En esta entrada vamos a revisar como opera el ransomware y las opciones que tenemos para tratar este terrible flagelo.
Empecemos por definir lo que es el ransomware:
Ransomware, es una técnica de ataque dañina que encripta o cifra los archivos de un computador pidiendo un rescate en moneda digital, preferiblemente bitcoins, a cambio de liberar los archivos secuestrados.
El ransomware es uno de los ataques más utilizados en la actualidad, cerca del 80% de los ciberataques usan ransomware como vector de ataque. El 23% de las víctimas de esta técnica termina pagando el rescate para recuperar sus datos.
A continuación describiré cada una de las fases que componen esta clase de ataques:
1. Infección: El usuario recibe un correo electrónico con un enlace o un archivo adjunto, el cual es activado cuando se da clic en el enlace o se abre el archivo. El ransomware se ejecuta y estableciendo persistencia en el equipo infectado.
2. Comando y Control: El ransomware se conecta aún servidor externo propiedad del atacante para entregar información sobre el equipo al cual está infectando y descargar una clave para cifrar la información.
3. Cifrado o encriptado: El ransomware utiliza la clave para cifrar el medio de almacenamiento principal, ya sea un disco duro, una SSD o una llave USB, adicionalmente, cifra todos los dispositivos de almacenamiento a los cuales tenga acceso.
4. Extorsión: El ciberdelincuente deja un mensaje de contacto para que la víctima se comunique antes de cierto tiempo y pague la extorsión o perderá todos los archivos que han sido cifrados. Ten en cuenta que estas extorsiones no son baratas.
En este punto quedan tres caminos:
5a. Pago: Para recuperar la información se debe realizar el pago, que generalmente es realizado en bitcoins o alguna otra moneda digital. Esto no garantiza que la información va a ser recuperada.
5b. Recuperación de backup: Puede recuperar la información a partir de una copia de respaldo, evitando el pago de la extorsión.
5c. Asumir la pérdida: Si la información cifrada no es importante, se puede recuperar la operación reinstalando los sistemas operativos afectados.
Lamentablemente, la mayoría del ransomware no tiene vacuna y es casi imposible la recuperación de la información. Los ciberdelincuentes son difíciles de rastrear, al igual que las operaciones en criptomonedas.
La mejor manera de prevenir esta clase de ataques es la seguridad preventiva mediante la capacitación al usuario final y el uso de software anti-ransomware.
No hay comentarios:
Publicar un comentario