skip to Main Content
  • ESP
  • CAT

El ransomware és un malware que altera els fitxers amb informació sensible

¿Qué es el ransomware y cómo nos afecta?

El ransomware es un malware que altera los ficheros con información sensible, cifrándolos para luego pedir un “rescate” económico para recuperar esta información. En 2015, el ransomware causó pérdidas de 350 millones de dólares. Aún más alarmante es el crecimiento durante este 2016 que, solo durante su primer trimestre, causó pérdidas de 206 millones de dólares.

Este tipo de amenaza tiene un patrón diferente de los malwares tradicionales. En primer lugar, no roba la información de las víctimas, sino cifra los datos para impedir su acceso. En segundo lugar, el malware no oculta sus acciones sino que bloquea el equipo para solicitar el rescate a la víctima. Por último, el rescate se solicita en bitcoins, una moneda criptográfica que no puede ser rastreada.

Formas de infección de Ransomware

A nivel más técnico, el ransomware tiene diferentes vectores de infección, por ejemplo, ataques de phishing, ingeniería social, macros en documentos, vulnerabilidades en aplicaciones y servicios web (los servidores JBoss desactualizados están siendo muy afectados).

Una vez un cliente ha sido infectado, el malware intenta cifrar todo lo posible a su alcance, pasando por el disco duro de la víctima, saltando por unidades de red y carpetas compartidas. Una segmentación mal realizada de los clientes de una compañía puede provocar una encriptación masiva de datos. El malware, cifra los datos y almacena una clave pública en el equipo infectado y una clave privada en los servidores infectantes. El malware siempre pedirá el rescate para recuperar la clave privada, puesto que sin las dos claves, tanto pública como privada, es imposible descifrar los datos.

Ransomware: Una amenaza con miles de variantes y revisiones

El ransomware es una amenaza bastante simple de producir. Pero la componente más alarmante es que no tenemos que producirlo, por cientos de dólares se puede alquilar un kit en la DarkWeb y el botnet o los servidores infectados para enviarlo. Y te dan igualmente posibilidades de cobrar, de una manera anónima. Debido a la combinación de la rentabilidad que supone para el atacante junto con la facilidad de desarrollar la amenaza, el ransomware supone un verdadero reto para los departamentos de TI y para las compañías de seguridad.

La amenaza de ransomware no solo se limita a dispositivos Windows. Se observan versiones para Linux, Android e incluso MacOS. De hecho, según IDC, los dispositivos Android serán punto de mira por tener una cuota de mercado muy elevada.

Tengo los datos encriptados. ¿Los puedo recuperar?

Una vez el malware infecta el equipo cifra ciertos tipos de ficheros (imágenes, documentos, vídeos, etc) para impedir su acceso. El malware avisa de sus acciones mediante un aviso en pantalla completa solicitando un pago por la recuperación de esos datos. Y, aunque hay algunos fabricantes que han podido interceptar llaves de encriptación ¿ para ransomware más sencillo, o transmitidas en los canales de comunicación entre grupos de ciber-criminales ¿ en la gran mayoría de los casos no hay posibilidad de desencriptar los datos.

¿Debo pagar el rescate que me indica?

Lamentablemente, el malware elimina normalmente también las copias shadow para asegurarse que no se puedan restaurar. La única manera segura de recuperar la información cifrada es a partir de una copia de seguridad limpia.

El pago del rescate de los datos en ningún caso nos asegura que los datos sean devueltos. Si el C&C del malware no recibe la clave de cifrado de nuestros datos, será imposible recuperarlos de nuevo. Y aun así, nunca es cierto que el ransomware ha quitado la víctima o se han dejado puertas traseras para futuras explotaciones de la infección.

¿Cómo protegerse del ransomware?

Para minimizar el riesgo de infección por cualquier amenaza de malware, la primera prioridad debe ser mantener los equipos siempre con los últimos parches de seguridad. Desde IEAISA recomendamos siempre este tipo de prácticas y sobretodo, dar un trato muy especial a aplicaciones que están en el punto de mira de atacantes como Adobe Flash y Java. Como ejemplo, en 2015 fueron detectadas 314 vulnerabilidades en seguridad en Adobe Flash, un poco menos de una por día.

Datos protegidos con una solución moderna ¿ los 5 pasos para protegernos de ransomware

Al observar el número de variantes liberadas diariamente, debemos apostar en la protección de malware desconocido. Resulta evidente disponer de una herramienta con un potente motor heurístico que permita detectar patrones maliciosos.

Hem contactat amb IEAISA com a experts de seguretat i els confíen en Bitdefender como solución para protección contra amenazas ransomware. Bitdefender incorpora varias capas de protección que funcionan de modo independiente. En combinación, forman uno de los escudos antimalware más poderosos del mercado. Por un lado, dispone de una detección en función de firmas y comportamiento para ficheros y procesos y por otro, de un escudo para evitar que el ransomware pase nuestras defensas.

1. Las primeras capas ¿ detección por el exploit kit usado

Como ya hemos visto, la componente esencial del ransomware es el uso de los exploit kits. Bitdefender no solo detecta el exploit kit por firmas específicas o genéricas, pero también por su tecnología Anti-Exploit que busca y bloquea amenazas desconocidas 0-Day.

2. La análisis comportamental

Bitdefender tiene rutinas de análisis comportamental desde el año 2003. En estos 13 años este módulo patentado, B-HAVE, se ha optimizado y perfeccionado continuadamente, llegando a tener más de 300 rutinas de análisis comportamental. Cada día Bitdefender está parando, según sus datos, más de 28 500 samples de ransomware desconocido.

3. La intercepción del proceso de encriptación a la ejecución

Uno de los diferenciadores de Bitdefender es la intercepción de los procesos en la fase de ejecución y de los eventos en memoria. Estas tecnologías le permiten por un lado detectar los procesos sospechosos en la fase de iniciarse, y por otro lado parrar la infección de fuentes tipo Java scripts u objetos web infectados durante la navegación.

4. Prevención con la vacuna anti-ransomware

Una de las técnicas innovadoras empleadas por Bitdefender es la vacuna anti-ransomware que se aprovecha de la comprobación del ransomware si está presente ya o no en la máquina. Con dos técnicas innovadoras Bitdefender consigue “engañar” el ataque y pararlo de manera proactiva.

5. Prevención con la application whitelisting

Esta es una técnica de prevención basada en las buenas prácticas: Bitdefender permite a los administradores de seguridad hacer el inventario del software instalado y aprobar lo que es legítimo a ejecutarse. Una vez definida la lista, Bitdefender parra la instalación / ejecución de cualquier software desconocido, incluidos los procesos del ransomware. Es una herramienta muy potente y fácil de usar.

Bitdefender actualmente goza de la mayor tasa de detección, mientras que el promedio de mercado sigue bajando:

Desde septiembre de 2015, Bitdefender ha extendido su tecnología heurística patentada, denominada Advanced Threat Control (ATC), para detectar también ransomware previamente desconocido. La tecnología utiliza modelos de comportamiento avanzados para encontrar ransomware, incluso si no se ha firmado.

Bitdefender ATC no necesita firmas ya que descubre ransomware a través de su comportamiento. Para determinar si un proceso es ransomware antes de que llegue a afectar, ATC vela por todos los procesos activos y marca cualquier comportamiento sospechoso con una puntuación. Si el proceso o fichero supera el umbral, se toman las medidas necesarias.

Per a més informació pot contactar amb: www.ieaisa.es

Back To Top