Todo director o responsable de TI está parcialmente preparado para el desastre. Entre tanto software malicioso, malware y amenazas informáticas, tratamos de estar preparados para lo peor. Sin embargo, hay un mayor nivel de ansiedad, el cual ha ido creciendo con el paso de los años, y es ser afectado por una ciberamenaza de mayor magnitud: un ataque de ransomware.
Debido a varios casos recientes en Latinoamérica –en especial los ocurridos en el ultimo año - el miedo está más vivo que nunca. El incremento abismal de los ataques de ransomware en los últimos meses nos hace preguntarnos: ¿Habré parchado todos mis equipos Windows con la última actualización? ¿Existirá un zero-day del que no me he informado? ¿Hicimos copias de seguridad de todos los archivos importantes?
Lo cierto es que deberíamos estar en alerta permanente. Según los datos del informe DBIR de Verizon, el ransomware es un peligro que aumenta cada año, y está entre las tres amenazas informáticas más grandes en el mundo entero. En Latinoamérica no estamos ajenos a esa tendencia, y es muy probable que debamos pensar en cómo cuidarnos de este tipo de software malicioso, y por qué es importante.
¿Qué es el Ransomware?
El ransomware es un grave tipo de malware que puede afectar a diversos equipos informáticos. En síntesis, un ataque de ransomware encripta los archivos de tu equipo de manera maliciosa, con el objetivo de solicitar un rescate por ellos. Usualmente, esa extorsión se paga con criptomonedas.
Como bien sabemos, la encriptación es un proceso en el cual los archivos son protegidos con una clave de cifrado para evitar su acceso a través de ciberataques. Es decir, usada de buena manera, la encriptación es un proceso positivo de seguridad informática.
Sin embargo, este tipo de cifrado malicioso es equivalente a que un ladrón te deje afuera de tu propia casa, cambie la cerradura y te pida rescate por la llave.
Con la vulnerabilidad correcta, el ransomware es capaz de llegar a nuestros equipos usando una multitud de formas. Adjunto en un correo electrónico, unido a un documento de Microsoft Word o Excel, en esas fotos de las vacaciones que abriste en el equipo de la oficina o incluso en ese juego que te prohibieron descargar. Como casi todo tipo de malware, sólo es necesario un agujero en la pared que nuestro TI no haya parchado, y el potencial para el daño ya será enorme.
A aquello debemos agregar que el ransomware es más complejo que sólo encriptación. Por ejemplo, muchos ataques de este estilo utilizan técnicas afines a troyanos u otro tipo de malware. Un ejemplo son las técnicas de persistencia, como búsqueda de puertos abiertos en la red privada o replicación a través de correos electrónicos, para infectar otras máquinas en la organización. En la misma línea, utilizan técnicas de ofuscación para no ser detectados al principio, y desencadenar un ataque masivo con graves consecuencias.
Tipos de Ransomware comunes
Si bien la mayoría de los ataques tienen en común las condiciones anteriormente descritas, existen muchos métodos comunes o familias de ransomware. Estos ataques, similares a las cepas de enfermedades virales, comparten métodos de entrada, creadores o víctimas comunes. Entre los más destacados están:
- Bad RabbitConocido en Europa del Este y en Rusia, este ransomware se hace pasar por una actualización falsa de Flash que proviene de un sitio malicioso. Luego de su instalación, procede a encriptar el equipo y solicitar 0,5 BTC para el desbloqueo.
- CerberLos reyes del RaaS o "ransomware como servicio", una de las nuevas variantes de ransomware. Cerber ofrece afiliarse a su plataforma e implementar su malware donde tú quieras, quedándose con el 40% del rescate. Utiliza un poderoso cifrado RSA, por lo que si eres víctima, prepárate para pagar el rescate.
- CryptoLockerConsiderado por muchos como el padre y modelo de todo el ransomware actual. CryptoLocker comenzó a propagarse a través de una poderosa botnet durante el año 2013, y si bien dicha botnet fue desactivada –y sus autores tras las rejas– CryptoLocker ha inspirado a muchísimos clones, como TorrentLocker.
- Petya - NotPetya - GoldenEyeLa familia de ransomware Petya tiene una larga historia. No solo su encriptación es poderosa, sino que tienen un componente extra: impidiendo el arranque de Windows. Petya y sus parientes cercanos, NotPetya y GoldenEye, se almacenan en el MBR o registro de arranque maestro del disco duro, encriptando la tabla maestra de archivos (MFT). Esto les da una ventaja: sin modo seguro ni pudiendo iniciar el sistema operativo, el usuario pierde el control total de la máquina.El caso de NotPetya es especial. En el año 2017, un año después del descubrimiento del Petya original, un grupo aparentemente apoyado por la GRU realizó un ciberataque mundial masivo usando dicho ransomware. El país más afectado fue Ucrania, ya que NotPetya había sido modificado no para solicitar rescate, sino para volverse irreversible. Hasta el día de hoy, NotPetya es considerado el ransomware más destructivo del mundo.Como trivia, tanto "Petya" como "GoldenEye" son referencias a James Bond.
