Información básica y cómo bajar el riesgo de un ataque.
¿Qué es un Ransomware?
Objetivo principal
Esencialmente, es una herramienta que permite la extorsión. Es un tipo de software malicioso (malware) que bloquea datos críticos, generalmente cifrándolos, hasta que la víctima paga una tarifa de rescate al atacante.
Despliegue de la infección
Identifica las unidades en un sistema infectado y comienza a cifrar los archivos dentro de cada unidad. El ransomware generalmente agrega una extensión a los archivos cifrados, como .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault o .petya, para mostrar que el los archivos se han cifrado: la extensión de archivo utilizada es única para el tipo de ransomware.
Una vez que el ransomware ha completado el cifrado de archivos, crea y muestra un archivo o archivos que contienen instrucciones sobre cómo la víctima puede pagar el rescate.
Vectores de ataque
Correos electrónicos
Las infecciones de ransomware pueden ocurrir cuando un usuario, sin saberlo, descarga el malware en su computadora abriendo un archivo adjunto de correo electrónico, haciendo clic en un anuncio, siguiendo un enlace o incluso visitando un sitio web que está incrustado con malware.
Protocolo RDP
El protocolo de escritorio remoto usa el puerto predeterminado 3389. Una vez que se encuentra un puerto expuesto, el actor de amenazas debe obtener las credenciales de inicio de sesión. Pueden hacerlo a través de cualquiera de los métodos típicos para obtener credenciales, como ingeniería social o, a menudo, ataques de fuerza bruta. Una vez dentro, pueden dejar puertas traseras para acceso futuro o implementar ransomware.
Samba
WannaCry infecta redes mediante el “exploit” EternalBlue y se aprovecha de la vulnerabilidad del protocolo Server Message Block.
Vulnerabilidades
La categoría “otros” incluye la capacidad de explotación de sistemas sin parches, como sitios web y servidores VPN. Cualquier sistema con acceso a Internet que no esté parcheado y protegido podría ser un vector de ataque.
Qué no hacer
Emails
No hacer clic, descargar archivos adjuntos ni responder a correos electrónicos sospechosos.
Sitios web
No ingresar a sitios web sospechosos ni descargar aplicaciones sospechosas.
Desactivar antiransomware
Nadie va a pedir que es necesario desactivar el mismo bajo por una causa lícita.
Brindar información personal
Ciberdelincuentes buscan recabar información personal para adaptar mensajes engañosos que usarán en un ataque a futuro.
Utilizar una memoria USB desconocida
Ciberdelincuentes pueden dejar unidades infectadas en sitios públicos con la esperanza de que alguien se tiente y las utilice.
Prestar nuestro dispositivo a un desconocido
Suele pasar que cualquier persona nos pide nuestro equipo para hacer cualquier tipo de trámite (por lo general rápido). En el caso que se preste, estar al pendiente de las tareas que ejecuta.
Qué sí hacer
Emails dirigidos
Estar atento a que no todos los correos electrónicos maliciosos serán abiertamente sospechosos.
Reporte
Denunciar cualquier cosa sospechosa, aunque sea una falsa alarma, al responsable de sistemas.
Copia de seguridad
Guardar todos los archivos que se consideren de vital importancia fuera de la PC donde se utilizan a diario.
