente la información robada si no le sueltan la pasta.
Para los usuarios domésticos, esto puede significar la publicación de fotos personales, correos electrónicos o información financiera.
Para las organizaciones, la exposición de sus registros de clientes, archivos confidenciales o propiedad intelectual, lo cual puede tener graves consecuencias financieras y legales.
Muchas personas o empresas entran en pánico y pagan el rescate, para evitar que estos datos caigan en manos equivocadas, o acaben siendo del dominio público.
Una variante del Doxware es el ransomware que simula un mensaje procedente de los Cuerpos y Fuerzas de Seguridad del Estado, el FBI, la Interpol u otra agencia gubernamental advirtiendo al usuario que su dirección IP se ha visto envuelta en alguna actividad ilegal, y su sistema ha sido bloqueado.
Acostumbra a utilizar la geolocalización, para adecuar el mensaje al idioma y autoridad correspondiente a la región del usuario.
Hasta que la víctima no paga la «multa» el ordenador continúa secuestrado.
Ransomware como servicio (RaaS)
El ransomware como servicio es un modelo de negocio que permite a los desarrolladores de malware ganar dinero por sus creaciones, sin necesidad de tener que distribuir directamente sus amenazas.
Los delincuentes con escasos o nulos conocimientos técnicos alquilan sus productos para perpetrar los ataques, y los padres de la criatura reciben un porcentaje de los beneficios.
Los perpetradores del invento corren relativamente pocos riesgos, ya que sus clientes hacen la mayor parte del trabajo.
Algunas instancias de ransomware como servicio usan suscripciones mientras que otras usan modelos de afiliados donde el desarrollador recolecta todo el dinero del rescate obtenido, se queda con un porcentaje como comisión y pasa el resto al afiliado.
Si bien las aplicaciones RaaS varían en complejidad, en general, están diseñadas para ser muy fáciles de usar, lo que hace posible que casi cualquier persona pueda perpetrar un ataque.
Ignoro si cuentan con un departamento de atención al cliente u ofertas de Black Friday.
Cómo prevenir y evitar el ransomware
Prevenir el ransomware es mejor que tener que lidiar con sus consecuencias.
Lamentablemente, una vez que se ha realizado el cifrado a menudo es imposible recuperar los datos, sin la clave de descifrado.
La mejor forma de prevención, sin lugar a dudas es la copia de seguridad de nuestros datos en un disco duro externo, en la nube, en una memoria USB o cualquier medio extraíble.
No tiene sentido guardar una copia de respaldo en nuestro PC ya que el ransomware también puede cifrarla.
Las copias de seguridad no evitarán el ransomware, pero pueden mitigar las consecuencias de una infección.
Nunca dejes la unidad (memoria USB o cualquier medio extraíble) conectada permanentemente a tu ordenador; una vez completada la copia de seguridad, desconéctala para que el malware no pueda infectarla.
Tener actualizado el sistema operativo y el software instalado en el ordenador con los últimos parches de seguridad, evitará en gran medida que los kit de exploits puedan hacer de las suyas.
El controlador de protocolo MSIX ms-appinstaller de Windows, que permite a los usuarios instalar cualquier aplicación simplemente haciendo clic en un enlace en un sitio web, también es utilizado por los cibercriminales para distribuir malware.
Microsoft lanzó actualizaciones de seguridad para abordar esta vulnerabilidad en las actualizaciones del martes de parches de diciembre de 2021 y proporcionó soluciones para deshabilitar el esquema MSIX.
Pero por suerte decidieron deshabilitar el protocolo por completo para proteger a todos los usuarios de Windows, incluidos aquellos que aún no implementaron los parches de seguridad de diciembre ni utilizaron las soluciones alternativas.
Hay que ser cuidadosos a la hora de abrir los archivos adjuntos y hacer clic en los enlaces de los correos electrónicos, y solo descargar aplicaciones de fuentes confiables.
Usar un software de seguridad como Microsoft Defender con la capacidad para la protección de los archivos y mantenerlo actualizado.
Una caja fuerte virtual como My Lockbox puede ayudarte a mantener tus archivos importantes a salvo del ransomware.
Activar la opción de mostrar las extensiones de los archivos en el menú de configuración de Windows. Esto hará mucho más fácil detectar archivos potencialmente maliciosos.
Los estafadores pueden usar varias extensiones (avi, exe, doc, scr) para camuflar un fichero malicioso como un video, una foto o un documento.
Mantenerse al día sobre las últimas amenazas de ransomware.
En caso de infección, y si no has hecho una copia de seguridad de todos tus archivos, los desarrolladores de soluciones antimalware, ponen a disposición de todo el mundo, y de forma gratuita algunas herramientas de descifrado para ayudar a las víctimas a recuperar sus archivos.
