El ransomware es un tipo de software malicioso (malware) diseñado para proporcionar a los adversarios acceso a datos confidenciales y bloquear a los usuarios de esos datos específicos o de un sistema informático completo. Luego retienen los datos o el acceso al sistema como rehenes y exigen un rescate a las víctimas .
El principal objetivo de estos actores de amenazas es extraer siempre el máximo valor monetario posible del acceso ilícito que tienen a una red. El ransomware es la estrategia de mayor riesgo y mayor recompensa que pueden emplear de forma remota en todo el mundo. Incluso la Casa Blanca publicó una carta abierta a todas las empresas sobre la creciente amenaza del ransomware y la necesidad de actuar.
Muchas bandas de ransomware ahora también utilizan técnicas de “doble extorsión”. En este caso, a las víctimas se les ofrecen dos “incentivos”: en primer lugar, aceptar el pago de la extorsión para recuperar el acceso a los sistemas y datos de los que se les ha bloqueado. Además, los piratas informáticos devolverán información confidencial que ya han robado, posiblemente aceptando una tarifa adicional.
El FBI , junto con varias agencias gubernamentales de EE. UU., tanto estatales como nacionales, desaconsejan el pago de rescates para desalentar el ciclo del ransomware . Por lo general, la mitad de las víctimas de ransomware que pagan el rescate vuelven a ser atacadas, ya que los ciberdelincuentes saben que estas empresas están dispuestas a desembolsar el dinero.
¿Qué es el malware precursor de ransomware?
El ransomware no aparece de la nada. A menudo, después de obtener acceso inicial, los actores de amenazas utilizan otros tipos de malware para propagarse a través de la red de la víctima. Esto se conoce como malware precursor .
El malware precursor de ransomware está diseñado para afianzarse en un sistema o red antes de lanzar un ataque de ransomware. El malware precursor está diseñado para explotar vulnerabilidades en la seguridad de su sistema, como software sin parches o desactualizado.
Algunos precursores de malware comunes incluyen:
- Qakbot
- forpiex
- Emote
- Golpe de cobalto
- Ursnif
- dridex
- Cargador Z
El costo del ransomware
Los ataques de ransomware pueden tener un impacto financiero y operativo significativo en empresas e individuos. Además del pago del rescate exigido por los atacantes, las organizaciones también pueden enfrentar importantes tiempos de inactividad, pérdida de datos y daños a su reputación debido a un ataque.
En casos extremos, algunos ataques de ransomware tienen un historial de obligar a empresas como Travelex a la quiebra. Travelex se vio afectado por el infame ransomware Sodinokibi en 2020, lo que provocó un cierre temporal mundial de todos sus servicios en línea y sucursales minoristas durante dos semanas.
Las organizaciones deben considerar invertir en servicios de recuperación de datos y restauración de sistemas, así como consultoría de ciberseguridad y servicios legales. Según un estudio de Cybersecurity Ventures , se espera que el coste global de los ataques de ransomware alcance los 265.000 millones de dólares en 2031.
Los costos operativos de un ataque de ransomware también pueden ser catastróficos debido a las interrupciones y pérdidas del día a día. El fabricante de equipos semiconductores, MKS Instruments , sufrió un ataque de ransomware en 2023 que prohibió su capacidad para procesar pedidos, enviar productos o brindar servicios, lo que resultó en un impacto de 200 millones de dólares en ventas.
Las consecuencias de un ataque de ransomware suelen causar daños a la reputación y pérdida de confianza del cliente. ¿Confiaría en hacer negocios con una empresa si sus operaciones y servicios estuvieran inactivos durante semanas? También se pueden aplicar multas y sanciones reglamentarias a las empresas si se determina que infringen las leyes de protección de datos.
Estrategias comunes de prevención de ransomware
Prevenir el ransomware puede ser simple y directo. A menudo incluye pasos que se dan por sentados pero que pueden tener un impacto importante, especialmente cuando se utilizan como una estrategia en capas. A continuación se presentan algunas estrategias de prevención comunes que pueden ayudarle a proteger los datos de su organización:
- Mantenga su software actualizado : no ignore ni olvide las actualizaciones de software de rutina que pueden ayudar a reparar las vulnerabilidades que los piratas informáticos intentarán explotar.
- Utilice software antivirus : el software antivirus es una excelente herramienta para detectar y bloquear ransomware y otros tipos de malware antes de que puedan infectar su sistema.
- Haga una copia de seguridad de sus datos : las copias de seguridad periódicas de los datos pueden ayudar a garantizar que tenga una copia de sus archivos importantes en caso de que estén cifrados por ransomware. Asegúrese de almacenar sus copias de seguridad sin conexión o en una ubicación segura separada para evitar que se vean afectadas por un ataque de ransomware.
- Limite el acceso a datos confidenciales : implementar controles de acceso estrictos y limitar los privilegios de los usuarios puede ayudar a evitar que los ataques de ransomware se propaguen por su red.
- Proporcione capacitación periódica a los empleados: educar a sus empleados sobre el ransomware y otros tipos de amenazas cibernéticas puede ayudarlos a identificar y evitar estafas de phishing y otras actividades maliciosas.
