¿Cómo se realizan los ataques Ransomware y cómo evitarlos?
En este artículo continuamos el análisis ya expuesto en Un “clic” y diga ADIÓS a su Empresa y explicamos cómo se ejecutan estos ataques informáticos y cómo podríamos eludirlos.
¿Cómo nos atacan?
La anatomía del ataque por lo general comienza recibiendo un usuario un correo electrónico bastante sugerente con un fichero adjunto. Al abrir ese fichero adjunto, se descarga el Ransomware.
Este Ransomware hace una lista de todos los ficheros de su disco duro que van a ser encriptados (cifrados). Una vez conoce que ficheros va a dejar inutilizados empieza a cifrarlos a gran velocidad.
En algunas variantes de Ransomware, se produce una propagación del Ransomware por su red de ordenadores cifrando a su vez la información contenida en el resto de ordenadores de la empresa maximizando el impacto del ataque. Evidentemente, si su medida de protección es un disco duro (o cualquier dispositivo de almacenamiento externo) conectado por USB dese por vencido pues será cifrado también y con ello el futuro de su empresa. Concluido la infección muestra un mensaje de extorsión.
Medios de transmisión:
Aunque con algunas excepciones, los Ransomware utilizan el correo electrónico como medio de transmisión. Para ello utiliza mensajes falsificados que engañan al usuario final haciéndose pasar por alguien que no es para que abra un archivo adjunto. Esta técnica se denomina phishing (Es la práctica de enviar correos electrónicos que parecen proceder de fuentes confiables con el objetivo realizar acciones maliciosas. Proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "muerdan el anzuelo").
Un ejemplo de phishing con un Ransomware adjunto es el falso correo de Endesa que ejecutaba un Ransomware si un usuario abría la supuesta factura adjuntada cifrando todos los archivos del equipo afectado (enlace para más información). Muchas empresas se vieron afectados por este Ransomware por el alto nivel de similitud del correo recibido con una notificación verídica de Endesa, dificultando la identificación de si era un correo malicioso o no.
Recomendaciones para evitar ser atacado por un Ransomware:
- No abrir correos electrónicos o archivos de remitentes desconocidos. Debemos tener claro que el nuevo vector de ataque es el de la ingeniería social (engañar a un usuario para que haga algo que queremos que haga y que por otros medios no lo haría). Evaluar si la forma de comunicarse en ese correo es la normal en ese tipo de comunicaciones. Evaluar faltas de ortografía, texto ininteligible, con faltas semánticas o sintácticas, o procedimientos de comunicación poco habituales por parte del remitente (enlaces a web, descarga de archivos). Recomendación: Si duda la veracidad de un correo elimínelo y evite problemas. Si es fidedigno o importante seguro que se lo vuelve a enviar.
- No abrir archivos adjuntos no esperados a ser recibidos o cuya procedencia no sea claramente verificable.
- Deshabilitar las Macros de Office, pues son un medio de ejecución de Ransomware de fácil explotación.
- Mantener nuestros sistemas operativos actualizados para evitar fallos de seguridad.
- Utilizar un antivirus no garantiza al 100% evitar ser infectados, pues muchos de los nuevos ataques por Ransomware utilizan técnicas de ofuscación contra antivirus (la ofuscación de código es el proceso de modificación de un programa para hacer más compleja su comprensión y por ende su detección), pero es una primera línea de defensa de bajo coste para las PYMES sobre otro gran número de Ransomware menos sofisticados.
- La formación es la mejor herramienta para ayudar a tu empresa a evitar la infección por Ransomware. Es un imperativo dar a conocer a sus empleados los métodos de ingeniería social más comunes para que no se conviertan en víctimas de correos electrónicos de suplantación de identidad o mensajes falsificados y la posterior infección. Recuerde, el empleado es el eslabón más débil dentro de la cadena de seguridad y es por allí por dónde van a atacar a su empresa. Establezca un plan de formación con los empleados con el fin de convertirlos en el mayor y más efectivo “antivirus” que pueda tener su empresa dotándolos de la capacidad de decidir que correo es potencialmente una amenaza y cuál no.
