¿Cómo Ransomware toma el control de los datos en su PC con Windows?
El ransomware es un tipo de malware que niega el acceso a los datos a los usuarios de las computadoras infectadas. Los atacantes luego se mueven para exigir un rescate de sus víctimas. Las promesas de restaurar el acceso a los datos una vez que se complete el pago también son la norma. En muchos casos, el acceso nunca se proporciona, por lo que los usuarios no deben tomar estas promesas a su valor nominal.
Los usuarios reciben instrucciones para pagar la tarifa requerida para que puedan recibir una clave de descifrado. El costo puede oscilar entre cientos y miles de dólares, pagaderos a los ciberdelincuentes en forma de criptomoneda. La moneda más utilizada es Bitcoin.
Tabla de contenido
¿Cómo funciona el ransomware?
Hay varios vectores de infección que ransomware puede tomar cuando encuentra acceso a una computadora. El método más común de infección incluye el spam de phishing. Estos son los archivos adjuntos a correos electrónicos que pretenden ser un archivo confiable. Una vez que los archivos se descargan y luego se abren, pueden reinar libremente en la máquina de la víctima. En algunos casos, también tienen herramientas de ingeniería social integradas en el ransomware, que engañan a los usuarios para que le den acceso de administrador. En otros casos, los tipos más agresivos de ransomware tienden a explotar las lagunas de seguridad. Aquellos les permiten infectar computadoras sin la necesidad de ingeniería social.
Hay varias acciones que el malware puede realizar una vez que se adueña de una computadora víctima. Una de las tácticas más comunes hoy en día es el cifrado de los archivos de un usuario. Lo que hay que recordar es que estos archivos son imposibles de descifrar sin la clave de descifrado correcta conocida por los atacantes. El ransomware presenta al usuario con un mensaje, una nota de rescate que le advierte que sus archivos son inaccesibles. La nota afirma que solo se puede descifrar si la víctima paga con pagos de criptomoneda no rastreables.
En algunos casos, el atacante puede incluso afirmar que representa a las agencias policiales. Apagar la computadora debido a software pirateado, pornografía infantil y reclamar que el rescate es una multa son tácticas válidas.
Existen variaciones de ransomware que amenazan con publicar datos personales confidenciales que los usuarios puedan tener. Este es un movimiento que se conoce como doxing.
¿Quién se convierte en el objetivo más común de Ransomware?
Hay diferentes métodos utilizados por los atacantes para sus campañas de ransomware. A veces, los ataques están dirigidos a objetivos de oportunidad con una ciberseguridad más débil. Las universidades o pequeñas empresas suelen formar parte de esas campañas.
En otros casos, las organizaciones más grandes con mayor seguridad pueden ser un objetivo más tentador. Tendrían la capacidad de pagar su rescate más rápido, lo que los convierte en una opción preferida. Las instalaciones médicas también están siendo atacadas por ransomware, ya que sus datos se pueden vender en la web oscura. En muchas situaciones, las organizaciones con datos confidenciales pueden estar dispuestas a pagar, en lugar de arriesgarse a que sus datos terminen a la vista.
Algunos ransomware pueden propagarse sin un objetivo específico y de forma completamente automática en todo Internet.
¿Cómo Ransomware infecta un sistema?
Infecciones por correo electrónico
Para los ciberdelincuentes, el correo electrónico es un vector abierto de ataque. Los correos electrónicos enviados disfrazados como mensajes aparentemente legítimos hacen posible que los autores de ransomware engañen a los usuarios. Abrir archivos adjuntos infectados o hacer clic en un enlace que conduce a sitios web infectados, ambos conducen al mismo resultado.
Este enfoque se conoce como phishing, que invita a los usuarios a tomar el anzuelo para infectar su sistema. Aunque los correos electrónicos no deseados pueden ser claramente obvios, el phishing generalmente adopta un enfoque más sigiloso, especialmente con objetivos específicos en mente. Muchos de los correos electrónicos de phishing hoy en día son más sofisticados de lo esperado.
El phishing tiende a ser más específico, por lo que los atacantes se toman su tiempo para investigar a sus víctimas elegidas. El dominio público contiene suficiente información en la mayoría de los casos para ayudar con la ingeniería social. Un correo electrónico de un amigo o un socio comercial a menudo causará menos sospecha que uno que proviene de un extraño. Esto se conoce como phishing de lanza, cuando los atacantes eligen una persona específica o un grupo. Los archivos adjuntos infectados pueden disfrazarse como cualquier cosa, desde contratos, formularios regulatorios, facturas y más, cuanto más ordinarios, mejor.
Sitios web comprometidos
La diferencia más significativa entre el ejemplo anterior radica en los kits de explotación. Se utilizan para comprometer sitios web sin archivos adjuntos de correo electrónico involucrados. Una visita al sitio comprometido y los ciberdelincuentes pueden infectar sin necesidad de clics. Los kits de explotación permiten a los atacantes cargar código malicioso directamente en cualquier página web vulnerable. Ese código está especialmente diseñado para explotar vulnerabilidades en el software o los navegadores que los visitantes pueden estar usando.
Si hay una vulnerabilidad en el sistema, el kit de explotación puede descargar e instalar automáticamente el ransomware de Windows. Desafortunadamente, evitar las visitas a sitios web con una reputación cuestionable puede no resolver el problema. A veces, incluso las visitas a sitios tradicionales y legítimos pueden ser un riesgo cuando su seguridad se ve comprometida, como fue el caso con los ataques del kit de explotación de Angler en 2016, utilizados para propagar malware en una campaña de 2016.