ElevenPaths

Nuevos casos de ransomware: el azote de las Pymes

Nuevas caras para viejas técnicas. Así podrían describirse las nuevas oleadas de ataques dirigidos de *ransomware* que acaban de desembarcar en España, tras los recientes casos de ransomware que han salido a la luz.

Lo primero que procede es definir qué es un ransomware: se trata de un programa malicioso (malware, comúnmente conocido como “virus”) que se infiltra en un sistema, cifrando todos los archivos y dejándolo inutilizado, de modo que sólo presenta una pantalla donde se pide a cambio de restaurarlo al estado anterior una cantidad de dinero, normalmente en Bitcoins para hacerlo más anónimo. De aquí viene su nombre, ya que “ransom” significa rescate en inglés, por lo que los casos de ransomware suponen el pago de un secuestro digital.

Este tipo de ataques pueden ser muy destructivos para una empresa si no se dispone de las medidas de backup necesarias, que dispongan en un espacio de tiempo razonable de un método para restablecer la copia de seguridad. Quiero llamar la atención sobre lo importante de minimizar ese plazo, ya que durante el proceso de restauración, probablemente nos encontremos cerca de la actividad cero, con el consiguiente impacto sobre el negocio o entidad afectada.

Digno de mención es el proyecto internacional No More Ransom, en el que participa la Europol para combatir los ataques ramsonware. Aunque en muchas ocasiones lo más que podrán hacer será identificar el tipo de ataque, contener la infección y aislar los equipos comprometidos, dada la dificultad de revertir el cifrado de archivos.

malware

¿Cómo afectan estos ataques a las Pymes?

Los casos de ransomware, que buscan un rédito económico, tienen un altísimo impacto en Pymes, ya que las pequeñas y medianas empresas aún no tienen suficiente concienciación en materia de ciberseguridad, y siempre cuentan con un limitado presupuesto tecnológico, que normalmente se deriva a otras áreas orientadas a producir beneficios: marketing, SEO, etc.

Los ataques ransomware hasta ahora buscaban la pura inundación: infectar el mayor número de equipos para que al menos un reducido número de víctimas, pagase el rescate. Buen ejemplo de esto fue el conocido WannaCry (WanaCrypt0r 2.0, Mayo 2017) cuya viralidad tanto dentro de entidades como entre entidades, le hizo infectar más de 140.000 ordenadores por todo el mundo, incluyendo la práctica totalidad de las empresas del IBEX35 sufriendo algún impacto.

Los nuevos ransomware, por otro lado, no buscan la pura inundación. Son más ataques hechos “a medida” que se alimentan de fuentes abiertas (OSINT) e ingeniería social para centrar el ataque en una víctima y comprometer todo su sistema, paralizando absolutamente la actividad y forzando a tomar una decisión inmediata. Durante este año hemos visto desde centrales eléctricas que desabastecían toda una región de electricidad por este ataque, a ciudades enteras como Baltimore en EEUU cuyas entidades públicas se vieron paralizadas por completo.

Y nuestro país no se iba a quedar fuera del objetivo de los cibercriminales. Hace unas semanas vimos cómo el ayuntamiento de Jerez de la Frontera también era víctima del ransomware ‘Ryuk’, quedando totalmente bloqueado. O también el ayuntamiento de Minas de Riotinto, que fue atacado este mismo octubre, dejando la práctica totalidad de sus sistemas sin servicio. Podríamos decir que este tipo de ataques son el “spear ransomware” similar a los “spear phishing”, dirigidos y mucho más avanzados y elaborados.

Estos ataques, en una Pyme, pueden producir desde un ligero impacto hasta su total exterminio. Se calcula que en torno al 60% de las Pymes tras un ataque ransomware efectivo, desaparece antes de un año. Así de drásticas son las cifras.

pymes

Pagar o no pagar, he ahí la cuestión

Si te has visto afectado por un ataque ransomware, no te estás haciendo la pregunta correcta. Nadie debería considerar pagar y vamos a argumentar el por qué:

Básicamente, si nos vemos afectados, la diferencia está entre si el ransomware nos ha caído “de rebote” o alguien nos ha puesto en el punto de mira. La diferencia es muy clara, respecto al nivel de profesionalidad y dedicación de los cibercriminales. Si hemos sido víctimas de una infección cualquiera, por inundación, es muy poco probable que quien la diseñó haya provisto a la misma de un mecanismo para revertirla. ¿Qué sentido tendría? Una vez cobrado, adiós a lo acordado.

Hay un segundo escenario. Hace referencia a si quien nos ha puesto el ojo encima también ha utilizado la ingeniería necesaria para revertir el proceso y si pagando vamos a volver a tener acceso a nuestros archivos. Pero esto, lejos de ser una buena noticia, lo hace aún peor: Alguien ha tenido acceso a nuestros sistemas, puede que haya extraído toda la información necesaria y ahora, con nuestro dinero, además se ha garantizado la persistencia en el sistema. Así sigue teniendo “las llaves de nuestra casa”.

¿Necesitas una razón para no pagar? Aquí tienes tres

Pagar el rescate no significa en ningún caso garantía de recuperar nuestros archivos o sistemas. Sólo en un pequeño porcentaje de veces esto ocurre. En el caso poco probable de que haya un método de descifrado, esto evidentemente significa una alta cualificación de parte de los atacantes y puede que el siguiente ataque ya esté en marcha. Considérese usted suscrito como un nuevo “cliente Premium” de la cibermafia, ahora que ya sabe que usted es un cliente que paga.

Por último, hay una consideración ética en los casos de ransomware: pagar significa subvencionar el cibercrimen, alimentarlo con fondos para que provean nuevos ataques. Obviamente hay que evitar colaborar con estas mafias.

Conclusiones

Quedando claro que nunca hay que ceder a este tipo de chantajes, lo importante es disponer de un método rápido y eficaz de restauración de las copias de seguridad de todos los archivos importantes, junto con una buena política de backup, por supuesto.

Desde ElevenPaths tenemos nuestro propio sistema Antiransomware, basado en Latch que añade un sistema adicional de permisos de escritura en archivos. No dejes de revisarlo, si quieres una capa extra de protección en tus sistemas de archivos o backup.

Sobre el autor

RELACIONADOS