_ Lidia Fernández
Un día, encendemos nuestro ordenador para comenzar a trabajar, pero nos encontramos con una sorpresa… No tenemos forma de utilizarlo, no tenemos acceso a nuestros archivos, fotos, documentos ¡no tenemos nada! Sólo vemos la nota de rescate, y el tiempo se acaba rápidamente… ¿Qué es lo que ha pasado?
Cada vez con más frecuencia, los ciberdelincuentes crean formas más rápidas de hacerse con grandes cantidades de dinero en poco tiempo. Es el caso del Ransomware, un malware con el que nos piden dinero a cambio de algo que es nuestro.
Tanto es así, que el Ransomware ya se ha convertido en una industria, y los delincuentes hasta compiten entre sí para crear más y mejores versiones.
Qué es un Ransomware
El Ransomware es un malware que se ha diseñado con el objetivo de infectar un sistema operativo y secuestrar los datos a cambio de un rescate económico para dejar de retenerlos.
El término Ransomware proviene del inglés ransom, «rescate», y ware, de la palabra software. En español, se han propuesto algunas alternativas para nombrarlo «programa de secuestro», «secuestrador», “programa de chantaje” o “chantajista”.
A finales de los años 80 ya se experimentaron los primeros Ransomwares, por lo que este tipo de saqueo no es reciente. El primero fue creado por el doctor Joseph Popp en 1989, y desde ese momento, se han ido mejorando las técnicas, que cada vez están más perfeccionadas e innovadoras.
Esta proliferación de los ataques alrededor del mundo y el gran alcance que tienen, pueden suponer una amenaza muy grande. Y es que una de las problemáticas es el desarrollo de mutaciones y evoluciones de una forma exponencial, aumentando las cepas y variantes de los Ransomwares.
Este desarrollo se debe a la transformación digital a la que se suman los ciberdelincuentes, a la rentabilidad económica que puede traer este tipo de malwares y la gran facilidad para ocultarse y no perder el anonimato con nuevos sistemas de pago internacionales (Sobre todo criptomonedas).
¿Cómo podemos reconocer que hemos sido víctimas de un Ransomware?
Lo primero es que será imposible utilizar nuestro dispositivo, no podremos abrir nuestros documentos ni utilizar ninguna aplicación. Además, suele aparecer en pantalla una nota de rescate del ciberdelincuente con instrucciones para recuperar nuestra información.
¿Cómo funciona un Ransomware?
Su metodología, aunque varía entre unos y otros, se lleva a cabo siguiendo normalmente las siguientes fases.
Primero, el ciberdelincuente camufla el código malicioso dentro de otro archivo o programa. Estos últimos pueden tener diferentes formas: archivos, fotos, actualizaciones de sistemas, programas fiables, documentos Word, pdf, xls…
Después, mediante diferentes formas, los atacantes se encargan de que el archivo malicioso penetre en el ordenador. Existen muchas maneras por las cuales podemos infectar nuestro dispositivo con un Ransomware, entre ellas:
- Ingresar a sitios web peligrosos o infectados.
- Abrir un archivo adjunto peligroso de un correo electrónico.
- Hacer clic en un enlace de un correo malicioso.
- Descargar un programa infectado por navegar en un sitio web contaminado.
- Instalar programas descargados desde sitios no oficiales.
- Descargar archivos de sitios desconocidos o no oficiales.
- Conectar una memoria extraíble previamente infectada en nuestro dispositivo.
Una vez dentro, se activa y bloquea el sistema operativo del dispositivo. En este momento, aparece un mensaje donde se solicita un pago para tener una clave que desbloquee los datos o ficheros encriptados ya que el sistema de la persona afectada es inutilizable. Se suele poner un mensaje donde te indican el correo correspondiente y la forma de pago.
Siempre solicitan un pago y la gran mayoría lo hacen mediante criptomonedas, sobre todo bitcoins, aunque también se realizan por otras vías cómo por SMS o por Paypal.
A cambio de ceder y pagar lo impuesto por los cibercriminales, ellos aseguran que descifran la información y vuelven a dar a la víctima el acceso al dispositivo. Pero esto no siempre es así, no existe ninguna garantía de que eso pase, muchas veces no tienen ni la manera de hacer que los datos se descifren. Por ello, siempre se recuerda que no es buena idea hacer el pago.
Aunque algunos de los Ransomwares se propagan de forma aleatoria, muchos de ellos están dirigidos, es decir, se destinan a una organización o persona específica. Esto es así, ya que a grandes firmas u organizaciones -aunque sea más complicado llegar-, se les pueden pedir rescates mucho mayores.