- JigsawHablando de cultura popular, Jigsaw es un tipo especial de ransomware. Aparte de la referencia literal a las películas de "Saw: El Juego del Miedo" (al usar al muñeco Billy como imagen), Jigsaw va borrando progresivamente tus archivos a medida que pasa el tiempo. Si la victima, no ha pagado el rescate antes de las 72 horas de comenzada la infección del ransomware, se borran todos sus archivos.
- Sodinokibi - RevilOtro ransomware como servicio (Raas) relativamente reciente y denominado "el principe coronado del ransomware" por expertos en seguridad. Se aprovecha de dos vulnerabilidades en equipos Windows, entrando a las máquinas a través de archivos descargados por scripts Javascript maliciosos.Se cree que Sodinokibi es el causante de la interrupción de servicio en Banco Estado en Chile y en el servicio aduanero de Argentina.
- SpiderUn tipo de ransomware muy extendido en Europa. Se propaga a través de correos electrónicos basura, escondido en documentos de Microsoft Word, que contienen software malicioso dentro de los macros. En cuanto dichos macros del documento se ejecutan, el ransomware se instala.
Caso de estudio: Wannacry, Telefónica en 2017
Un caso altamente mediático fue el ocurrido a Telefónica España el año 2017. El día 12 de mayo de ese año, y mientras Chema Alonso –white-hat hacker, ex-jefe de seguridad y actual CDCO de Telefónica– se encontraba de vacaciones, ocurrió lo peor. Las máquinas de gran parte de la empresa sucumbieron, una por una, a una pantalla roja y gris solicitando rescate. El “secuestro virtual” de Telefónica, con un claro culpable: Wannacry.
Este malware, que se presume habría nacido de las mentes del Grupo Lazarus (Lazarus Group) en Corea del Norte, se aprovechó de un exploit o vulnerabilidad llamada EternalBlue. Dicha vulnerabilidad afectaba al protocolo SMB (Server Message Block) en equipos Windows, y había sido descubierta por la NSA, nunca reportada, y luego nuevamente descubierta por Microsoft dos meses antes del ataque.
Asimismo, Wannacry contenía una herramienta de backdoor llamada DoublePulsar, la que le daba la posibilidad de instalarse y luego replicarse en otros equipos en la red igual de vulnerables. Es así como al encender dichas máquinas Wannacry podía instalarse sin problemas, solicitando cifras cercanas a los 200 BTC, lo que equivale actualmente a más de dos millones de dólares.
Wannacry golpeó a todo el mundo en una escala sin precedentes. Según cifras de Europol, más de doscientas mil máquinas fueron afectadas en más de 150 países. Sin embargo, el golpe a Telefónica causó un impacto profundo al otro lado del Atlántico, ya que la empresa española tiene una serie de subsidiarias en Latinoamérica, las que también vieron interrumpidos sus servicios durante días. El caso puso la palabra “ransomware” en el acervo de ciberseguridad latinoamericano, y con justa razón.
Las consecuencias de un ataque de Ransomware
Un ataque de Ransomware trae consigo una multitud de problemas, muchos de ellos compartidos con el resto de las vulnerabilidades conocidas. Sin embargo, la magnitud y gravedad de los ataques es especialmente dañina para ciertos sectores de nuestras organizaciones.
- Interrumpe la continuidad del negocio. Un ataque de ransomware inutiliza de manera inmediata a un número determinado de equipos. Asimismo, al tratar de contener el accionar de los ciberdelincuentes la respuesta lógica es apagar el resto de los equipos, lo que debilita aún más la continuidad de trabajo y negocio de cualquier organización.
- Puede significar una pérdida económica importante. En gran parte de los casos, las empresas que se ven envueltas en ataques de ransomware suelen ceder ante la presión y pagar los rescates solicitados por los criminales. Al mismo tiempo, el proceso de recuperación puede ser complicado, y la reparación y/o contratación de especialistas es costosa.
- Pone en riesgo información clave del negocio. De no lograr recuperar satisfactoriamente los archivos cifrados, o al sufrir el ataque de un ransomware peligroso e irreversible, es posible perder dichos archivos sin solución.
- Disminuye la confianza en la organización. Ser vulnerado suele ser indicativo de una falla en los procesos de seguridad, por lo que todo ataque informático trae como consecuencia desconfianza a nivel externo e interno. Esto se hace extensivo a los usuarios de nuestras plataformas, potenciales clientes que ven con malos ojos una intrusión, e incluso a nuestros propios empleados.