- SIEMPRE, SIEMPRE, SIEMPRE tener una copia de seguridad actualizada y aislada de la red de ordenadores (evitamos que sea accesible por el Ransomware en caso de infección). Esta copia de seguridad aislada es nuestro “seguro a todo riesgo” y garantía de continuidad de negocio con un impacto reducido.
Y si a pesar de todo somos afectados por un Ransomware…
- Desconectar el equipo de la red, aislándolo y evitando la infección cruzada entre ordenadores (desconectar el cable de red físicamente de la tarjeta de red del ordenador).
- Nuestra recomendación es jamás pagar por el chantaje. No existen garantías de que le envíe la clave de descifrado, ni que esa extorsión se prolongue en el tiempo. Tan sólo estaríamos contribuyendo a potenciar económicamente a esa red mafiosa de ciberdelincuentes y que la epidemia de Ransomware nunca se extinga.
- Ponerse en manos de empresas dedicadas a la seguridad de la información para que procedan a la recuperación de la información afectada así como la limpieza de los equipos y aplicación de las medidas de control y detección necesarios para que no vuelva a ocurrir.
Pero recuerde, la seguridad al 100% no existe. Desconfíe y piense que no hay mayor inseguridad que creerse seguro no estándolo. Si no se hace “clic” no se produce la infección. Así de simple; así de complejo. Entienda de la gravedad de este ataque que nos afecta a todos. No espere a implantar medidas de protección después de ser afectado. Sea Preventivo en vez de Reactivo. En caso de infección, probablemente no tendrá una segunda oportunidad y deba “echar el cierre”.
Artículos Relacionados
Sobre el Autor
Amador Pérez Trujillo
Consultor Internacional en Seguridad de la Información ha realizado trabajos en países como Rusia, Bulgaria, Reino Unido, Colombia, China y Canadá entre otros. Con 20 años y aún sin concluir sus estudios de Ingeniería Informática en la Universidad de La Laguna, le designan como máximo responsable de Sistemas, Telecomunicaciones y Nuevas Tecnologías en la empresa pública Gesplan S.A (Gestión y Planeamiento Territorial y Medioambiental, S.A), siendo la persona más joven en asumir un cargo de Alta Responsabilidad en una Administración Pública Canaria.
Desarrolló proyectos de modernización, optimización y securización de los sistemas informáticos en la entidad pública.
Con 25 años, en el año 2000, funda New Vision SoftLan SL, Consultores en Seguridad de la Información.
Único Auditor Internacional para la Gestión de la Seguridad de la información de Canarias, forma parte del selecto y reducido grupo de auditores españoles aceptados por IRCA (Registro Internacional de Auditores Certificados).
Como Analista Forense Informático y Perito Judicial Informático ha realizado trabajos de recuperación y obtención de evidencias en casos judiciales tanto en la vía civil como penal, alguno de ellos de gran impacto en la sociedad.
Como Hacker Ético ha realizado pruebas de intrusión en infraestructuras críticas habiendo detectado y corregido vulnerabilidades en empresas de sectores como el Energético, Financiero, Tributario, Sanitario, Transporte o Logística.
Miembro de la Asociación Nacional para el Fomento de la Seguridad de la Información. Miembro de IEEE (Institute of Electrical and Electronics Engineers). Miembro de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica. Miembro de la Asociación Americana de Examinadores Forenses y Alta Pericia Tecnológica. Miembro de National Cyber Security Alliance (NCSA).
Es un comunicador habitual en medios de prensa local y nacional, foros de hacking y formador de seguridad de la información en empresas públicas y privadas.
Colabora dentro de la temática de Innovación y Tecnología.
Ronald De León
Un cliente me contactó porque estaba perdiendo negocios por millones de dólares, debido a un "rescate" que le habían solicitado. Cuando nos llamó para solucionar el problema, ya tenía tiempo que había sido atacado. Lo resolvimos, pero ahora esta en proceso de recuperar su reputación. Los pequeños empresarios no se dan cuenta del riesgo que corren sus empresas por dejar de lado la ciberseguridad.
Responder