Ransomware explicó: Cómo funciona y cómo eliminarlo

0 Comments

Ransomware definición

Ransomware es un tipo de malware que cifra una víctima»s archivos. El atacante entonces exige un rescate de la víctima para restaurar el acceso a los datos sobre el pago.

a los usuarios se les muestran instrucciones sobre cómo pagar una tarifa para obtener la clave de descifrado. Los costos pueden variar desde unos pocos cientos de dólares hasta miles, pagaderos a los ciberdelincuentes en Bitcoin.

cómo funciona el ransomware

hay una serie de vectores que ransomware puede tomar para acceder a una computadora., Uno de los sistemas de entrega más comunes es el spam de phishing, archivos adjuntos que llegan a la víctima en un correo electrónico, haciéndose pasar por un archivo en el que deben confiar. Una vez que se descargan y abren, pueden hacerse cargo de la computadora de la víctima, especialmente si tienen herramientas de ingeniería social integradas que engañan a los usuarios para que permitan el acceso administrativo. Algunas otras formas más agresivas de ransomware, como NotPetya, explotan agujeros de seguridad para infectar computadoras sin necesidad de engañar a los usuarios.,

Hay varias cosas que el malware podría hacer una vez que se ha apoderado de la computadora de la víctima, pero, con mucho, la acción más común es cifrar algunos o todos los archivos del usuario. Si desea los detalles técnicos, el Instituto Infosec tiene una gran mirada en profundidad a cómo varios tipos de ransomware cifrar archivos. Pero lo más importante es saber que al final del proceso, los archivos no se pueden descifrar sin una clave matemática conocida solo por el atacante., Al usuario se le presenta un mensaje explicando que sus archivos ahora son ahora inaccesibles y solo se descifrarán si la víctima envía un pago de Bitcoin imposible de rastrear al atacante.

en algunas formas de malware, el atacante podría afirmar que es una agencia de aplicación de la ley que apaga la computadora de la víctima debido a la presencia de pornografía o software pirateado en ella, y exigir el pago de una»multa», tal vez para hacer que las víctimas sean menos propensas a denunciar el ataque a las autoridades. Pero la mayoría de los ataques no se molestan con esta pretensión., También hay una variación, llamada leakware o doxware, en la que el atacante amenaza con publicar datos confidenciales en el disco duro de la víctima a menos que se pague un rescate. Pero debido a que encontrar y extraer dicha información es una propuesta muy difícil para los atacantes, el ransomware de cifrado es, con mucho, el tipo más común.

¿quién es un objetivo para ransomware?

hay varias formas diferentes en que los atacantes eligen las organizaciones a las que se dirigen con ransomware., A veces es una cuestión de oportunidad: por ejemplo, los atacantes pueden dirigirse a las universidades porque tienden a tener equipos de seguridad más pequeños y una base de usuarios dispar que hace mucho uso compartido de archivos, lo que facilita la penetración de sus defensas.

por otro lado, algunas organizaciones son objetivos tentadores porque parecen más propensos a pagar un rescate rápidamente. Por ejemplo, las agencias gubernamentales o las instalaciones médicas a menudo necesitan acceso inmediato a sus archivos., Los bufetes de abogados y otras organizaciones con datos confidenciales pueden estar dispuestos a pagar para mantener en secreto las noticias de un compromiso, y estas organizaciones pueden ser especialmente sensibles a los ataques de leakware.

pero no se sienta seguro si no se ajusta a estas categorías: como hemos señalado, algunos ransomware se propaga automática e indiscriminadamente a través de internet.

cómo prevenir el ransomware

Hay una serie de pasos defensivos que puede tomar para prevenir la infección por ransomware., Estos pasos son, por supuesto, buenas prácticas de seguridad en general, por lo que seguirlos mejora sus defensas contra todo tipo de ataques:

