Qué necesitas saber sobre ransomware

Estamos viviendo una revolución en el mundo de la seguridad TI – la proliferación de la ciber-inseguridad. Las amenazas son cada vez más sofisticadas y se presentan mucho más dirigidas, haciéndolas mucho más peligrosas. El máximo exponente en retos de seguridad TI durante este 2016 es el ransomware, que ha llegado a representar más de 50% del malware en circulación.

Hay mucha información relacionada con este tipo de amenazas, aunque realmente lo único que debemos saber es que una vez infectados con un ransomware y los datos han sido secuestrados, casi nunca es posible desencriptarlos sin disponer de la clave. Por esta razón, debemos estar prevenidos y contar con una estrategia completa que integre un plan de copias de seguridad (offline o en la nube) y una solución que nos proteja de este tipo de amenazas.

¿Qué es el ransomware y cómo nos afecta?

El ransomware es un malware que altera los ficheros con información sensible, cifrándolos para luego pedir un “rescate” económico para recuperar esta información. En 2015, el ransomware causó pérdidas de 350 millones de dólares. Aún más alarmante es el crecimiento durante este 2016 que, solo durante su primer trimestre, causó pérdidas de 206 millones de dólares.

Este tipo de amenaza tiene un patrón diferente de los malwares tradicionales. En primer lugar, no roba la información de las víctimas, sino cifra los datos para impedir su acceso. En segundo lugar, el malware no oculta sus acciones sino que bloquea el equipo para solicitar el rescate a la víctima. Por último, el rescate se solicita en bitcoins, una moneda criptográfica que no puede ser rastreada.

Formas de infección de Ransomware

A nivel más técnico, el ransomware tiene diferentes vectores de infección, por ejemplo, ataques de phishing, ingeniería social, macros en documentos, vulnerabilidades en aplicaciones y servicios web (los servidores JBoss desactualizados están siendo muy afectados).

Una vez un cliente ha sido infectado, el malware intenta cifrar todo lo posible a su alcance, pasando por el disco duro de la víctima, saltando por unidades de red  y carpetas compartidas. Una segmentación mal realizada de los clientes de una compañía puede provocar una encriptación masiva de datos. El malware, cifra los datos y almacena una clave pública en el equipo infectado y una clave privada en los servidores infectantes. El malware siempre pedirá el rescate para recuperar la clave privada, puesto que sin las dos claves, tanto pública como privada, es imposible descifrar los datos.

Ransomware: Una amenaza con miles de variantes y revisiones

El ransomware es una amenaza bastante simple de producir. Pero la componente más alarmante es que no tenemos que producirlo, por cientos de dólares se puede alquilar un kit en la DarkWeb y el botnet o los servidores infectados para enviarlo. Y te dan igualmente posibilidades de cobrar, de una manera anónima. Debido a la combinación de la rentabilidad que supone para el atacante junto con la facilidad de desarrollar la amenaza, el ransomware supone un verdadero reto para los departamentos de TI y para las compañías de seguridad.

La amenaza de ransomware no solo se limita a dispositivos Windows. Se observan versiones para Linux, Android e incluso MacOS.  De hecho, según IDC, los dispositivos Android serán punto de mira por tener una cuota de mercado muy elevada.

¿Cuál es la evolución del ransomware?

Basándonos en cifras actuales, en IEAISA estamos seguros que durante este año y, al menos durante el 2017, las amenazas de ransomware seguirán creciendo igual que el número de variantes liberadas por día.  No solamente el número de amenazas se verá incrementado, sino también la sofisticación de las amenazas a través de malvertising y el uso de tráfico cifrado SSL y TLS.

Malvertising

El uso de malvertising como la variante del Angler Exploit Kit es una amenaza considerable, al aparecer anuncios maliciosos en sitios web de confianza. El malware, al integrarse en la red de publicidad, aparecerá en sitios confiables y los usuarios pueden ser infectados sin tener que realizar ninguna acción “insegura” en línea. Este tipo de vector es difícil de proteger ya que es imposible gestionar una lista negra de dominios para este tipo de infección.

La ventaja que disponen los atacantes es que muchas redes de advertising no disponen de los filtros suficientes para eliminar o prohibir este tipo de campañas. El anuncio malicioso incrusta un elemento web invisible dentro del anuncio para redirigir a una página diseñada para que el atacante explote una vulnerabilidad del sistema e instale el ransomware en el equipo.

El malware aprovecha protocolos seguros TLS y SSL

Un cambio en la creciente oleada de malware existente es realizar ataques mediante sitios protegidos con SSL y haciendo uso de seguridad en la capa de transporte (TLS). Muchos firewalls corporativos no tienen la capacidad de poder analizar este tipo de información que fluye a través de ellos no sea inspeccionada. Sin embargo, muchas variantes salen con patrones identificables que facilitan su detección.

Tengo los datos encriptados. ¿Los puedo recuperar?

Una vez el malware infecta el equipo cifra ciertos tipos de ficheros (imágenes, documentos, vídeos, etc) para impedir su acceso. El malware avisa de sus acciones mediante un aviso en pantalla completa solicitando un pago por la recuperación de esos datos. Y, aunque hay algunos fabricantes que han podido interceptar llaves de encriptación – para ransomware más sencillo, o transmitidas en los canales de comunicación entre grupos de ciber-criminales – en la gran mayoría de los casos no hay posibilidad de desencriptar los datos.

