ransomware

Ransomware: ¿Cómo funciona?, ¿cómo llega a las configuraciones domésticas vulnerables? y ¿cómo prevenirlo?

El ransomware lleva años asolando a empresas y empleados, con sofisticadas cepas capaces de paralizar oficinas enteras o incluso fábricas inteligentes. Se trata de un malware virulento que suele colarse en los ordenadores a través de correos electrónicos maliciosos y cifra los archivos críticos. Se trata de una amenaza especialmente relevante desde que hacer negocios a distancia se ha convertido en la norma. El repentino cambio en la configuración del trabajo ha obligado a muchos empleados a crear oficinas improvisadas utilizando redes domésticas y espacios compartidos no seguros. Las personas que trabajan desde su domicilio son más susceptibles de sufrir estos sutiles ataques, que se aprovechan de rutinas diarias como la apertura de varios correos electrónicos.

Los ataques exitosos de ransomware son debilitantes porque el malware puede extenderse a otros ordenadores de la misma red, saltando de un dispositivo a otro y dejándolos inutilizados. Un trabajador doméstico comprometido puede ser utilizado como punto de lanzamiento hacia una red empresarial. Entonces, el actor del ransomware suele exigir un precio elevado para descifrar todos los archivos y permitir al usuario o empresa reanudar sus operaciones con normalidad.

Cómo funcionan los ataques de ransomware

Trend Micro proporciona a los teletrabajadores una visión general de cómo funcionan los ataques de ransomware, dándoles una visión práctica de los puntos débiles de las configuraciones domésticas. También enumera las pautas de prevención que ayudarán a los trabajadores a evitar la amenaza por completo.

Los actores del ransomware buscan grandes objetivos. Quieren acceder a la red corporativa. Su objetivo es extenderse por la red de una organización, primero para robar y luego para cifrar los datos.

Ejemplo de una cadena de infección típica de ransomware

El phishing por correo electrónico es el método más común que utilizan los distribuidores de ransomware. Estos actores maliciosos se han convertido en expertos en conseguir que los usuarios desprevenidos hagan clic en enlaces a sitios web que alojan malware o descarguen archivos peligrosos para iniciar el proceso de infección.

Cómo llega el ransomware a las configuraciones domésticas vulnerables

  • Dirigirse a las cuentas de email del trabajo, a las herramientas de escritorio remoto (por ejemplo, Microsoft Remote Desktop o RDP), y a las redes/almacenamientos basados en la nube, etc. para entregar la carga útil completa del ransomware. Esto puede ocurrir a través de correos electrónicos de phishing o pueden escanear herramientas específicas y luego tratar de adivinar la contraseña (conocido como fuerza bruta). Un nuevo ransomware para Mac, llamado EvilQuest, tiene un registrador de teclas que puede capturar las contraseñas mientras las escribes, lo que permite a los operadores del ransomware robar datos y utilizarlos para propagar su malware cuando te conectas a un portal corporativo.
  • Dirigir malware al VPN o software de escritorio remoto. La suplantación de identidad es de nuevo una forma popular de hacerlo, o pueden esconderlo en software popular en sitios de torrents o en apps subidas a las apps stores.
  • Dirigirse a los dispositivos domésticos inteligentes y a los routers a través de vulnerabilidades, contraseñas por defecto o contraseñas fáciles de adivinar. Los actores de la amenaza se dirigen a estos dispositivos para utilizar las redes domésticas de los empleados como trampolín para entrar en las redes corporativas.

¿Cómo se puede prevenir el ransomware?

Los trabajadores remotos pueden tomar algunas medidas relativamente sencillas para ayudar a mitigar los riesgos en cascada que plantea el nuevo ransomware.

Evitar dar información personal

Algunos actores maliciosos toman la información disponible públicamente y la utilizan para acceder a información privada más valiosa o la utilizan para enviar y desplegar malware en su dispositivo. La información suele tomarse de sitios de redes sociales y perfiles públicos.

