.png?width=215&height=50&name=neurona_color(2).png)
En este capítulo trato algunos puntos sobre la defensa contra el ransomware que es importante...
El ransomware es la amenaza de malware que más rápido está creciendo hoy en día, habiéndose convertido ya en epidemia. Según un informe interinstitucional del gobierno de los EE.UU., desde enero de 2016 cada día se ha producido un promedio de más de 4.000 ataques de ransomware. En este capítulo descubrirás en qué consiste el ransomware, cómo está evolucionando como amenaza y cómo funciona.
Definición de ransomware
El ransomware es un software malicioso (malware) que se usa en ataques cibernéticos para cifrar los datos de las víctimas con una clave de cifrado que solo conoce el atacante, por lo que los datos no pueden utilizarse hasta que la víctima pague un rescate (normalmente criptomoneda, como bitcoin). La criptomoneda es una moneda digital alternativa que utiliza el cifrado para regular la impresión de unidades de moneda (como bitcoins) y para verificar la transferencia de fondos entre diversas partes, sin que exista un intermediario ni banco central. Las cantidades de los rescates son normalmente altas, aunque no desorbitadas. Por ejemplo, lo que se pide a personas independientes puede variar entre 300 y 600 dólares, mientras que lo normal es que las organizaciones de mayor tamaño paguen más.
Las cantidades de los rescates pueden también aumentar significativamente cuanto más tiempo deje pasar la víctima. Una vez más, así es como se ha diseñado este malware, para limitar las opciones de la víctima y hacer que pague el rescate lo más rápido posible.
Cómo funciona el ransomware
El ransomware llega normalmente a través de exploit kits, ataques watering hole (en los que uno o varios sitios web de los que visita una organización con frecuencia se infectan con malware), publicidad maliciosa, o campañas de phishing por correo electrónico.
Una vez lanzado, el ransomware normalmente identifica los archivos y datos del usuario y los cifra con algún tipo de lista de extensiones de archivo incrustada. También se programa para evitar la interacción con ciertos directorios del sistema (como el directorio del sistema de WINDOWS, o ciertos directorios de archivos de programas) para garantizar la estabilidad del sistema con el fin de que pueda pagarse el rescate después de que la carga deje de ejecutarse. Los archivos de ubicaciones específicas que coinciden con una de las extensiones de los archivos de la lista se cifran. Si no, los archivos no se tocan. Cuando ya se han cifrado los archivos,el ransomware deja normalmente una notificación para el usuario, con instrucciones sobre cómo pagar el rescate.
Fuente: Investigación interna basada en documentos, artículos y experiencia profesional.