- Puede ser la puerta de entrada para otro tipo de ataques. Cuando los cibercriminales encuentran una puerta abierta, el ransomware no es lo único que implementan. De hecho, muchas herramientas de este estilo son complejas y pueden abrir el camino a ataques de fuerza bruta con datos obtenidos de phishing, el compromiso de otros equipos en la red o más malware.
¿Cómo prevenir un ataque de Ransomware?
Con pasos estrictos pero sencillos, es posible mitigar en gran parte el riesgo de un ataque de ransomware en nuestra organización.
- Mantener los equipos y sistemas operativos actualizadosEl consejo más importante de todos. Las actualizaciones periódicas son imprescindibles en un mundo tecnológico cada vez más veloz. Asimismo, estar atento a los parches de software o a las vulnerabilidades críticas en aplicaciones de infraestructura permite tener la vara alta en caso de intrusión.
- Filtrar, analizar o prohibir los archivos adjuntosEl correo electrónico es un vector de ataque importante. Debido a aquello, se hace cada vez más preciso educar sobre lo peligroso de abrir archivos de orígenes desconocidos, pues pueden contener malware.También es una obligación instalar sistemas de filtrado o de análisis de archivos adjuntos, complementarios a las soluciones antimalware que ya puedas tener instalada.
- Crear y mantener sistemas de persistencia o copias de seguridadSi tus archivos están seguros en un lugar no infectado por el ransomware, los cibercriminales pierden toda ventaja sobre ti. Sólo asegúrate de no dejar vulnerables dichas copias de seguridad.
¿Qué hacer si eres víctima de un ataque de Ransomware?
- Manténgase calmadoEs difícil mantener la calma y la compostura cuando no puede acceder a archivos importantes en su computadora. Pero el primer paso que debe tomar después de ser atacado por ransomware es no entrar en pánico y mantenerse sensato.La mayoría de las personas se apresuran a pagar el rescate antes de analizar la gravedad de la situación en la que se encuentran. Mantener la calma y dar un paso atrás a veces puede abrir puertas para negociar con el atacante.
- Tome una foto de la nota de ransomwareEl segundo paso es tomar inmediatamente una foto de la nota de ransomware en su pantalla a través de su teléfono inteligente o una cámara. Si es posible, también tome una captura de pantalla en la máquina afectada. Esto le ayudará a presentar un informe policial y acelerará el proceso de recuperación.
- Sistemas afectados por cuarentenaEs importante aislar los sistemas afectados lo antes posible. El ransomware generalmente escanea la red de destino y se propaga lateralmente a otros sistemas.Lo mejor es separar los sistemas afectados de la red para contener la infección y detener la propagación del ransomware.
- Busque herramientas de decriptaciónAfortunadamente, hay muchas herramientas de descifrado disponibles en línea. Si ya conoce el nombre de su variedad de ransomware, simplemente puede conectarlo al sitio web y buscar el descifrado correspondiente. La lista no está ordenada alfabéticamente y el sitio agrega nuevas herramientas de descifrado al final de la lista.
- Identifique la variante de ataquePara determinar la cepa de ransomware, puede usar servicios gratuitos como la herramienta de identificación de ransomware en línea de Emsisoft o ID Ransomware. Estos servicios permiten a los usuarios cargar una muestra del archivo cifrado, cualquier nota de rescate que quede y la información de contacto del atacante, si está disponible.
- Restablezca las contraseñasCambie todas las contraseñas en línea y de cuenta una vez que haya desconectado los sistemas afectados de la red.Después de eliminar el ransomware, debe volver a cambiar todas las contraseñas del sistema.
- Reporte el casoEn el momento en que note un ataque de ransomware, asegúrese de comunicarse con la policía.El ransomware es un delito y debe informarse a las autoridades policiales locales o al FBI. Incluso si las fuerzas del orden no pueden ayudar a descifrar sus archivos, al menos pueden ayudar a otros a evitar un destino similar.
No pague el rescate al ser atacado
El objetivo principal detrás de los ataques de ransomware es monetario. Al pagar, le entregas ventaja al hacker y lo instas a delinquir nuevamente, sin contar con la dificultad de conseguir criptomonedas para financiar el rescate. Además, existen muchas herramientas –basadas en ransomware exitoso– que ayudan en el proceso de descrifrado de manera totalmente gratuita.
Si por otro lado el ataque es muy complejo, es una mejor idea asesorarse por una empresa de respuesta en tiempo real a ataques de ransomware. Estas empresas son capaces de negociar y pagar directamente a los atacantes, mientras buscan una solución que no impacte en la continuidad del negocio.
La buena práctica de defensa contra ransomware comienza antes de que ocurra cualquier ataque. Esperar hasta que el ransomware ataque su red para tomar medidas puede ser demasiado tarde. Prey te ayuda a estar preparado en cada parte del proceso. Desde la copia de seguridad de sus archivos hasta la instalación de antivirus y cortafuegos potentes y la educación en seguridad cibernética, querrá estar preparado para todos los escenarios posibles.