Reforzar la higiene de contraseñas

Los trabajadores desde el domicilio deben emplear las mejores prácticas de contraseñas para su correo electrónico y otras cuentas: ocho o más caracteres y símbolos; evitar repeticiones, secuencias o patrones; y no reutilizar las contraseñas. Dado que algunas herramientas y portales corporativos online también pueden tener valores predeterminados que los atacantes pueden forzar, es mejor cambiar regularmente las contraseñas e implementar la autenticación multifactor. El uso de un gestor de contraseñas es una buena manera de almacenar múltiples contraseñas e identificaciones de inicio de sesión en una ubicación segura.

Los usuarios de Windows deben activar la función de mostrar las extensiones de los archivos

Mostrar extensiones de archivos es una funcionalidad nativa de Windows que muestra a los usuarios qué tipos de archivos se están abriendo. A veces los actores maliciosos utilizan nombres de archivos que parecen dos extensiones, por ejemplo “photo.avi.exe”. Los usuarios deben utilizar esta función de Windows para comprobar qué están abriendo y evitar cualquier archivo de aspecto sospechoso.

Abrir solo los archivos adjuntos de correo electrónico de confianza

El ransomware se propaga habitualmente a través del correo electrónico de spam con archivos adjuntos maliciosos y muchos distribuidores ya conocen los títulos de asunto más eficaces para captar la atención del usuario. También suelen enviar cargas útiles maliciosas en tipos de archivos comunes: jpegs, documentos de Word, hojas de Excel y otros archivos adjuntos que la mayoría de las oficinas utilizan habitualmente. Los usuarios deben desconfiar de los archivos adjuntos al correo electrónico de remitentes desconocidos, especialmente si proceden de fuera de su organización. Algunos actores del ransomware también utilizan archivos poco comunes en su correo spam, y confían en que los usuarios simplemente hagan clic sin mirar. Tenga cuidado y evite abrir extensiones de archivo sospechosas (como .EXE, .VBS o .SCR). Algunos usuarios pueden incluso configurar sus servidores de correo web para bloquear esos archivos adjuntos.

Desactivar la conexión a Internet si el ordenador muestra un comportamiento sospechoso

El ransomware suele necesitar conectarse con un servidor de comando y control (C&C) para completar su rutina de cifrado. Sin acceso a Internet, el ransomware permanecerá inactivo en un dispositivo infectado. Si un usuario logra atrapar el ransomware durante las primeras etapas del ataque, puede desactivar el acceso a Internet y mitigar cualquier daño.

Aprovechar todas las herramientas y funciones de seguridad a su disposición

Muchos dispositivos y programas informáticos ya cuentan con funciones de seguridad integradas y constantemente actualizadas. Actualice el firmware de su router doméstico, así como los sistemas operativos y el software de los ordenadores, dispositivos móviles y navegadores a las últimas versiones. Esto incluye cualquier herramienta virtual y VPN de su empresa. Todos los dispositivos deben ejecutar también soluciones de seguridad de red y de endpoint actualizadas de un proveedor de confianza. (Esto debería incluir funciones anti-intrusión, anti-amenazas web, anti-spam, anti-phishing y, por supuesto, anti-ransomware).

Los riesgos del ransomware

Los trabajadores remotos que tengan la mala suerte de ser atacados por un ransomware probablemente perderán la mayor parte de sus datos si no tienen copias de seguridad, y no podrán utilizarlos, sino que también utilizan la “técnica de la doble extorsión”, en la que amenazan con exponer los datos si las víctimas no pagan el rescate.

Si un ataque de ransomware tiene éxito, los costes de recuperación son elevados. Aparte de la pérdida de datos valiosos, la paralización de las operaciones por la inaccesibilidad de las máquinas afecta en gran medida a los resultados de la empresa. Por no mencionar que los dispositivos pueden necesitar ser reinstalados o reemplazados si están dañados por el ataque.

MÁS NOTICIAS

Suscríbete a nuestra newsletter

Ransomware: ¿Cómo funciona?, ¿cómo llega a las configuraciones domésticas vulnerables? y ¿cómo prevenirlo?

MÁS NOTICIAS

Suscríbete a nuestra newsletter

Suscríbete a nuestra newsletter