Página archivada: 2020 consejos de seguridad de la información

¿Qué es el ransomware?

El ransomware es un tipo de software malicioso, o malware, que bloquea el acceso a un sistema, dispositivo o archivo hasta que se pague un rescate. Es un esquema ilegal para ganar dinero que se puede instalar a través de enlaces engañosos en un mensaje de correo electrónico, mensaje instantáneo o sitio web.

El ransomware funciona cifrando archivos en el sistema infectado (ransomware criptográfico), amenazando con borrar archivos (ransomware wiper) o bloqueando el acceso al sistema (ransomware locker) para la víctima. El monto del rescate y la información de contacto del actor de amenazas cibernéticas (CTA) generalmente se incluyen en una nota de rescate que aparece en la pantalla de la víctima después de que sus archivos se bloquean o cifran.

A veces, el CTA solo incluye información de contacto en la nota y es probable que intente negociar el monto del rescate una vez que se comuniquen con ellos. La demanda de rescate suele ser en forma de criptomoneda, como Bitcoin, y puede oscilar entre varios cientos de dólares y superar el millón de dólares. No es raro ver demandas de rescate multimillonarias en el panorama actual de amenazas.

El ransomware se administra principalmente a través de los siguientes medios:

• Archivos adjuntos/enlaces maliciosos enviados en un correo electrónico.
• La intrusión en la red a través de puertos y servicios mal protegidos, como el Protocolo de escritorio remoto (RDP) (p. ej. Variante del ransomware Phobos).
• Descartados por otras infecciones de malware (p. ej. infección inicial de TrickBot que conduce a un ataque de ransomware Ryuk).
• Gusano y otras formas de ransomware que explotan las vulnerabilidades de la red (por ejemplo, la variante de ransomware WannaCry).

¿Por qué es importante concienciar sobre el ransomware?

El ransomware es un problema creciente y costoso. En 2019, el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) observó un aumento del 153% en el número de ataques de ransomware gubernamentales estatales, locales, tribales y territoriales (SLTT) reportados con respecto al año anterior. Muchos de estos incidentes provocaron un importante tiempo de inactividad de la red, retrasos en los servicios a los constituyentes y costosos esfuerzos de remediación.

Las víctimas de ransomware no solo corren el riesgo de perder el acceso a sus sistemas y archivos. En muchos casos, también pueden experimentar pérdidas financieras debido a los costos legales, la compra de servicios de monitoreo de crédito para empleados/clientes o, en última instancia, la decisión de pagar el rescate. Los efectos de un ataque de ransomware son especialmente dañinos cuando afecta a los servicios de emergencia y a las infraestructuras críticas, como los centros de llamadas 911 y los hospitales.

Además, los CTA se dirigen a los proveedores de servicios gestionados (MSP), una empresa que gestiona la infraestructura de tecnología de la información (ITde un cliente, para impulsar el ransomware a múltiples entidades. Esto ocurre cuando los CTA comprometen a un MSP y utilizan su infraestructura existente para diseminar el ransomware a la clientela del MSP. Esto explota la relación de confianza entre el cliente y su MSP.

En los últimos años, el MS-ISAC observó un aumento en los medios que permiten a los CTA evadir la detección y maximizar el impacto de sus ataques. Uno de estos medios incluye lo que se denomina "vivir de la tierra" (LOTL): implementar conjuntos o herramientas de pruebas de penetración disponibles públicamente (por ejemplo, Cobalt Strike, Metasploit o Mimikatz), para dirigirse específicamente a los controladores de dominio y al Directorio Activo para obtener acceso a toda la red e implementar ransomware sin archivos para evadir cualquier antivirus basado en firmas.

¿Qué se puede hacer contra el ransomware?

Defenderse contra el ransomware requiere un enfoque holístico y de todas las manos a la obra que reúna a toda la organización. Si bien las infecciones de ransomware no son completamente prevenibles debido a la efectividad de los correos electrónicos de phishing bien elaborados y las descargas no autorizadas de sitios legítimos, las organizaciones pueden reducir significativamente el riesgo de ransomware implementando políticas y procedimientos de ciberseguridad y mejorando la conciencia y las prácticas de ciberseguridad de todos los empleados.

Depende de todos nosotros ayudar a evitar que el ransomware infecte con éxito nuestros sistemas. Para aumentar la probabilidad de prevenir las infecciones de ransomware, las organizaciones deben implementar un programa de concienciación y formación de usuarios de ciberseguridad que incluya orientación sobre cómo identificar y denunciar actividades sospechosas (por ejemplo, phishing) o incidentes. Este programa debe incluir pruebas de phishing en toda la organización para medir la conciencia de los usuarios y reforzar la importancia de identificar los correos electrónicos potencialmente maliciosos. Cuando los empleados pueden detectar y evitar los correos electrónicos maliciosos, todos desempeñan un papel en la protección de la organización.

Si su organización se infecta con ransomware, hay algunas cosas que puede hacer para responder. La estrategia más eficaz para mitigar el riesgo de pérdida de datos resultante de un ataque de ransomware exitoso es contar con un proceso integral de copia de seguridad de datos; Sin embargo, las copias de seguridad deben almacenarse fuera de la red y probarse regularmente para garantizar la integridad.

Denuncia de ransomware

Si su organización es víctima de una infección de ransomware, siga los procedimientos de respuesta a incidentes de su organización para informarlo. Por otra parte, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) proporciona un medio seguro para que los constituyentes y socios informen de incidentes, intentos de phishing, malware y vulnerabilidades. Para enviar un informe, visite https://us-cert.cisa.gov/report.