¿Cómo funciona el ransomware?
Las técnicas utilizadas por los ciberdelincuentes para el ransomware son múltiples, entre ellas:
- El ransomware de bloqueo de pantalla bloquea el acceso a la pantalla del dispositivo que no sea la interfaz de usuario del malware.
- El ransomware PIN locker cambia el código PIN del dispositivo, haciendo que su contenido y funcionalidad sean inaccesibles.
- El ransomware de codificación de disco cifra el MBR (Master Boot Record) y/o las estructuras críticas del sistema de archivos, e impide así que el usuario acceda al sistema operativo.
- El Crypto ransomware encripta los archivos del usuario almacenados en el disco.
Atención
Por lo general, estos tipos de ransomware exigen un pago, casi siempre en bitcoin, monero u otra criptomoneda difícil de rastrear. A cambio, los ciberdelincuentes afirman que descifrarán los datos y/o restaurarán el acceso al dispositivo afectado. Pero no hay ninguna garantía de que los ciberdelincuentes cumplan su parte del trato (y a veces no pueden hacerlo, ya sea intencionadamente o como resultado de una codificación incompetente). Por lo tanto, ESET recomienda no pagar la suma exigida, al menos no antes de contactar con el soporte técnico de ESET para ver qué posibilidades existen de descifrado.
¿Por qué las pymes deben preocuparse por el ransomware?
Según la encuesta Ponemon 2017 sobre el estado de la ciberseguridad en las pequeñas y medianas empresas (PYMES), una de cada dos empresas encuestadas había sufrido un ataque de ransomware en los 12 meses anteriores, algunas en múltiples ocasiones. La mayoría (79%) vio sus sistemas infiltrados debido a ataques de ingeniería social.
Estas estadísticas demuestran dos cosas:
1. En contra de sus propias opiniones, las pymes se están convirtiendo en un objetivo cada vez más interesante para los ciberdelincuentes.
2. Las pymes son objetivos más valiosos para los ciberdelincuentes que los consumidores, y más vulnerables que las grandes empresas, ya que las pequeñas y medianas empresas suelen carecer de los recursos financieros y de seguridad de la información de sus homólogas corporativas. Esta combinación representa un "punto ideal" para los atacantes.
Más información
El mismo informe también señala que los ordenadores portátiles fueron los dispositivos más atacados (78%), seguidos por los teléfonos móviles y las tablets (37%) y los servidores de la empresa (34%). Si el ataque de ransomware tuvo éxito, la mayoría (60%) de las víctimas pagaron el rescate exigido. La suma que pagaron fue de media, más de 1800 €. Pero hay mejores maneras de hacer frente a la amenaza del ransomware, centrándose en la prevención y la recuperación.
¿Cómo mantener protegida tu empresa?
Medidas básicas de prevención y recuperación:
- Hacer copias de seguridad de los datos de forma regular y mantener al menos una copia de seguridad completa de los datos más valiosos fuera de la red
- Mantenga todos los programas y aplicaciones -incluidos los sistemas operativos- parcheados y actualizados
- Utiliza una solución de seguridad fiable y multicapa y asegúrate de que está parcheada y actualizada
Medidas de protección adicionales
- Reducir la superficie de ataque deshabilitando o desinstalando cualquier servicio y software innecesario
- Analizar las redes en busca de cuentas de riesgo que utilicen contraseñas débiles y asegúrese de mejorarlas
- Limitar o prohibir el uso del Protocolo de Escritorio Remoto (RDP) desde fuera de la red, o active la Autenticación a Nivel de Red
- Utilizar una red privada virtual (VPN) para que los empleados accedan a los sistemas de la empresa de forma remota
- Revisar la configuración del cortafuegos y cerrar los puertos no esenciales que puedan provocar una infección
- Revisar las reglas y políticas de tráfico entre los sistemas internos de la empresa y la(s) red(es) exterior(es)
- Proteger con contraseña las configuraciones de tus soluciones de seguridad para evitar que sean desactivadas por un ciberdelincuente
- Segmentar la LAN de la empresa en subredes y conectarlas a cortafuegos para limitar el movimiento lateral y el posible impacto del ransomware, u otros ataques, dentro de la red
- Proteger tus copias de seguridad con autenticación de doble factor o multifactor
- Formar regularmente al personal para que reconozca las ciberamenazas y sepan cómo manejar los ataques de ingeniería social
- Limitar el acceso a los archivos y carpetas compartidas sólo a aquellos que lo necesiten, lo que incluye hacer que el contenido sea de sólo lectura, y sólo cambiar esta configuración para el personal que debe tener acceso de escritura
- Habilitar la detección de aplicaciones potencialmente inseguras/no deseadas (PUSA/PUA) para detectar y bloquear las herramientas que pueden ser utilizadas indebidamente por los ciberdelincuentes para desactivar la solución de seguridad
Ninguna empresa está completamente a salvo del ransomware
Si su empresa no se ha visto afectada por el ransomware, podría estar tentado de asumir que esta amenaza está reservada a las grandes empresas. Las estadísticas demuestran que se equivocaría. Además, un ataque dirigido puede salirse de control y causar daños indiscriminados, incluso a nivel mundial. En junio de 2017, un ataque de malware en Ucrania, detectado por ESET como Diskcoder.C (también conocido como Petya o NotPetya), pronto se abrió paso fuera del país. Más tarde se supo que se trataba de un ataque bien organizado en la cadena de suministro que se infiltró en un popular software de contabilidad para atacar y perjudicar a las empresas ucranianas que se les fue de las manos, infectando a muchas empresas globales y más pequeñas, causando cientos de millones de dólares en daños.
Otro virus ransomware detectado por ESET como WannaCryptor.D (también conocido como WannaCry) se propagó rápidamente, utilizando la herramienta filtrada de la NSA EternalBlue, que explotaba una vulnerabilidad en el protocolo de red SMB (Server Message Block), utilizado principalmente para proporcionar acceso compartido a archivos e impresoras. A pesar de que Microsoft emitió parches para la mayoría de los sistemas operativos Windows vulnerables a los que iba dirigido el ataque casi dos meses antes, WannaCryptor.D se infiltró en las redes de miles de empresas de todo el mundo. El coste de los daños resultantes de este ciberataque se ha estimado en miles de millones de dólares.
La seguridad de ESET protege contra el ransomware
ESET PROTECT
Advanced
Protege los ordenadores, portátiles y dispositivos móviles de tu empresa con productos de seguridad gestionados a través de una consola de administración basada en la nube. La solución incluye tecnología de sandboxing en la nube, que evita las amenazas de día cero y el ransomware, y capacidad de cifrado completo del disco para mejorar la protección de los datos.