Tipos de Ransomware
Las formas de clasificar los Ransomwares son dispares y ponen el acento en diferentes cuestiones, desde cómo se distribuyen, a que es lo que hacen con los archivos o cómo extorsionan a las víctimas. En las siguientes líneas se hará una clasificación general de los diferentes Ransomwares.
Ransomware de Bloqueo
Lo que permite este malware es bloquear el inicio de sesión y no dejar al usuario acceder al equipo. En su lugar, la pantalla muestra un mensaje que describe que hay que hacer un pago para poder acceder al sistema.
Ransomware de Cifrado
Siendo este el ransomware más frecuente, lo que intentan los ciberdelincuentes es cifrar todos los datos y archivos: “criptoransomware”. Para que los dueños de ese contenido puedan acceder a ellos, los atacantes les piden un rescate para que los archivos se desbloqueen o para que no eliminen nuestros datos. Esta información secuestrada puede quedar bloqueada definitivamente.
Ransomware de Cifrado y Borrado
Es muy parecida a la anterior, primero cifran la información, pero ahora los ciberdelincuentes lo que tratan de hacer es ir eliminando progresivamente los archivos y los datos. Esto lleva a tomar medidas de una forma más inmediata, ya que cada segundo que pase, se puede perder mucha información.
Pero estas son las líneas generales, cada vez son más los nuevos tipos de amenazas con ransomware, y es que, por ejemplo, se ha creado “Scareware”, un malware que se oculta detrás de un software antivirus, y utilizando ventanas emergentes, informa a los usuarios de supuestos problemas de ciberseguridad encontrados en su ordenador. Esta vez, no piden dinero de una forma directa, si no que presionan a las víctimas para que compren un software antivirus que en realidad es falso. El problema es que este es un software malicioso, que se comporta cómo un ransomware y captura los datos.
Otros tipos de ransomware lo que intentan es amenazar y extorsionar a la víctima con la publicación de su información personal privada almacenada en el ordenador si no accede a pagar un rescate.
Ransomware más famosos
Son muchos los Ransomwares que han dejado en evidencia a empresas y organizaciones de todo el mundo, a continuación, se expondrán diferentes tipos que han desarrollado numerosos problemas en los últimos años:
Cerber
Cerber es una familia relativamente nueva de Ransomware que ha enviado ataques en los últimos años. Este Ransomware se instala como la mayoría de malware: abrir un archivo adjunto malicioso, visitar un sitio infectado, interactuar con un anuncio contaminado…, cifra los datos y pide un rescate. Pero tiene algo que lo hace especial, utiliza el altavoz del dispositivo para emitir mediante mensajes de audio, el mensaje a la víctima del ataque.
Ryuk
Aunque es muy nuevo, surgiendo por primera vez a mediados de 2019, su efecto ha sido demoledor para personas y compañías de todo el mundo, aparte de poner el foco en entidades públicas.
Su forma de propagación suele ser mediante phishing y una de las cualidades de Ryuk es que incorpora una “lista blanca”, un grupo de archivos, datos o carpetas que no cifra, para ir directamente a los que son sensibles o confidenciales. El problema es que sin copias de seguridad extremas, es muy complicado mitigar el ataque.
WannaCry
Es uno de los Ransomwares más conocidos. El 12 de mayo de 2017 surgió este ataque, que afectó en ese día al menos a 141 000 dispositivos en todo el mundo y sumando cada vez más. Con este ataque, se ha asaltado a empresas tales como Telefónica o Iberdrola.
WannaCry utiliza las vulnerabilidades de los dispositivos con un sistema operativo de Microsoft Windows que no estén debidamente actualizados. A parte, esta infección puede llegar a toda la red corporativa, siendo muy posible que contagie a otros ordenadores.
Los ciberdelincuentes pidieron un rescate de 300 dólares en bitcoins por cada ordenador hackeado, que se duplicaron a la hora. Todo ello, para recuperar los archivos.
Maze
Empezó su actividad a finales de 2018, sobre todo en países con lengua inglesa pero rápidamente se distribuyeron por otros países.
Una de sus singularidades es que libera públicamente los archivos y datos confidenciales al público a menos que se pague el rescate que piden. Su forma de distribución ha sido mediante kits de exploits (Fallout EK y Spelevo EK), y mediante correos con archivos maliciosos.
Además, apuntan a organizaciones y empresas grandes, para que la extorsión produzca más beneficio. Uno de los casos más destacados es el ataque a LG Electronics.