  • Mantenga su sistema operativo parcheado y actualizado para garantizar que tenga menos vulnerabilidades para explotar.
  • No instale software ni le dé privilegios administrativos a menos que sepa exactamente qué es y qué hace.
  • instale software antivirus, que detecta programas maliciosos como ransomware a medida que llegan, y software de Lista blanca, que evita que las aplicaciones no autorizadas se ejecuten en primer lugar.,
  • y, por supuesto, hacer copias de seguridad de sus archivos, con frecuencia y automáticamente! Eso no detendrá un ataque de malware, pero puede hacer que el daño causado por uno sea mucho menos significativo.

eliminación de Ransomware

Si su computadora ha sido infectada con ransomware, deberá recuperar el control de su máquina.,onstrating cómo hacer esto en una máquina Windows 10:

El video tiene todos los detalles, pero los pasos importantes son:

  • reiniciar Windows 10 a modo seguro
  • instalar software antimalware
  • escanear el sistema para encontrar el programa ransomware
  • restaurar la computadora a un estado anterior

pero aquí»s lo importante a tener en cuenta: mientras camina a través de estos pasos puede eliminar el malware de su computadora y restaurarlo a su control, No ganó»descifrar sus archivos., Su transformación en inalterable ya ha ocurrido, y si el malware es sofisticado, será matemáticamente imposible para cualquiera descifrarlo sin acceso a la clave que posee el atacante. De hecho, al eliminar el malware, ha excluido la posibilidad de restaurar sus archivos pagando a los atacantes el rescate que pidieron.

datos y cifras del Ransomware

el Ransomware es un gran negocio. Hay mucho dinero en ransomware, y el mercado se expandió rápidamente desde el comienzo de la década., En 2017, el ransomware dio lugar a pérdidas de 5 mil millones de dólares, tanto en términos de rescates pagados como de gastos y tiempo perdido en la recuperación de los ataques. Eso ha aumentado 15 veces desde 2015. En el primer trimestre de 2018, solo un tipo de software de ransomware, SamSam, recogió a 1 millón en dinero de rescate.

algunos mercados son particularmente propensos al ransomware y al pago del rescate., Muchos ataques de ransomware de alto perfil han ocurrido en hospitales u otras organizaciones médicas, lo que hace que los objetivos sean tentadores: los atacantes saben que, con vidas literalmente en juego, es más probable que estas empresas simplemente paguen un rescate relativamente bajo para hacer que un problema desaparezca. Se estima que el 45 por ciento de los ataques de ransomware se dirigen a organizaciones de salud, y, por el contrario, que el 85 por ciento de las infecciones de malware en organizaciones de salud son ransomware. ¿Otra industria tentadora? El sector de los servicios financieros, que es, como comentó Willie Sutton, donde está el dinero., Se estima que el 90 por ciento de las instituciones financieras fueron blanco de un ataque de ransomware en 2017.

su software antimalware no necesariamente lo protegerá. Ransomware está constantemente siendo escrito y ajustado por sus desarrolladores, por lo que sus firmas a menudo no son capturados por los programas antivirus típicos. De hecho, hasta el 75 por ciento de las empresas que son víctimas del ransomware estaban ejecutando protección de endpoints actualizada en las máquinas infectadas.

el Ransomware no es tan frecuente como solía ser., Si quieres un poco de buenas noticias, es esta: el número de ataques de ransomware, después de explotar a mediados de «10s, ha entrado en una disminución, aunque los números iniciales eran lo suficientemente altos como para que»s todavía. Pero en el primer trimestre de 2017, Los ataques de ransomware representaron el 60 por ciento de las cargas útiles de malware; ahora se ha reducido al 5 por ciento.

Ransomware en declive?

