Una vez que un ransomware se haya apoderado de su valiosa información, es muy poco lo que puede hacer para recuperarlo que no sea acceder a las demandas del atacante. Secuestro de datos, un tipo de malware que obliga a pedir rescate a una computadora, se ha vuelto particularmente frecuente en los últimos años y el cifrado prácticamente irrompible lo ha convertido en una fuerza aún más poderosa.

El ransomware se distribuye normalmente a través de potentes botnets que se utilizan para enviar millones de correos electrónicos maliciosos a víctimas seleccionadas de forma aleatoria. Estos tienen como objetivo extorsionar cantidades relativamente pequeñas de dinero (normalmente £ 300- £ 500, pero más en los últimos tiempos) de tantas víctimas como sea posible. Pero según los agentes de policía que hemos entrevistado de las unidades de ciberdelincuencia del Reino Unido, Los ataques de ransomware se dirigen cada vez más a víctimas de alto valor. Suelen ser empresas que pueden permitirse pagar grandes sumas de dinero, hasta £ 1, 000, 000 para recuperar sus datos.

En 2017 y 2018 hubo un aumento de estos ataques de ransomware dirigidos a empresas del Reino Unido. Los atacantes utilizan cada vez más software para buscar ordenadores y servidores vulnerables y luego utilizan diversas técnicas para penetrar en ellos. Más comúnmente, los perpetradores usan ataques de fuerza bruta (usando software para probar repetidamente diferentes contraseñas para encontrar la correcta), a menudo en sistemas que le permiten operar computadoras de forma remota.

Si los atacantes obtienen acceso, Intentarán infectar otras máquinas de la red y recopilarán información esencial sobre las operaciones comerciales de la empresa. Infraestructura de TI y otras vulnerabilidades potenciales. Estas vulnerabilidades pueden incluir cuando las redes no están segregadas de manera efectiva en diferentes partes, o no están diseñados de una manera que los haga fáciles de monitorear (visibilidad de la red), o tener contraseñas de administración débiles.

Luego cargan el ransomware, que cifra datos valiosos y envía una nota de rescate. Usando información como el tamaño de la empresa, facturación y beneficios, Los atacantes estimarán entonces la cantidad que la empresa puede pagar y adaptarán su demanda de rescate en consecuencia. El pago generalmente se solicita en criptomonedas y generalmente entre 35 y 100 bitcoins (valor en el momento de la publicación £ 100, 000– £ 288, 000).

Según los agentes de policía con los que hablamos, Otro método de ataque popular es el "spear phishing" o la "caza mayor". Esto implica investigar a personas específicas que manejan las finanzas en una empresa y enviarles un correo electrónico que pretende ser de otro empleado. El correo electrónico fabricará una historia que anima al destinatario a abrir un archivo adjunto, normalmente un documento de Word o Excel que contiene código malicioso.

Este tipo de ataques dirigidos generalmente los llevan a cabo grupos profesionales motivados únicamente por el lucro, aunque algunos ataques buscan interrumpir negocios o infraestructura. Estos grupos criminales están altamente organizados y sus actividades evolucionan constantemente. Son metódicos, meticuloso y creativo en la extorsión de dinero.

Por ejemplo, Los ataques de ransomware tradicionales piden una cantidad fija como parte de un mensaje intimidante inicial, a veces acompañado de un reloj de cuenta atrás. Pero en ataques más dirigidos, los perpetradores suelen colocar un archivo de "prueba de vida" en la computadora de la víctima para demostrar que controlan los datos. También enviarán detalles de contacto y pago para la divulgación de los datos, pero también abre un duro proceso de negociación, que a veces está automatizado, para extraer la mayor cantidad de dinero posible.

Según la policía, los delincuentes generalmente prefieren apuntar a empresas totalmente digitalizadas que dependen en gran medida de la TI y los datos. Tienden a favorecer a las pequeñas y medianas empresas y evitan las grandes corporaciones que tienen una seguridad más avanzada. También es más probable que las grandes empresas atraigan la atención de los medios, lo que podría generar un mayor interés policial y perturbaciones significativas en las operaciones criminales.

Cómo protegerse

Entonces, ¿qué se puede hacer para luchar contra estos ataques? Nuestro trabajo forma parte del proyecto de investigación pluruniversitaria EMPHASIS, que estudia lo económico, Impacto social y psicológico del ransomware. Los datos (aún no publicados) recopilados por EMPHASIS indican que la debilidad de la ciberseguridad en las organizaciones afectadas es la razón principal por la que los ciberdelincuentes han tenido tanto éxito en extorsionarlos.

Una forma de mejorar esta situación sería proteger mejor el acceso a computadoras remotas. Esto se puede hacer desactivando el sistema cuando no esté en uso, y el uso de contraseñas más seguras y autenticación de dos pasos (cuando un segundo, Se necesita un código generado especialmente para iniciar sesión junto con una contraseña). O, alternativamente, cambiar a una red privada virtual, que conecta máquinas a través de Internet como si estuvieran en una red privada.

Cuando entrevistamos al investigador de ciberdelincuencia Bob McArdle de la firma de seguridad de TI Trend Micro, advirtió que los filtros de correo electrónico y el software antivirus que contienen protección específica contra ransomware son vitales. Las empresas también deben hacer copias de seguridad de sus datos con regularidad para que no importe si alguien se apodera del original. Las copias de seguridad deben probarse y almacenarse en ubicaciones inaccesibles para el ransomware.

Este tipo de controles son cruciales porque los ataques de ransomware tienden a dejar muy poca evidencia y, por lo tanto, son intrínsecamente difíciles de investigar. Como tal, targeted ransomware attacks are not going to stop any time soon, and attackers are only likely to get more sophisticated in their methods. Attackers are highly adaptive so companies will have to respond just as smartly.

This article is republished from The Conversation under a Creative Commons license. Lea el artículo original. This article is republished from The Conversation under a Creative Commons license. Read the original articl