El 12 de mayo de 2017, numerosas organizaciones de todo el mundo vieron de forma repentina cómo la información de sus ordenadores quedaba inaccesible y un mensaje solicitando un rescate aparecía en su pantalla. Éste fue el momento en el que se dio a conocer el ransomware Wannacry, causante de uno de los ciberataques con mayor impacto conocidos hasta la fecha.
¿Qué es el ransomware?
El término ransomware surge de la unión de las palabras “ransom” (rescate) y “ware” (producto). Con él se define aquel tipo de software malicioso (malware) diseñado para cifrar datos o bloquear el acceso a los equipos con el fin de pedir un rescate que permita recuperar la información, evitar su publicación o restablecer un sistema. Esta amenaza puede afectar a cualquier tipo de organización, independientemente de su tamaño.
En la mayoría de los casos, la motivación de los ciberdelincuentes para desencadenar un ataque ransomware suele ser económica. No obstante, estos ataques también se asocian a demostraciones de poder, extorsiones o a una forma de deteriorar y desprestigiar la marca de la organización.
Consecuencias para las empresas
En la actualidad, las organizaciones poseen un alto grado de digitalización y gran parte de su actividad se rige por la inmediatez en la ejecución de los procesos. Por este motivo, verse afectado por un ransomware suele tener un gran impacto económico. Por un lado, hay que asumir el coste de las afecciones sobre el normal desarrollo de la actividad de la organización. Por otra parte, habrá que sumar los gastos derivados de las intervenciones necesarias para recuperar los sistemas atacados. Así mismo, habrá que valorar en qué medida se ha podido ver resentida la reputación de la marca. Y, finalmente, deberemos tener en cuenta que el pago del rescate no garantiza que los ciberdelincuentes cumplan con sus condiciones.
Vectores de ataque
El ransomware puede introducirse en los sistemas de una organización por diferentes vías:
- Correo electrónico: es la vía más habitual para introducir el ransomware en la organización. Puede esconderse bajo un archivo adjunto de apariencia inocua o en la inclusión de enlaces a web maliciosas. Como consecuencia de su ejecución, el usuario desencadena el ataque, provocando que se propague por toda la organización si no dispone de las medidas de protección adecuadas.
- Robo de credenciales con privilegios elevados: éste puede producirse mediante la utilización de técnicas de phishing (engaño) o de ingeniería social dirigidas contra los usuarios de la organización. Igualmente, esa sustracción de credenciales puede realizarse explotando vulnerabilidades de las aplicaciones.
- Servicios expuestos a Internet sin medidas de seguridad robustas. En ocasiones, la publicación de estos servicios deja puertas abiertas que son aprovechadas por los ciberdelincuentes para alojar el ransomware y desencadenar un ataque.
Como podemos observar, en muchos de estos casos la figura del usuario aparece como un actor a través del cual los ciberdelincuentes tratan de introducir el ransomware en las organizaciones. Por este motivo, es habitual identificar al usuario como uno de los eslabones más débiles en la cadena de la ciberseguridad.
Tipos de ransomware
El tipo de ransomware que mayor grado de proliferación tiene es el diseñado para cifrar los archivos del sistema. Como consecuencia de su activación pueden quedar inaccesibles documentos de diferente formato, contenido audiovisual, etc… En la mayoría de los casos, este tipo de programa no inhabilita el sistema. Sin embargo, existen algunas versiones que causan un impacto demoledor en las organizaciones. Es el caso de Ryuk. Este sistema fue desarrollado para atacar a organizaciones relevantes y está considerado como uno de los más peligrosos. Ryuk es capaz de cifrar los archivos, los datos y dejar inhabilitado el sistema, lo que impide el acceso a los programas y la recuperación de la información.
Otro tipo de ransomware que podemos encontrarnos es el desarrollado para bloquear determinadas funciones de los equipos, a raíz de lo cual quedan inoperativos. En cambio, los datos y los archivos no suelen verse afectados. En estos casos, los ciberdelincuentes se limitan a dejar un mensaje en pantalla solicitando un rescate.
¿Cómo actuar frente a este tipo de ciberataques?
La amenaza de sufrir un ataque de tipo ransomware es constante. Por este motivo, es necesario implementar una estrategia de ciberseguridad que ofrezca protección continua. Por fortuna, podemos adoptar un paquete de medidas básicas y de fácil adopción que se revelan muy efectivas a la hora de hacer frente a este tipo de ataques. A continuación, detallamos algunas recomendaciones:
- Instalar una herramienta antimalware en los equipos que permita detectar y bloquear el malware conocido a través de firmas y heurística.
- Implementar una solución de seguridad EDR o XDR en los equipos. Estas herramientas tienen capacidad para prevenir, detectar, eliminar y responder a amenazas avanzadas. incorporando funcionalidades adicionales a las que poseen los antimalware tradicionales. Así, son capaces de identificar comportamientos sospechosos y monitorizar la actividad, tanto en el endpoint (EDR) como en otras fuentes de la red (XDR). Además, facilitan una rápida respuesta al incidente y ofrecen la posibilidad de realizar un análisis forense del mismo.
- Aplicación de parches. El sistema operativo y las aplicaciones de los equipos deberán mantenerse actualizados y con los últimos parches de seguridad aplicados.
- Bloquear el acceso a sitios comprometidos.
- Permitir únicamente el uso de aplicaciones autorizadas.
- Restringir o prohibir el uso de dispositivos personales que no dispongan de medidas que garanticen la seguridad.
- Prohibir el uso de dispositivos de almacenamiento extraíbles o limitar su uso bajo unas estrictas medidas de seguridad.
- No utilizar cuentas de usuario con privilegios de administrador.
Además de estas medidas técnicas, para hacer frente a la amenaza del ransomware, resulta fundamental realizar campañas de concienciación de los usuarios. Hemos visto que una de las principales vías de acceso que utilizan los ciberdelincuentes para introducir el programa en la organización es a través de la acción del usuario. Por este motivo, mediante la aplicación de algunas buenas prácticas, el usuario puede evitar ser víctima de estas amenazas.
En Global Technology somos especialistas en soluciones de ciberprotección con capacidad para hacer frente a la amenaza del ransomware. Así mismo, disponemos de herramientas para la realización de campañas de Phising y concienciación.
Responsable de SOC en Global Technology