Ransomware: hechos, amenazas y contramedidas

El ransomware es un tipo de malware que se ha convertido en una amenaza significativa para las empresas y las personas de EE. UU. durante los últimos dos años. La mayoría de las variantes actuales de ransomware encriptan archivos en el sistema/red infectados (crypto ransomware), aunque se sabe que algunas variantes borran archivos o bloquean el acceso al sistema usando otros métodos (locker ransomware). Una vez que se bloquea el acceso al sistema, el ransomware exige un rescate para desbloquear los archivos, con frecuencia entre $200 y $3000 en bitcoins, aunque ocasionalmente se reportan otras monedas y tarjetas de regalo. Las variantes de ransomware casi siempre se dirigen de manera oportunista a las víctimas, infectando una variedad de dispositivos, desde computadoras hasta teléfonos inteligentes.

Las víctimas corren el riesgo de perder sus archivos, pero también pueden experimentar pérdidas financieras debido al pago del rescate, pérdida de productividad, costos de TI, honorarios legales, modificaciones de red y/o la compra de servicios de monitoreo de crédito para empleados/clientes.

Vectores de infección

La mayoría del ransomware se propaga a través de acciones iniciadas por el usuario, como hacer clic en un enlace malicioso en un correo electrónico no deseado o visitar un sitio web malicioso o comprometido. En otros casos, el malware se propaga a través de publicidad maliciosa y descargas ocultas, que no requieren la participación del usuario para que la infección tenga éxito.

Si bien casi todas las infecciones de ransomware son oportunistas, se diseminan a través de vectores de infección indiscriminados como los discutidos anteriormente, en algunos casos muy raros, los actores de amenazas cibernéticas se dirigen específicamente a una víctima. Esto puede ocurrir después de que los actores se den cuenta de que una entidad sensible ha sido infectada o debido a intentos de infección específicos. La Oficina Federal de Investigaciones (FBI) se refiere a estos casos como extorsión, en lugar de ransomware, ya que casi siempre hay una cantidad de rescate mayor que coincide con el objetivo estratégico. Este fue el caso en la primavera de 2016, cuando varios hospitales infectados con ransomware dirigido estratégicamente fueron noticia.

Capacidades adicionales

El año pasado, las características de las variantes de ransomware se ampliaron para incluir la exfiltración de datos, la participación en ataques de denegación de servicio distribuido (DDoS) y componentes antidetección. Una variante elimina los archivos independientemente de si se realizó o no un pago. Otra variante incluye la capacidad de bloquear las copias de seguridad basadas en la nube cuando los sistemas realizan copias de seguridad continuas en tiempo real (también conocido como sincronización persistente). Otras variantes apuntan a teléfonos inteligentes y dispositivos de Internet de las cosas (IoT).

Aunque no es tan común, algunas variantes afirman ser de una agencia de aplicación de la ley y que el usuario debe una «tarifa» o «multa» por realizar actividades ilegales, como ver pornografía. En un esfuerzo por parecer más legítimo, estas variantes pueden usar técnicas para identificar la ubicación geográfica aproximada de la víctima para usar el nombre de una agencia de aplicación de la ley específica. Ninguna agencia de aplicación de la ley de EE. UU. bloqueará o desactivará remotamente una computadora y exigirá una multa para desbloquearla.

Cómo mitigar el riesgo de infecciones de ransomware

Estas recomendaciones no son exhaustivas, pero proporcionan las mejores prácticas generales.

Protección de redes y sistemas

• Tenga un plan de respuesta a incidentes que incluya qué hacer durante un evento de ransomware.
• Las copias de seguridad son fundamentales. Utilice un sistema de copia de seguridad que permita guardar varias iteraciones de las copias de seguridad, en caso de que una copia de las copias de seguridad incluya archivos cifrados o infectados. Pruebe de forma rutinaria las copias de seguridad para verificar la integridad de los datos y asegurarse de que estén operativas.
• Utilice soluciones antivirus y antispam. Habilite escaneos regulares del sistema y de la red con programas antivirus habilitados para actualizar automáticamente las firmas. Implemente una solución antispam para evitar que los correos electrónicos de phishing lleguen a la red. Considere agregar un banner de advertencia a todos los correos electrónicos de fuentes externas que les recuerde a los usuarios los peligros de hacer clic en enlaces y abrir archivos adjuntos.
• Deshabilitar scripts de macros. Considere usar el software Office Viewer para abrir archivos de Microsoft Office transmitidos por correo electrónico en lugar de aplicaciones completas de la suite ofimática.
• Mantenga todos los sistemas parcheados , incluido todo el hardware, incluidos los dispositivos móviles, los sistemas operativos, el software y las aplicaciones, incluidas las ubicaciones en la nube y los sistemas de administración de contenido (CMS), parcheados y actualizados. Utilice un sistema de gestión de parches centralizado si es posible. Implemente listas blancas de aplicaciones y políticas de restricción de software (SRP) para evitar la ejecución de programas en ubicaciones comunes de ransomware, como carpetas temporales.
• Restringir el acceso a Internet. Use un servidor proxy para acceder a Internet y considere el software de bloqueo de anuncios. Restrinja el acceso a puntos de entrada de ransomware comunes, como cuentas de correo electrónico personales y sitios web de redes sociales.
• Aplicar los principios de mínimo privilegio y segmentación de red. Categorice y separe los datos en función del valor organizativo y, cuando sea posible, implemente entornos virtuales y la separación física y lógica de redes y datos. Aplicar el principio de privilegio mínimo.
• Examine y controle a terceros que tengan acceso remoto a la red de la organización y/o sus conexiones con terceros, para asegurarse de que sean diligentes con las mejores prácticas de seguridad cibernética.
• Participe en programas y organizaciones para compartir información sobre seguridad cibernética, como MS-ISAC e InfraGard.

Protección del usuario final

• Brindar capacitación en ingeniería social y phishing a los empleados. Anímelos a no abrir correos electrónicos sospechosos, a no hacer clic en enlaces o abrir archivos adjuntos contenidos en dichos correos electrónicos, y a tener cuidado antes de visitar sitios web desconocidos.
• Recuerde a los usuarios que cierren su navegador cuando no esté en uso.
• Tenga un plan de informes que asegure que el personal sepa dónde y cómo informar actividades sospechosas.

Respondiendo a un Compromiso/Ataque

• Desconecte inmediatamente el sistema infectado de la red para evitar la propagación de la infección.
• Determine los datos afectados , ya que algunos datos confidenciales, como la información de salud electrónica protegida (ePHI), pueden requerir informes adicionales y/o medidas de mitigación.
• Determine si hay un descifrador disponible. Recursos en línea como No More Ransom! poder ayudar.
• Restaure archivos a partir de copias de seguridad mantenidas regularmente.
• Informe la infección. Se recomienda enfáticamente que las agencias gubernamentales SLTT informen los incidentes de ransomware a MS-ISAC. Otros sectores y usuarios domésticos pueden denunciar las infecciones en las oficinas locales de la Oficina Federal de Investigaciones (FBI) o en el Centro de Quejas de Delitos en Internet (IC3) .