¿Qué hay detrás de esta gran caída? En muchos sentidos, es una decisión económica basada en la moneda de elección del ciberdelincuente: bitcoin., Extraer un rescate de una víctima siempre ha sido golpeado o errado; es posible que no decidan pagar, o incluso si quieren, puede que no estén lo suficientemente familiarizados con bitcoin como para averiguar cómo hacerlo realmente.

como Kaspersky señala, la disminución en el ransomware se ha igualado con un aumento en el llamado malware criptomining, que infecta la computadora de la víctima y usa su poder de computación para crear (o minar, en lenguaje de Criptomonedas) bitcoin sin que el propietario lo sepa., Esta es una ruta ordenada para usar los recursos de otra persona para obtener bitcoin que evita la mayoría de las dificultades para obtener un rescate, y solo se ha vuelto más atractivo como un ciberataque ya que el precio de bitcoin se disparó a finales de 2017.

Eso no significa que la amenaza, sin embargo. Hay dos tipos diferentes de atacantes de ransomware: los ataques» commodity «que intentan infectar computadoras indiscriminadamente por gran volumen e incluyen las llamadas plataformas de» ransomware como servicio » que los delincuentes pueden alquilar; y los grupos específicos que se centran en segmentos de mercado y organizaciones particularmente vulnerables., Usted debe estar en guardia si usted » re en la última categoría, no importa si el gran auge ransomware ha pasado.

con el precio de bitcoin cayendo en el transcurso de 2018, el análisis de costo-beneficio para los atacantes podría retroceder. En última instancia, el uso de ransomware o malware de criptominería es una decisión empresarial para los atacantes, dice Steve Grobman, director de tecnología de McAfee. «A medida que los precios de las criptomonedas bajan, es natural ver un cambio hacia atrás .»

¿debería pagar el rescate?,

si su sistema ha sido infectado con malware y ha perdido datos vitales que no puede restaurar desde la copia de seguridad, ¿debe pagar el rescate?

Cuando se habla teóricamente, la mayoría de las agencias de aplicación de la ley le instan a no pagar a los atacantes de ransomware, con la lógica de que hacerlo solo alienta a los hackers a crear más ransomware. Dicho esto, muchas organizaciones que se ven afectadas por el malware dejan rápidamente de pensar en términos de «bien mayor» y comienzan a hacer un análisis de costo-beneficio, sopesando el precio del rescate contra el valor de los datos cifrados., Según una investigación de Trend Micro, mientras que el 66 por ciento de las empresas dicen que nunca pagarían un rescate como punto de principio, en la práctica el 65 por ciento realmente paga el rescate cuando son golpeados.

Los atacantes de Ransomware mantienen los precios relativamente bajos, generalmente entre $700 y 1 1,300, una cantidad que las empresas generalmente pueden pagar con poca antelación. Algunos malware particularmente sofisticados detectarán el país donde se ejecuta el equipo infectado y ajustarán el rescate para que coincida con la economía de esa nación, exigiendo más a las empresas de los países ricos y menos a las de las regiones pobres.,

a menudo se ofrecen descuentos por actuar rápido, a fin de alentar a las víctimas a pagar rápidamente antes de pensar demasiado en ello. En general, el punto de precio se establece de manera que»es lo suficientemente alto como para valer la pena el criminal»s mientras, pero lo suficientemente bajo como para que»s a menudo más barato que lo que la víctima tendría que pagar para restaurar su computadora o reconstruir los datos perdidos., Con esto en mente, algunas compañías están comenzando a construir la necesidad potencial de pagar un rescate en sus planes de seguridad: por ejemplo, algunas grandes compañías del Reino Unido que de otra manera no están involucradas con la criptomoneda están reservando algo de Bitcoin específicamente para los pagos de rescate.

