En este capítulo trato algunos puntos sobre la defensa contra el ransomware que es importante recordar.
El ransomware es la amenaza de malware que más rápido está creciendo hoy en día, y evoluciona con rapidez. Por ejemplo, #CryptoWall –una de las campanas de ransomware más lucrativas y de mayor alcance de Internet actualmente– surgio inicialmente en 2014 e infecto a miles de millones de archivos de todo el mundo. Desde entonces, se han desarrollado tres variantes adicionales de CryptoWall, cada una de ellas más sofisticada que la anterior.
El ritmo de la evolución también está aumentando. En los ultimos tres años, el numero de campañas y variantes de ransomware ha eclipsado muchas veces el total de campañas y variantes de ransomware de los 25 años anteriores, desde que tuviera lugar la primera campaña de ransomware –#PC Cyborg– en 1989. Durante el primer trimestre de 2016, las variantes descubiertas fueron la mitad de las que se descubrieron en todo el 2015, y casi el doble que las que se descubrieron en todo el 2014.
El #RaaS es una nueva amenaza que hace que, practicamente para cualquier persona, sea tan fácil como contar hasta tres convertirse en un criminal cibernetico, incluso si sus habilidades tecnicas son limitadas.
Por ejemplo, Tox –una de las primeras ofertas de RaaS conocidas– descubierto en mayo de 2015, puede descargarse de la web oscura usando un navegador Tor y configurarse despues así:
Para la mayoría de las víctimas de ransomware, la forma más rápida y sencilla de solucionar el problema es simplemente pagar el rescate. Sin embargo, pagar el rescate –aunque puedas acceder a tus archivos– no solucionará tus problemas.
En la mayoria de los casos, los archivos estaran descifrados si pagas el rescate, pero no tienes ninguna garantía. Aunque al criminal cibernetico le interesa restaurar tus archivos si pagas el rescate (si se empieza a extender la informacion de que el creador de una campaña de ransomware no descifra los archivos despues de haber recibido el rescate, las futuras victimas no tendran ningun motivo para pagarlo), no existe el honor entre los ladrones. Esto es especialmente cierto con la aparición de RaaS porque un criminal cibernetico novato puede no ver la situacion en conjunto. También, si la clave de cifrado no funciona por algún motivo, no puedes llamar al servicio de atención al cliente.
Tampoco hay garantías de que el delincuente no haya instalado otro malware o exploit kit para facilitar nuevos ataques cibernéticos contra tu organización. Además es posible que se haya exfiltrado una copia de tus archivos con otros fines, como vender la información confidencial de tu organización en la web oscura.
El pago de un rescate financia directamente el delito cibernético y lo mantiene. Es exactamente lo mismo que pagar un rescate a un terrorista o a un estado a cambio de rehenes y al margen de la ley. Fomenta y financia actos semejantes en el futuro.
Finalmente, pagar un rescate no niega el hecho de que se haya producido una violación de seguridad grave en la organización. En función de la naturaleza, alcance y circunstancias de la violacion, y de las regulaciones de la industria y jurisdicciones legales a las que está sometida la organización, es posible que tengas que revelar esta violacion publicamente y pagar grandes multas y sanciones.
Para reducir los posibles daños de un ataque de ransomware, las organizaciones deben asegurarse de realizar de manera periódica copias de seguridad de todos los archivos importantes, así como de las imágenes de todos los sistemas críticos.
Fuente: Investigación interna basada en documentos, artículos y experiencia profesional.