Locky
Este ransomware fue distribuido por primera vez en el año 2016 por un grupo de hackers y cifró más de 160 tipos de archivos y a partir de ahí se han ido mejorando. Normalmente se instala al recibir un documento que pide al usuario que habilite las macros para ver el documento. Cuando lo hace y ejecuta, se descarga locky y se carga en la memoria del sistema y cifrando los archivos.
Bad Rabbit
Es una cepa que apareció en 2017. La mayoría de víctimas se encuentran en Rusia, pero también en países cercanos.
Es una falsa actualización de Adobe Flash Player, que en realidad es un link malicioso. Estos estaban dentro de diferentes webs de medios de comunicación rusos que habían sido anteriormente hackeados. En esta ocasión sí se desbloquearon los archivos después de hacer el pago, ya que muchas víctimas lo informaron con posterioridad.
Jigsaw
Creado en 2016, este Ransomware encripta los archivos del dispositivo y los elimina gradualmente a menos que se pague un rescate para descifrar los archivos.
La forma de intimidar es comunicar que se tienen 24 horas para pagar el rescate, o si no la cantidad a pagar subirá. Además si no se paga, a partir de estas 24 horas se irán borrando los archivos hasta las 72 horas, que los archivos serán borrados permanentemente.
Finalmente, si la víctima intentaba reiniciar el ordenador, se borraban mil ficheros del ordenador. Una singularidad es que, en su mensaje de rescate, se podría ver la cara del personaje de las películas de Saw.
Ataques de Ransomwares a empresas
El ransomware es una de las principales amenazas tanto para empresas cómo para los usuarios, y actualmente se está cebando con las empresas españolas, provocando una epidemia entre ellas.
Ransomware Ryuk al SEPE
Hace ya unos meses, nos levantábamos con la noticia de que el SEPE (Sevicio Público de Empleo Estatal) había sufrido un ciberataque. El culpable habría sido una aplicación maliciosa de tipo ransomware (Ryuk), que ha afectado a los sistemas informáticos de las más de 700 oficinas de la Agencia de servicio presencial, así como a las 52 telemáticas.
El SEPE no pudo prestar servicios durante una semana, con lo que, durante todo ese período, la mayor parte de la plantilla tuvo que hacer su trabajo de forma manual, dedicando además mucho tiempo a recuperar la información perdida.
Además, se sabe que en solo 12 horas de ataque se pierden entre 7.000 y 10.000 peticiones y el ciberataque ha durado más de dos semanas.
Debido al ciberataque, no fue posible pagar las prestaciones de abril a casi 150.000 personas. Además, los solicitantes de subsidio de desempleo o ERTE no pudieron saber si su solicitud se había perdido durante el restablecimiento del sistema.
JBS, víctima de Ransomware
Un ejemplo en la empresa privada, es lo que le pasó a la gran empresa de producción de carnes JBS, que sufrió un ataque que tuvo consecuencias devastadoras. Esta víctima de un ransomware, que obtuvo acceso a información y archivos para después encriptarlos y pedir un rescate.
Por un lado, se entorpeció la venta de productos, bajando el ritmo de producción y distribución; por otro lado, provocó el cierre de muchas plantas en Norteamérica y Australia. Además de esto, la empresa pagó 11 millones de dólares a los ciberdelincuentes, para evitar cualquier riesgo (tanto para la organización cómo para los clientes).
Consecuencias económicas
Cómo hemos visto, las consecuencias de ser víctimas de un ataque de Ransomware puede afectar de una forma incalculable. El impacto económico de este ataque no se pone fin a la hora del pago de un rescate, sino que se tienen pérdidas por otras cuestiones.
Por un lado, las pérdidas pueden ser por mitigar los estragos del ataque: reforzar la protección y encontrar las brechas de seguridad es esencial para que no vuelva a pasar. Esto puede ser costoso, pero no tanto cómo otro ataque de Ransomware. Evitar estas vulnerabilidades es necesario.
Por otro lado, los costes en la reparación de los dispositivos, pueden llegar a tener costes altísimos, tanto por pérdidas de horas de trabajo, tanto cómo por instalar nuevos sistemas de seguridad en la empresa.
Además, las pérdidas por la fuga de información pueden ser demoledoras, ya que, si se filtran datos, se pueden llevar a cabo diferentes acciones legales en contra de la empresa.
Por último, el chantaje puede llevar a perder mucho dinero. Muchas veces las cantidades con las que nos extorsionan son altísimas, sobre todo para empresas multinacionales.
Cómo protegerse de los Ransomwares
Asumir que seguramente seamos atacados por este tipo de malware, es un primer paso para las organizaciones y empresas. Por ello, es muy importante llevar a cabo algunas medidas para mitigar los efectos o que no sea tan fácil ser víctima de un ransomware.