¿Debo pagar el rescate que me indica?

Lamentablemente, el malware elimina normalmente también las copias shadow para asegurarse que no se puedan restaurar. La única manera segura de recuperar la información cifrada es a partir de una copia de seguridad limpia.

El pago del rescate de los datos en ningún caso nos asegura que los datos sean devueltos. Si el C&C del malware no recibe la clave de cifrado de nuestros datos, será imposible recuperarlos de nuevo. Y aun así, nunca es cierto que el ransomware ha quitado la víctima o se han dejado puertas traseras para futuras explotaciones de la infección.

¿Cómo protegerse del ransomware?

Para minimizar el riesgo de infección por cualquier amenaza de malware, la primera prioridad debe ser mantener los equipos siempre con los últimos parches de seguridad. Desde IEAISA recomendamos siempre este tipo de prácticas y sobretodo, dar un trato muy especial a aplicaciones que están en el punto de mira de atacantes como Adobe Flash y Java. Como ejemplo, en 2015 fueron detectadas 314 vulnerabilidades en seguridad en Adobe Flash, un poco menos de una por día.

La heurística: Una protección eficiente frente ransomware.

En segundo lugar, es importante conocer al enemigo para poder establecer las defensas adecuadas. En IEAISA recomendamos usar unas buenas prácticas en la segmentación de su red para evitar daños mayores, una adecuada estrategia de copias de seguridad que permita una recuperación rápida y granular y, obviamente, disponer de una solución que proteja eficazmente del malware conocido y desconocido.

Datos protegidos con una solución moderna – los 5 pasos para protegernos de ransomware

Al observar el número de variantes liberadas diariamente, debemos apostar en la protección de malware desconocido. Resulta evidente disponer de una herramienta con un potente motor heurístico que permita detectar patrones maliciosos.

IEAISA confía en Bitdefender como solución para protección contra amenazas ransomware. Bitdefender incorpora varias capas de protección que funcionan de modo independiente. En combinación, forman uno de los escudos antimalware más poderosos del mercado. Por un lado, dispone de una detección en función de firmas y comportamiento para ficheros y procesos y por otro, de un escudo para evitar que el ransomware pase nuestras defensas.

  1. Las primeras capas – detección por el exploit kit usado

Como ya hemos visto, la componente esencial del ransomware es el uso de los exploit kits. Bitdefender no solo detecta el exploit kit por firmas específicas o genéricas, pero también por su tecnología Anti-Exploit que busca y bloquea amenazas desconocidas 0-Day.

  1. La análisis comportamental

Bitdefender tiene rutinas de análisis comportamental desde el año 2003. En estos 13 años este módulo patentado, B-HAVE, se ha optimizado y perfeccionado continuadamente, llegando a tener más de 300 rutinas de análisis comportamental. Cada día Bitdefender está parando, según sus datos, más de 28 500 samples de ransomware desconocido.

  1. La intercepción del proceso de encriptación a la ejecución

Uno de los diferenciadores de Bitdefender es la intercepción de los procesos en la fase de ejecución y de los eventos en memoria. Estas tecnologías le permiten por un lado detectar los procesos sospechosos en la fase de iniciarse, y por otro lado parrar la infección de fuentes tipo Java scripts u objetos web infectados durante la navegación.

  1. Prevención con la vacuna anti-ransomware

Una de las técnicas innovadoras empleadas por Bitdefender es la vacuna anti-ransomware que se aprovecha de la comprobación del ransomware si está presente ya o no en la máquina. Con dos técnicas innovadoras Bitdefender consigue “engañar” el ataque y pararlo de manera proactiva.

  1. Prevención con la application whitelisting

Esta es una técnica de prevención basada en las buenas prácticas: Bitdefender permite a los administradores de seguridad hacer el inventario del software instalado y aprobar lo que es legítimo a ejecutarse. Una vez definida la lista, Bitdefender parra la instalación / ejecución de cualquier software desconocido, incluidos los procesos del ransomware. Es una herramienta muy potente y fácil de usar.

Bitdefender actualmente goza de la mayor tasa de detección, mientras que el promedio de mercado sigue bajando:

Desde septiembre de 2015, Bitdefender ha extendido su tecnología heurística patentada, denominada Advanced Threat Control (ATC), para detectar también ransomware previamente desconocido. La tecnología utiliza modelos de comportamiento avanzados para encontrar ransomware, incluso si no se ha firmado.

Bitdefender ATC no necesita firmas ya que descubre ransomware a través de su comportamiento. Para determinar si un proceso es ransomware antes de que llegue a afectar, ATC vela por todos los procesos activos y marca cualquier comportamiento sospechoso con una puntuación. Si el proceso o fichero supera el umbral, se toman las medidas necesarias.

Es hora de protegerse de la mayor amenaza TI. El Ransomware crecerá durante el 2017 y debemos estar preparados. ¿Quieres que te ayudemos a defender tus datos? Descubre la solución de Bitdefender líder para combatir el Ransomware 

IEAISA servicios de tecnologia

Recommended Posts