Quedate en casa



Archivado en Opinion, Seguridad

La escalada de ataques mediante ransomware. Cómo defendernos de esta grave amenaza


Durante los últimos meses hemos visto como en todo el mundo administraciones públicas de todo tipo y empresas, incluso grandes, se han visto seriamente afectadas por ciberataques cuyo efecto final ha sido el secuestro de los datos y la petición de una cantidad, normalmente en bitcoins, con la promesa no siempre cumplida, de si se paga, se recuperarán los datos secuestrados y que no se publicarán, cuando además, han sido robados previamente.





Como ocurre con otros tipos de ciberataques, los ciberdelincuentes intentan ir mejorando sus tácticas, técnicas y procedimientos, con la finalidad de hacer más daño y maximizar sus beneficios. De esta forma, uno de los ataques que se está poniendo de moda es el que se está llevando a cabo mediante una terna de malware denominada EMOTET, TRICKBOT y RYUK, que además está evolucionando para hacer más daño.

Lo más disruptivo de los nuevos ataques por ransomware, como hemos comentado, es que además de secuestrar la información, el atacante también roba todos los datos en previsión de que la víctima decida no pagar, ya sea por disponer de copias de seguridad de los datos secuestrados, o simplemente, por no querer pagar el rescate, que es lo que se recomienda hacer en estos casos. De esta forma, si el usuario no paga el rescate, el atacante publicará dichos datos en Internet, con todo lo que ello implica, si se trata de información sensible, datos personales, información de I+D+i, etc.

Tras la intensificación en los últimos meses de los ataques de ransomware que tienen su origen en el troyano EMOTET, el CCN-CERT publicó una alerta el pasado día 20 de enero sobre la intensificación de la campaña (1). Asimismo, la CISA (Cybersecurity & Infrastructure Security Agency) de los EEUU, alertó del mismo problema el pasado 22 de enero mediante otra alerta (2) demostrando la peligrosidad y la naturaleza global de esta amenaza.

(1) https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/9403-ccn-cert-al-02-20-repunte-de-la-campana-de-emotet.html

(2) https://www.us-cert.gov/ncas/current-activity/2020/01/22/increased-emotet-malware-activity

Estos ataques comienzan normalmente mediante la recepción de un correo electrónico con un enlace o un archivo malicioso que infecta el equipo con el troyano EMOTET. Es decir, que se trata de ataques especialmente dirigidos a una determinada organización que el atacante considera rentable o interesante atacar. El atacante siempre aplica técnicas de ingeniería social en sus correos maliciosos, en los que suele apelar a sentimientos de miedo, urgencia, enfado, curiosidad, morbo o compasión, con la intención de engañar al usuario para que haga “click” en un enlace, o que abra o ejecute un archivo que infecta el equipo. Por ejemplo, en ataques recientes realizados en Japón, se ha usado el miedo al coronavirus para engañar a los usuarios e infectar sus equipos con ransomware(3).

(3) https://www.elespanol.com/omicrono/20200131/coronavirus-informatico-hackers-aprovechan-epidemiainfectardispositivos/463953911_0.html

Como también hemos comentado antes, el malware está evolucionando para hacer más daño a los usuarios. Dado que en ocasiones el malware inicia el secuestro de los datos (cifrado de datos) fuera del horario del trabajo con la intención de que el usuario no pueda hacer nada para evitarlo, entre las recomendaciones contra el ransomware se suele encontrar la de apagar los equipos fuera del horario de trabajo. Sin embargo, el malware Ryuk ha evolucionado para hacer uso una funcionalidad denominada “wake on lan”, que, si se encuentra activada en la BIOS, permite arrancar los equipos conectados a la red de la empresa mediante una señal que reciben a través de la misma(4). Es decir, que un equipo infectado y encendido, puede arrancar el resto de los equipos conectados a la red de la empresa para iniciar el cifrado de la información de dichos equipos fuera del horario de trabajo.

(4) https://www.bleepingcomputer.com/news/security/ryuk-ransomware-uses-wake-on-lan-to-encrypt-offline-devices/

¿De qué cifras estamos hablando?

Un informe reciente de Panda antivirus muestra que el 71% de los ataques por ransomware se dirigen a PYMES(5). Hay estudios muy prudentes, que cifran en unos 30.000 euros el coste medio de un ciberataque a una PYME(6). Lo cierto es que hay un elevado número de PYMES no sobreviven a un ciberataque por los daños reputacionales y económicos derivados del mismo. Hay informes que estiman que el 60% de las PYMES cerrarán en los 6 meses posteriores a un ciberataque (7).

(5)  https://www.pandasecurity.com/spain/mediacenter/empresas/ciberseguridad-pymes-ransomware/

(6)  https://cincodias.elpais.com/cincodias/2020/01/27/pyme/1580162141_324399.html

(7)  https://futurelatam.inese.es/el-60-de-las-pymes-afectadas-por-un-ciberataque-cierra-en-6-meses/

¿Cómo nos podemos defender de esta grave amenaza?

Con estos datos, es mejor prevenir que curar. Ya no basta con disponer de copias de seguridad fiables y actualizadas para solventar el problema sin tener que pagar, Ahora existe el riesgo de una brecha de datos, que hay que mitigar y valorar.

Para defendernos de un ciberataque mediante un ransomware moderno debemos hacer lo siguiente como mínimo:

  1. Mantener todos los sistemas, navegadores, aplicaciones y sistemas de seguridad con soporte de los fabricantes y actualizados en todo momento.
  2. Aplicar unas configuraciones de seguridad adecuadas a todos los sistemas (plantillas de seguridad del Esquema Nacional de Seguridad (8), desactivar funcionalidades que no se usan o que son peligrosas, activar protecciones del sistema operativo (9), tener una buena política de contraseñas, segmentar la red, etc).
  3. Usar sistemas antispam en el correo de la organización.
  4. Bloquear Javascript en el navegador.
  5. No activar las macros en las suites ofimáticas como MS Office con archivos descargados de Internet o recibidos por correo electrónico.
  6. Mostrar siempre la extensión para los tipos de ficheros conocidos.
  7. No usar nunca los sistemas como administrador.
  8. Fomentar una cultura de ciberseguridad en la organización, formando y concienciando al personal de la organización en ciberseguridad y actualizar dicha formación, con los cambios en las amenazas y en las tácticas, técnicas y procedimientos usados por los atacantes.
  9. Usar unos sistemas de seguridad adecuados a las amenazas (cortafuegos, antimalware con capacidad de detección de amenazas no conocidas, etc).
  10. Realizar copias de seguridad frecuentes, no mantenerlas conectadas a los sistemas permanentemente y probar que funcionan adecuadamente.
  11. Disponer de Plan de Continuidad de Negocio. (10)
  12. Contratar un seguro de ciber riesgos que garantice la supervivencia de la organización.

(8) https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-nacional-de-seguridad.html

(9) https://www.adslzone.net/esenciales/windows/activar-proteccion-ransomware/

(10) https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-contingencia-continuidad-negocio

Col. D. Fernando Antonio Acero Martín (Director de Ciberdefensa del Ejército del Aire)


pdfprintpmail