El Ransomware fue la principal amenaza informática en el primer semestre de 2020, según los datos de la firma de seguridad S21sec que han publicado nuestros compañeros de muyseguridad. Un periodo muy especial por la pandemia del COVID-19 y los desafíos en ciberseguridad que ha conllevado el aumento del teletrabajo, estudio y entretenimiento doméstico.
La verdad es que no sorprenden estos datos. El Ransomware mantiene la supremacía como la principal ciberamenaza en la mayoría de los estados miembros de la Unión Europea, según la Interpol. Este tipo de ciberataques son cada vez más numerosos, sofisticados, peligrosos y masivos. Una buena muestra la tuvimos en 2017 con WanaCryptor, un ataque perfectamente planificado y estructurado cuyo objetivo fue lograr una infección masiva a nivel mundial poniendo contra las cuerdas a un buen número de grandes empresas de decenas de países. Algunas españolas tan importantes como Telefónica.
Todos los informes apuntan que los ciberdelincuentes están enfocando su ámbito de actuación al segmento empresarial como señaló el informe trimestral de amenazas de Malwarebytes donde encontró que la detección de ataques por ransomware en empresas aumentaron un 200%.
Además, si hasta ahora el Ransomware solía tener motivaciones exclusivamente económicas produciendo altos beneficios para los atacantes, últimamente está ampliando objetivos como método preferente de introducción de malware tal y como vimos con el ransomware NotPetya.
Diez medidas para combatir el Ransomware
Un Ransomware típico infecta un ordenador personal o dispositivo móvil, bloquea el funcionamiento y/o acceso a una parte o a todo el equipo apoderándose de los archivos con un cifrado fuerte y exigiendo al usuario una cantidad de dinero como “rescate” para liberarlos.
La mayoría de infecciones se producen porque el usuario abre una aplicación o un programa malintencionado que puede llegar desde cualquier fuente, especialmente las habituales como un navegador web (despliegue de adware, direccionamiento a un sitio web malicioso… ), el correo electrónico (en lugar de ir adjuntado, hay un enlace hacia Mega, Google Drive o Dropbox que lleva al malware) o los servicios de mensajería en el caso de los ataques a móviles, cada vez más extendidos.
También es habitual verlo combinado con ataques de phishing, otra gran amenaza. El gran problema del Ransomware es que una vez infectado no hay solución salvo que se hayan descifrado ese tipo en particular algo que suele tardar años en suceder y la recuperación de archivos es complejo. Dicho lo cual, la mejor medida (y la única) para combartirlo es adelantarse. Te recordamos algunos de los consejos o medidas a adoptar para intentar prevenirlo:
1.- Backup. Realizar copias de seguridad de los datos importantes como tarea de mantenimiento regular es la medida más efectiva para minimizar los daños en caso de ser infectado. La copia de seguridad debe alojarse en un medio externo distinto al del equipo para poder recuperar los archivos desde un sitio “limpio” y no tener que pagar el “rescate” exigido por estos ciberdelincuentes.
2.- Actualización del sistema y aplicaciones. Mantener el sistema operativo actualizado con los últimos parches de seguridad y todas las aplicaciones que tengamos instaladas es el mejor punto de partida. El mencionado WanaCryptor aprovechó una vulnerabilidad en sistemas Windows y en el caso que nos ocupa contra empresas españolas todo apunta a vulnerabilidades que había sido parcheadas, pero cuyas actualizaciones no se habían aplicado.
3.- Línea de defensa. Conviene instalar y mantener una solución antimalware, incluyendo un cortafuegos correctamente configurado para permitir el acceso exclusivo de las aplicaciones y servicios necesarios.
4.- Herramienta Anti Ransom. Es una herramienta específica contra este tipo de ataques, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.
5.- Filtro antispam. Muchos de los ataques por Ransomware se distribuyen a través de campañas masivas de correo electrónico. Además de estos filtros, debes seguir los consejos generales como no pinchar en enlaces o abrir archivos adjuntos de remitentes desconocidos.
6.- Bloqueadores de JavaScript. Aplicaciones como Privacy Manager bloquean la ejecución de todo código JavaScript sospechoso de poder dañar el equipo del usuario. Esto ayuda a minimizar la posibilidades de quedar infectado a través de la navegación web.
7.- Políticas de seguridad. Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit facilitan el establecimiento de políticas que impiden la ejecución de directorios comúnmente utilizados por el ransomware, como App Data, Local App Data, etc.
9.- Cuentas con privilegios. No utilizar cuentas con privilegios de administrador. El 86% de las amenazas contra Windows se pueden esquivar en caso de utilizar un usuario común en lugar de un administrador. Por eso es importante utilizar para tareas comunes un usuario común y solo dejar el administrador para cuando se vaya a hacer una serie de tareas relacionadas con la manipulación del sistema.
9.- Extensiones de archivos. Mostrar las extensiones para tipos de ficheros conocidos es una buena práctica para identificar los posibles ficheros ejecutables que quieran hacerse pasar por otro tipo de fichero. No es raro ver a un fichero .exe con el icono de un documento de Word. Si no se ve la extensión, el usuario posiblemente no pueda distinguir si es un documento de Word o un ejecutable malicioso, aunque también es bueno recordar que un documento de Microsoft Office también puede contener malware.
10.- Máquinas virtuales. Emplear máquinas virtuales para aislar el sistema principal es otra técnica efectiva. En un entorno virtualizado la acción de los ransomware no suele materializarse.
Y no pagues… Si lamentablemente te has infectado, pero seguiste las tareas de prevención y mantenimiento, tendrás copias de seguridad para una vez formateadas las unidades de almacenamiento poder recuperarlos. Lleva tiempo, pero siempre es mejor que pagar a estos delincuentes lo que únicamente hace extender la rueda y producir mayores ataques de este Ransonware que se ha convertido en la mayor amenaza para la seguridad informática.
Fuente noticia: https://www.muycomputer.com/ Fuente foto: freepik.es