En primer lugar, y como forma de paliar el ataque, hay que establecer copias de seguridad en la nube. Disponer de un backup en la nube nos ayuda a que, si se llega a producir el ataque, tendremos una copia de seguridad en servidores externos a la empresa y de una forma automatizada, ya que, si llega a producirse, la copia de seguridad estaría en servidores externos a la empresa, pudiendo recuperar los datos y sistemas en poco tiempo.
Siempre hay que utilizar un antivirus que tenga entre sus opciones la protección contra Ransomware. Esto evitará que posibles malwares entren en nuestro dispositivo.
Hay que promover el uso de VPN por los trabajadores. A parte, tener un sistema de protección contra el Ransomware en la nube, puede proporcionar resultados analíticos en tiempo real y sin necesidad de actualización.
En concreto, utilizar un filtro de spam para el correo, puede ayudar a evitar la recepción de contenidos potencialmente dañinos.
Mantener todos los sistemas operativos y navegadores actualizados y parcheados, para garantizar las últimas correcciones y brechas de seguridad que tienen. Esto ayudará a que los posibles errores de algunas aplicaciones y sistemas operativos dejen de estarlo.
Otra de las formas, es mostrar las extensiones ocultas de los archivos, ya que, muchas veces utilizando la configuración predeterminada de Windows, los ciberdelincuentes ocultan extensiones para que los archivos parezcan conocidos.
Muchas empresas están adquiriendo un seguro de ciberseguridad que asume el ransomware. No todo el mundo puede costear esto, pero para firmas y organizaciones multinacionales, este tipo de pólizas son muy interesantes.
Es importante reiniciar el equipo periódicamente. Muchas veces, y ahora más con el teletrabajo, no cerramos el ordenador. Reiniciar permite que las aplicaciones y el sistema operativo estén actualizados y ayuda a que el sistema funcione mejor.
Pero, la mejor forma de que no se tengan incidencias cómo estas, es concienciar a la plantilla de que no caigan en este tipo de engaños. Desde las organizaciones se debe dar una formación y concienciación constante a los empleados, para que ellos mismos sean actores que protejan la ciberseguridad de la entidad.
La sensibilización y capacitación sobre no abrir archivos link o correos que no sean fiables; del uso de VPN, de uso de Wifi no pública… Es una de las mejores formas para salvaguardar la seguridad de la empresa.
Recordemos que el Ransomware tiene como principal objetivo las empresas y organizaciones, ya que cada vez son más importantes los datos y el acceso a los sistemas operativos de las empresas para realizar cualquier actividad dentro de la empresa. Por ello, debemos ser cautelosos a la hora de llevar a cabo diferentes acciones que pueden tener como consecuencia este malware.
Eliminar un Ransomware
Desafortunadamente, una infección de ransomware normalmente no se muestra hasta que ves algún tipo de mensaje. En ocasiones los programas de seguridad no detectan este malware hasta que el proceso de cifrado está en desarrollo o a concluido.
Siempre, la mejor forma de mantener los archivos del ransomware es bloquear el malware para que no acceda a su equipo. Pero ¿Qué hacemos si el dispositivo está infectado? Lo primero que hay que saber es que no es tarea fácil, y que a veces no es posible.
También depende del tipo de ataque de ransomware, ya que algunos son sencillos de quitar y otros son imposibles.
Primero se puede intentar reiniciar el ordenador. Para ello hay que pulsar F8 durante el arranque, elegir el modo seguro con la línea de comandos, escribir “cd restore” y dale al Intro. Después escribir “rstrui.exe”, volver a pulsar Intro y seleccionar la fecha en la que quieras restaurar el sistema antes del contagio. A veces así se consigue restaurar los datos, pero la mayoría de veces no, si no funciona esto, hay que seguir con más pasos.
Es esencial buscar los dispositivos que usen la red y estén infectados. De inmediato hay que desconectarlos (ya sea por cable o de forma inalámbrica), para que este malware no se propague. Hay que estar atentos y desconectar otros aparatos: Unidades de red compartidas o no compartidas, unidades flash, discos duros externos, cuentas de almacenamiento en el cloud, etc.
Usando herramientas para identificar el tipo de ransomware, hay que observar qué tipo de malware hemos recibido, por ejemplo, con Bitdefender Ransomware Recognition Tool. Esto también es posible online con herramientas cómo ID Ransomware o No More Ransom!
Finalmente, para recuperar la información podemos restablecer el sistema recurriendo a una copia de seguridad o descargar programas para descifrar.
Además, hay que recordar que, en una organización o empresa siempre hay que avisar al área de IT para comentar la situación y solicitar apoyo.