‘Ransomware’ y herramientas de cifrado
¿
Qué es un “ransomware”? Según IBM, un “ransomware” es un tipo de “malware”, o “software”, malicioso que bloquea los datos o el dispositivo informático de una víctima y amenaza con mantenerlo bloqueado, o algo peor, a menos que la víctima pague un rescate al atacante.
En el 2021, 21 % de todos los ciberataques fueron ataques de “ransomware”, en ese momento exigían dinero para desbloquear los datos de un equipo informático. En la publicación de IBM Security 2022 nos dicen que los ataques han aumentado a doble y triple extorsión, que añade la amenaza de ataques de denegación de servicio (DDOS) que cada día van en aumento.
Un “ransomware” de cifrado cifra archivos personales y carpetas, los archivos originales se borran una vez cifrado, es posible que usted solo descubra el problema cuando intente acceder a algún archivo, algunos tipos de “software” de cifrado muestran una pantalla de bloqueo.
Se pregunta: “¿debo pagar por el rescate?”. La respuesta es: “no es recomendable”, porque la mayoría de las veces no se soluciona el problema y los cibercriminales seguirán buscando la fórmula para vulnerar los sistemas, para recaudar dinero y provocar más infecciones.
¿Cuándo ocurren estos ataques? Cuando visitamos sitios web inseguros y fraudulentos y descargamos archivos y programas, estos “malware” se adjuntan durante el proceso de la descarga.
La infección no será evidente al usuario, ya que actúa en segundo plano, hasta que se bloquean los datos y se solicita el rescate.
Los ataques de “ransomware” utilizan varios métodos para infectar dispositivos informáticos o una red, entre los más destacados encontramos:
¸Correos electrónicos de “phishing” y otros ataques de ingeniería social: se manipula al usuario para que descargue archivos adjuntos maliciosos.
¸Vulnerabilidades del sistema operativo y del “software”: pueden inyectar códigos maliciosos en un dispositivo o en la red.
¸Robo de credenciales: roban credenciales de personal autorizado, las compran en el mercado negro o utilizan la fuerza bruta y luego utilizan “software” de acceso remoto para entrar al equipo.
¸ Otros programas malignos: desarrollan “malware” para otros ataques e insertan “ransomware” en los dispositivos.
¸Descargas de tipo “drive-by-download”: utilizan sitios web, para pasar “ransomware” a los equipos sin el conocimiento de los usuarios.
En el 2016 nace la iniciativa de crear una plataforma que permitiera unir fuerzas para luchar de manera conjunta contra los ataques de “ransomware” y de allí surge el proyecto “No More Ransom”, que facilita gratuitamente herramientas para descifrar archivos secuestrados, se enfoca en educar a los usuarios, y nos proporciona de forma fácil la realización de denuncias al momento de ser víctimas de un ataque.
Para descifrar un “ransomware” con esta plataforma, lo único que debemos hacer es descargar la herramienta y ejecutarla, y descifrar todos los archivos para que los podamos utilizar.
En la página nomoreransom.org podemos observar varias herramientas de descifrado de “ransomware” como, por ejemplo: Aurora, Aura, Bart, Bitcryptor, Chaos, Cry9, Democry, Elvispresley, Fury, Globe, gogoogle, Hakbit, Jaff, AES_NI, Alcatraz Locker, Babuk, Crysis, Cryptomix (Offline), 777 Ransom entre otros.
Apliquemos los siguientes pasos para la mitigación de riesgos:
Debemos mantener el sistema operativo y las aplicaciones de los dispositivos personales y corporativos actualizados.
Restrinja el protocolo de escritorio remoto (RDP), debemos llevar a cabo pruebas de penetración de manera regular, monitorear la exfiltración de los datos nos proporciona la visibilidad de qué datos se encuentran en riesgo de exposición.
Usemos contraseñas complejas y modifiquémosla de manera regular (mayúsculas, minúsculas, número y caracteres), gestionemos el uso de cuentas privilegiadas, con esto no permitiremos que los usuarios instalen o ejecuten “software” no autorizados, cada uno debe tener un permiso de acceso.
Instale aplicaciones sólo de fuentes confiables, implemente medidas como el cifrado de disco, los “timeouts” de inactividad, las pantallas privadas, la autenticación robusta, la deshabilitación de Bluetooth y el control y cifrado de dispositivos extraíbles (ejemplo: dispositivos USB).
Desconfíe del acceso a redes wifi-públicas, proporcione a sus empleados capacitaciones y educación en la materia de ciberseguridad.
Habilite los cortafuegos locales y deshabilite el Windows Powershell si no lo usa, porque algunas variantes de “ransomware” usan Powershell para ejecutarse.
La recomendación general de la asociación No More Ransom liderizada por Mcafee, Politie, Europol y Kaspersky es no pagar el rescate. Enviando su dinero a los cibercriminales contribuirá a que el “ransomware continúe”, además no existe garantía de que reciba la clave después del pago.