El ransomware es un programa informático diseñado con fines criminales. Como bien dice su nombre, ransom (rescate) ware (software acortado), es un software que se utiliza para chantajear o extorsionar a las victimas por la información contenida en sus sistemas, la cual, ha sido secuestrada.
¿Cómo pueden chantajearme por mi información?
Las diferentes variantes de ransomware pueden chantajearte por tu información de distintas maneras. Sin embargo, el tipo de secuestro más común es el secuestro mediante el cifrado de la información.
Este tipo de software tiene definidas las extensiones de ficheros que quiere cifrar, tipicamente archivos relacionados con la suite de Microsoft Office, PDF, imágenes o videos, y cifra la totalidad de los archivos. Estos archivos pueden ser cifrados de forma completa aunque también pueden ser cifrados parcialmente, consiguiendo de igual manera dejar inservibles los documentos.
Posteriormente, aparece una pantalla donde los amables cibercriminales te explican que le ha pasado a tu sistema y como puedes recuperar tus archivos. En esta explicación incluyen el precio por el rescate y su dirección de Bitcoin para realizar el pago.
¿Si pago el rescate voy a recuperar mis archivos?
Desde Alfa5 no se recomienda pagar los rescates de ransomware. La razón es que no tienes forma de saber si vas a recuperar tu información pero estás dando a los atacantes una financiación y una motivación para continuar con sus actuaciones. Además, una vez realizado el pago a través de BitCoin, no hay manera de deshacer la operación y el dinero se habría perdido también.
¿Cómo han podido ejecutarme un ransomware en mi empresa?
Cuando nos encontramos un ransomware operado por humanos, el cual normalmente afecta a la mayoría de sistemas, se suele dar la situación de que los atacantes pueden llevar horas, días e incluso meses teniendo acceso a la red corporativa hasta que han logrado hacerse administradores de todo el parque informático.
Este acceso lo han podido comprar o lo han podido lograr ellos mismos mediante diversas técnicas entre las que encontramos las muy conocidas como phishing o explotación de servicios vulnerables
¿Cómo me recupero de un ataque?
El restablecimiento del normal funcionamiento de una empresa tras un ataque de este tipo es muy delicado debido a que un mal restablecimiento de los sistemas puede suponer que los atacantes mantengan su acceso o puedan volver a conseguirlo provocando semanas después otro ataque similar.
Desde Alfa5, recomendamos que se realice una labor forense con el objetivo de identificar como han accedido a la organización y localizar los posibles backdoor que han podido dejar para volver a entrar. Tras identificar estos puntos, es momento de parchear la puerta de entrada a la organización y eliminar la persistencia en cada uno de los equipos. Además, es necesario modificar las contraseñas de todos los usuarios, administradores y, por supuesto, de Administradores de dominio si existe.
En la mayoría de ocasiones, el tiempo apremia y es necesario restablecer el servicio sin demora por lo que reinstalar todos los equipos de la organización y servidores se convierte en la solución más rápida. No obstante, como se ha mencionado anteriormente, si no se ha detectado el vector de entrada podrá volverse a utilizar en el futuro para acceder a la organización.
¿Cómo evito ser la siguiente víctima de ransomware?
La prevención en ciberseguridad es clave para evitar este tipo de situaciones.
Desde Alfa5 proporcionamos servicios de ciberseguridad para ayudarte a prevenir el ransomware. Los servicios prestados que te pueden ayudar:
- Auditorías de seguridad de infraestructura: Identificamos vectores de ataque que pueden usar los cibercriminales para acceder al interior de la organización.
- Auditorías de seguridad web: Identificamos problemas de seguridad en los sitios web que pueden suponer una puerta de entrada a la organización.
- Auditoría de seguridad interna: Identificamos problemas que permitan a un atacante moverse libremente dentro de tu organización y formamos a los trabajadores para que sepan proteger sus puestos de trabajo.
Además, se recomienda tener copias de seguridad de toda la información relevante de tu organización y si es posible, en dispositivos desconectados de la red.