¿Qué es un ataque ransomware?
El ciberataque más cometido en los últimos meses es el ransomware.
Los ciberatacantes utilizan este secuestro de datos para después pedir un rescate que permita la recuperación de los mismos.
Rentable y fácil de implementar
Uno de los principales motivos es la facilidad de emisión y lo rentables que son. Los ransomwares nacen en campañas de ingeniería social y/o phishing (correos electrónicos).
Son destinados a una multitud de usuarios, para lograr mayor porcentaje de ataque o a un grupo de empresas concreto.
Actúa cifrando los datos del dispositivo de la víctima automáticamente, sin intervención directa de los cibercriminales. Éstos sólo tienen que proceder en el momento en el que la víctima realiza el pago, facilitándoles la herramienta para descodificar los datos. En muchas ocasiones, aún habiendo realizado el pago, el usuario damnificado no recibe la solución.
No hace falta ser un experto informático para realizar un ransomware. Debido a la popularización del cibercrimen, cualquier usuario puede desde un dispositivo sencillo, alquilar un CdC por unos 200 dólares. Desde ahí, se puede gestionar un ataque de manera muy sencilla, pagando un porcentaje a los creadores de la plataforma y el resto de los beneficios para el ciberdelincuente.
La única relación existente entre atacante y ataque, es una interfaz gráfica.
Datos importantes, costes elevados
Daña archivos de gran valor, los datos de un usuario o empresa. Se suelen secuestrar datos y documentos de sistemas procedentes de empresas o particulares, pero cada vez hay más casos de secuestros de sistemas de organización, como cámaras de vigilancia.
¿Qué debo hacer si sufro un ransomware?
1. Actuar cuanto antes
Sin importar la procedencia del ataque (un email phishing, un documento descargado de internet…) y el motivo (alertas de seguridad, campañas de Renta de cada año…), se recomienda empezar a poner solución lo antes posible.
- Si es posible que se actúe seguidamente de la instalación o descarga del archivo malicioso, será conveniente para la mejor solución del ataque. Es una información muy útil para localizar decrypters y además, sirve para realizar la denuncia ante las autoridades.
- Es importante realizar copias de seguridad del sistema cada poco tiempo, pues en caso de sufrir un ataque, a veces la única solución es restaurar la última copia de seguridad guardada. Se perderían los últimos datos posteriores a guardarla, pero es una posible solución al ataque. Es cierto que algunos ransomware son capaces de replicarse en copias, pero lo más probable es que el archivo malicioso ya no esté activo, por lo que se habrá solucionado el ataque.
2. Reconocer el tipo de ransomware
Si no es posible restaurar una copia de seguridad o simplemente se quiere hacer frente al ataque sin recurrir a ella, el siguiente paso es lograr identificar con qué tipo de ransomware estamos siendo atacados.
Una manera fácil de reconocer el tipo de ataque, es la herramienta de ransomware de MalwareHunterTeam (EN).
Se pedirá una muestra del archivo atacado que ha sido cifrado junto con la nota de rescate que los atacantes nos habrán facilitado. El servicio tratará de reconocer de qué tipo de familia tiene procedencia el ransomware y si existe, la solución que tiene.
Tras conocer esta información, se debe informar en la web de la Policía Nacional en el formulario de denuncia o también a través del grupo de Delitos Telemáticos de la Guardia Civil, del ataque que se ha sufrido. Esto es un deber como ciudadanos, pero también nos puede servir para incluir las pérdidas y daños ocasionados consecuencia del ataque dentro del seguro de ciberriesgos que se tenga contratado.
3. Descifrar los datos secuestrados
Para ello, se puede hacer a través de NoMoreRansom (EN). Es la base de datos de herramientas de descifrados de ransomware más completa que podemos encontrar, creada por Kaspersky.
Se procede a buscar por el tipo de familia del ransomware en el apartado Decryption Tools. Entonces sabremos si existe una solución para el ataque que hemos sufrido. En caso de no encontrar la solución, se puede probar también en DRWeb (EN) u otro sistema de antivirus online que pudiera ofrecer soluciones a este tipo de ciberataques.
Se sube una muestra de los datos cifrados y si el sistema es capaz de descifrarlos, se puede comprar la herramienta. El usuario se puede plantear el comprarla o no, pero siempre será más económico que pagar a los ciberatacantes para recuperar nuestros datos.
Existen empresas que se dedican a descifrar archivos y datos que han sido atacados, pero el coste es muy elevado si se trata de un cliente particular, ya que están creadas para ofrecer soluciones a otras compañías.
Por último, los cuerpos de seguridad y sistemas de inteligencia de nuestro país, también pueden ayudarnos a solucionar el ataque.
Los sistemas operativos como Windows, suelen activar la restauración del sistema por defecto en cado de apagar el dispositivo durante el proceso de cifrado. Entonces, es posible que aunque no se haya realizado una copia de seguridad intencionadamente, quizá el sistema tenga almacenadas copias antiguas que se puedan restaurar.
Los más recomendable es contratar un ciberseguro para estar protegidos frente a posibles ataques. Los costes económicos derivados de un ciberataque pueden ser muy altos y un seguro te ofrecerá la tranquilidad en caso de vulnerabilidad digital. Si está interesado en contratar un ciberseguro, puede contactar con Barón Seguros y un profesional le asesorará.
0 comentarios