Mejores prácticas para la ciberseguridad general
Es importante tener un conocimiento general de las precauciones de ciberseguridad para reducir la probabilidad de que se produzca un ataque de ransomware. Las siguientes son algunas de las mejores prácticas de ciberseguridad que puede aplicar:
- Utilice contraseñas seguras: las contraseñas seguras que incluyen una combinación de letras mayúsculas y minúsculas, números y símbolos dificultarán que los atacantes obtengan acceso a su sistema e instalen ransomware. Asegúrese de evitar utilizar la misma contraseña para varias cuentas.
- Implemente la autenticación de dos factores: la autenticación de dos factores puede proporcionar una capa adicional de seguridad para ayudar a prevenir el acceso no autorizado a sus cuentas y sistemas.
- Tenga cuidado con los archivos adjuntos y enlaces de correo electrónico : tenga cuidado al abrir archivos adjuntos de correo electrónico o hacer clic en enlaces, especialmente si provienen de fuentes desconocidas o sospechosas. Los atacantes de ransomware suelen utilizar correos electrónicos de phishing para engañar a los usuarios para que descarguen e instalen malware.
- Supervise su red en busca de actividades sospechosas: la supervisión frecuente de su red puede ayudarle a detectar amenazas potenciales y permitirle responder a ellas rápidamente.
- Desarrolle y pruebe un plan de respuesta al ransomware : contar con un plan integral de respuesta al ransomware puede ayudarlo a reducir el tiempo de inactividad y minimizar los impactos de los ataques. Asegúrese de probar su plan con regularidad para garantizar su eficacia.
Es importante recordar que ninguna estrategia de prevención es 100% infalible. Asegúrese de contar con un plan sólido para cualquier peor de los casos si las medidas de prevención fallan.
Cómo responder a un ataque de ransomware
Es importante actuar rápidamente ya que el ransomware puede propagarse a otras ubicaciones de la red. A continuación se detallan algunos pasos que puede seguir si sospecha que está infectado con ransomware:
- Aislar el dispositivo infectado: desconecte el dispositivo infectado de su red para evitar que el ransomware se propague a otros dispositivos.
- Elimine el ransomware: asegúrese de que un experto confiable esté a cargo de la erradicación. Podrán identificar todos los sistemas afectados y descubrir la causa raíz del ataque junto con las puertas traseras que los ataques puedan haber utilizado.
- No pague el rescate: recuerde que está tratando con delincuentes, no hay garantía de que el pirata informático realmente le proporcione la clave de descifrado o de que no hayan hecho copias o vendido sus datos en el mercado negro. Pagar el rescate probablemente alentará a los atacantes a continuar con sus acciones ilícitas.
- Notifique a las autoridades: comuníquese con su agencia local de aplicación de la ley o con el Centro de denuncias de delitos en Internet (IC3) del FBI para informar el ataque. No hacerlo puede dar lugar a varias ramificaciones legales.
- Restaure sus datos a partir de copias de seguridad: asegúrese de escanear las copias de seguridad fuera de línea en busca de malware antes de restaurarlas. Luego, priorice la restauración de datos de respaldo según lo que sea más crítico para la productividad de su organización.
- Implemente medidas para prevenir futuros ataques : comuníquese con su profesional de ciberseguridad para revisar su infraestructura actual. Identificarán cualquier vulnerabilidad que tenga su sistema y aplicarán las medidas de seguridad necesarias después del ataque.
Herramientas recomendadas para ransomware
Las organizaciones tienen varias opciones para herramientas de prevención de ransomware gracias al diverso mercado de la ciberseguridad. A continuación se muestran algunas herramientas populares que los profesionales de seguridad de la información recomiendan utilizar:
- Software antivirus y antimalware: el software antivirus y antimalware es excelente para la detección y eliminación de ransomware. Mantenga actualizado su software antivirus y antimalware para asegurarse de que pueda detectar las últimas amenazas.
- Firewall: Un firewall puede ayudar a prevenir el acceso no autorizado a su red y sistemas. Configure su firewall para bloquear todo el tráfico entrante excepto el tráfico necesario para sus operaciones comerciales.
- Software de recuperación y copia de seguridad de datos: el software de recuperación y copia de seguridad de datos ayuda a restaurar sus datos rápidamente en caso de un ataque de ransomware. Es esencial realizar copias de seguridad y probar sus datos periódicamente para garantizar el máximo rendimiento.
- Software de seguridad del correo electrónico: el software de seguridad del correo electrónico puede detectar y bloquear correos electrónicos maliciosos que contienen phishing u otro malware utilizado para propagar ransomware.
- Software de detección y respuesta de endpoints (EDR): el software EDR detecta y responde a ataques de ransomware que se encuentran en dispositivos individuales . El software EDR puede identificar y aislar rápidamente los dispositivos infectados para evitar la propagación del ransomware.
Al utilizar estas herramientas en combinación con estrategias de prevención y mejores prácticas, puede crear una capa de defensa contra el ransomware y minimizar el impacto de un ataque si ocurre.
Texto traducido al español desde el website oficial de Lumu: https://lumu.io/what-is-ransomware