Hay un par de cosas difíciles para recordar aquí, teniendo en cuenta que las personas con las que estás tratando son, por supuesto, criminales. En primer lugar, lo que parece ransomware puede no haber cifrado sus datos en absoluto; asegúrese de que no está tratando con el llamado»scareware «antes de enviar dinero a nadie., Y segundo, pagar a los atacantes no garantiza que recuperes tus archivos. A veces, los delincuentes simplemente toman el dinero y corren, y es posible que ni siquiera hayan incorporado la funcionalidad de descifrado en el malware. Pero cualquier malware de este tipo obtendrá rápidamente una reputación y no generará ingresos, por lo que en la mayoría de los casos, Gary Sockrider, tecnólogo de seguridad principal de Arbor Networks, estima que alrededor del 65 al 70 por ciento del tiempo, los delincuentes llegan y sus datos se restauran.

vídeos Relacionados:

Ransomware: ¿pagar el rescate?, /Salted Hash Ep 19

ejemplos de Ransomware

mientras que el ransomware ha existido técnicamente desde los años 90, solo ha despegado en los últimos cinco años, en gran parte debido a la disponibilidad de métodos de pago imposibles de rastrear como Bitcoin. Algunos de los peores delincuentes han sido:

  • CryptoLocker, un ataque de 2013, lanzó la era moderna del ransomware e infectó hasta 500,000 máquinas en su apogeo.
  • TeslaCrypt apuntó a los archivos de juegos y vio una mejora constante durante su reinado de terror.,
  • SimpleLocker fue el primer ataque de ransomware generalizado que se centró en dispositivos móviles
  • WannaCry se extendió de forma autónoma de computadora a computadora utilizando EternalBlue, un exploit desarrollado por la NSA y luego robado por hackers.
  • NotPetya también usó EternalBlue y pudo haber sido parte de un ciberataque dirigido por Rusia contra Ucrania.
  • Locky comenzó a propagarse en 2016 y era «similar en su modo de ataque al notorio software bancario Dridex.»Una variante, Osiris, se propagó a través de campañas de phishing.,
  • Leatherlocker se descubrió por primera vez en 2017 en dos aplicaciones de Android: Booster & Cleaner y Wallpaper Blur HD. En lugar de cifrar archivos, bloquea la pantalla de inicio para evitar el acceso a los datos.
  • Wysiwye, también descubierto en 2017, escanea la web en busca de servidores open Remote Desktop Protocol (RDP). A continuación, intenta robar credenciales RDP para propagarse a través de la red.
  • Cerber demostró ser muy efectivo cuando apareció por primera vez en 2016, obteniendo atacantes 2 200,000 en julio de ese año. Se aprovechó de una vulnerabilidad de Microsoft para infectar redes.,
  • BadRabbit se extendió a través de empresas de medios en Europa del Este y Asia en 2017.
  • SamSam ha existido desde 2015 y se ha dirigido principalmente a organizaciones de atención médica.
  • Ryuk apareció por primera vez en 2018 y se utiliza en ataques dirigidos contra organizaciones vulnerables como hospitales. A menudo se utiliza en combinación con otro malware como TrickBot.
  • Maze es un grupo de ransomware relativamente nuevo conocido por liberar datos robados al público si la víctima no paga para descifrarlos.,
  • RobbinHood es otra variante de EternalBlue que puso de rodillas a la ciudad de Baltimore, Maryland, en 2019.
  • GandCrab podría ser el ransomware más lucrativo nunca. Sus desarrolladores, que vendieron el programa a los ciberdelincuentes, reclaman más de 2 2 mil millones en pagos de víctimas a partir de julio de 2019.
  • Sodinokibi se dirige a los sistemas Microsoft Windows y cifra todos los archivos excepto los archivos de configuración. Está relacionado con GandCrab
  • Thanos es el ransomware más reciente en esta lista, descubierto en Enero 2020., Se vende como ransomware como un servicio, es el PRIMERO en utilizar la técnica RIPlace, que puede pasar por alto la mayoría de los métodos anti-ransomware.

esta lista se va a alargar. Siga los consejos que se enumeran aquí para protegerse.

vídeos Relacionados:

Ransomware mercados y el futuro de malware | Salado Hash Ep 6


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *