El ransomware volvió a ser el principal tipo de ciberataque de 2021. Ha estado en el top de la lista de amenazas durante tres años consecutivos. Los expertos estimaron que el año pasado se produjo un ataque de ransomware cada 11 segundos. El coste medio de la recuperación del ransomware se estimó en 1,85 millones de dólares. Estas estadísticas explican por qué algunos han proclamado que el ransomware es una amenaza moderna para el público. seguridad. En este blog, desmitificaremos el ransomware y responderemos algunas preguntas clave al respecto.

¿Qué es el ransomware?

La pista está en el nombre. El ransomware es un tipo de software malicioso (malware) que impide el acceso a datos importantes cifrándolos hasta que se solicita un 'rescate'. está pagado. Los rescates generalmente se solicitan en una moneda criptográfica para evitar dejar el dinero que viene con efectivo o transacciones bancarias, que los agentes del orden pueden usar para rastrear a los atacantes. Las criptomonedas son prácticamente anónimas y mucho más difíciles de rastrear.

Cuando se paga el rescate, el atacante proporciona la clave de cifrado. Sin embargo, en los últimos años ha surgido una nueva tendencia. Los atacantes han amenazado cada vez más con hacer públicos los datos incluso después de recibir su rescate. Esta práctica se conoce como “doble extorsión”. Básicamente, ya no hay garantía de que recuperará el acceso a sus datos importantes incluso si paga el rescate.

¿Cómo funciona el ransomware?

El ransomware puede acceder a una red de varias formas. La forma más común de implementar ransomware es phishing. Por ejemplo, el atacante puede pretender intentar engañar al usuario para que haga clic en un enlace y luego proporcione algunos datos personales. Si el usuario cae en la trampa, el atacante obtiene acceso directo a las credenciales del usuario y luego puede distribuir fácilmente el malware. Este método ha ganado popularidad entre los atacantes de ransomware porque es menos detectable que los métodos de ataque más antiguos en los que el malware estaba integrado como un archivo adjunto. Además, una vez que el atacante obtiene las credenciales del usuario de esta manera, puede utilizarlas en cualquier momento que desee.

Otras formas de entrar incluyen malware, 'publicidad maliciosa' y publicidad maliciosa. (anuncios falsos que transmiten el ransomware), mensajes de chat, complementos de navegador vulnerables, dispositivos extraíbles, archivos adjuntos de correo electrónico, etc. El ransomware sofisticado podría autopropagarse y ser automático, sin necesitar acción humana. Podrán llevar a cabo un ataque desde un vehículo que es desencadenado involuntariamente por un usuario.

Una vez que el ransomware ingresa a un dispositivo, puede intentar proliferar en dispositivos, unidades o redes conectadas. A veces, el ransomware puede permanecer inactivo durante un tiempo. Durante este período de gestación, puede extorsionar datos críticos y realizar copias de seguridad junto con archivos legítimos en la red para evitar que las copias de seguridad se utilicen para la recuperación.

¿Cuál es un ejemplo de un ataque de ransomware?

El ransomware no era muy conocido hasta 2017, cuando WannaCry conmocionó al mundo de ciberseguridad. En un día, más de 230.000 personas en todo el mundo descubrieron que sus archivos estaban cifrados. Sólo pudieron recuperar estos archivos pagando un rescate en

¿Cómo ocurrió ese incidente de ransomware? Se creía ampliamente que la infección se originó a partir de un correo electrónico de phishing. Sin embargo, los investigadores concluyeron más tarde que el ransomware comenzó explotando una vulnerabilidad en Windows que ya había sido identificada por Windows dos meses antes.

Curiosamente, Windows había lanzado un parche para protegerse contra la vulnerabilidad. Por eso los atacantes de WannaCry sólo iban a afectar a aquellos ordenadores que no estuvieran parcheados contra la vulnerabilidad que Microsoft ya había identificado. Este ejemplo demuestra exactamente lo importante que es mantenerse actualizado con los parches.

WannaCry causó estragos en sectores de más de 150 países. El Servicio Nacional de Salud (NHS) del Reino Unido fue uno de los más objetivos gravemente afectados . Muchos hospitales se vieron obligados a cancelar sus operaciones y detener el importante trabajo que tenían encomendado.

Los pagos reales del rescate fueron solo entre $ 300 y $ 600 por usuario, pero se estima que el costo total del ransomware ronda 4 mil millones de dólares. Varios otros ataques de ransomware han arrasado en el mundo desde entonces. Pero Wannacry sigue siendo un excelente ejemplo de ataque de ransomware.

¿Quién está detrás de los ataques de ransomware?

El ransomware se puede crear desde cero o modificando el ransomware existente. Esto lo suelen hacer codificadores o expertos en malware. Sin embargo, no todos los atacantes de ransomware son codificadores o expertos en malware. Algunos creadores de ransomware venden su malware o lo alquilan a otros. Después de todo, es un negocio en auge. Es por eso que cualquiera puede lanzar un ataque de ransomware, independientemente de si es técnico o no.

¿Cuánto tiempo se tarda en detectar un ataque de ransomware?

La respuesta a esta pregunta varía de un caso a otro. A veces, un ataque de ransomware puede detectarse a tiempo. En otras ocasiones, es posible que un ataque de ransomware se detecte demasiado tarde. El tiempo que tarda una empresa en detectar un ataque de ransomware suele depender de varios factores como:

• Niveles de conocimiento y experiencia de los expertos.
• Tipo de ransomware
• Tamaño de la infraestructura de TI
• Tipo de protección utilizada contra ransomware

¿Cómo prevenir un ataque de ransomware?

Los ataques de ransomware son difíciles de prevenir porque pueden ser causados por el más simple de los errores humanos. Sin embargo, aún puede seguir los siguientes pasos para evitar que usted y su empresa sean víctimas de un ataque de ransomware.

Utilice protección contra phishing

Los correos electrónicos de phishing causan alrededor del 91% de los ciberataques. Podría decirse que esto se debe a que el software de seguridad de correo electrónico heredado no es eficaz para bloquear los ataques de phishing. Rara vez están diseñados para prevenir nuevas formas de malware.

El uso de software que ofrece protección contra phishing puede ayudar a solucionar el problema de raíz al bloquear los correos electrónicos problemáticos incluso antes de que lleguen a la bandeja de entrada. El software avanzado de protección contra phishing puede ofrecer una mayor protección al analizar las relaciones comerciales de los empleados y crear perfiles confiables. Pueden buscar irregularidades en el contenido del correo electrónico y detectar ataques con antelación. Por último, incluso pueden aprender diariamente a ser más inteligentes y luchar contra nuevas amenazas.

Invertir en formación de concienciación sobre seguridad

El 95% de las amenazas a la ciberseguridad son causadas por errores humanos. Las empresas pueden reducir el riesgo de experimentar un desastre de ciberseguridad al aproximadamente el 70% si capacitan a sus empleados para identificar y mitigar las amenazas de phishing. La simulación de phishing (envío de correos electrónicos de phishing falsos) es una forma eficaz de ayudar a los empleados y usuarios a aprender a identificar correos electrónicos maliciosos en un entorno seguro. Incluso puede automatizar el proceso de capacitación y presentación de informes para que los empleados estén libres de estrés y orientados a resultados.

Automatizar la gestión de parches

Como ya comentamos, el ataque del ransomware WannaCry afectó especialmente a aquellos equipos que no habían descargado una actualización de Windows lanzada recientemente. Esto demuestra lo importante que es gestionar los parches. Los sistemas sin parches ofrecen una puerta de entrada a los ciberdelincuentes. El problema es administrar todos los parches en muchos puntos finales. Aquí es donde una herramienta automatizada de administración de parches puede hacer todo el trabajo pesado por usted y garantizar que sus aplicaciones estén siempre activas. hasta la fecha, por lo que su red es menos susceptible a los ataques de ransomware.

Escanear en busca de vulnerabilidades

Si desea proteger su dispositivo y su red contra el ransomware, debe estar constantemente atento a posibles peligros; dentro y fuera de su red y tomar medidas para protegerse contra ellos. La investigación del Ponemon Institute que citamos antes también reveló que el 34% de las víctimas eran conscientes de su vulnerabilidad pero simplemente no habían implementado los parches adecuados. Las herramientas avanzadas de escaneo de vulnerabilidades ofrecen protección en tiempo real a través de la automatización y le permiten anticiparse a todos los peligros del ransomware.