“El ransomware no se propaga, es desplegado” (y otras verdades sobre una amenaza en auge)

El ransomware se ha convertido en un problema común para muchas empresas. Pero, a pesar de su avance incesable, todavía existen algunos mitos sobre este malware que deja indefensas a sus víctimas.

Sophos identifica hasta cinco verdades en cierto modo desconocidas sobre el ransomware.

La primera, que “el ataque empieza semanas antes de que lo sepas”. Aunque en algunas ocasiones los autores se mantienen sólo tres horas en la red empresarial, los  ataques más largos dejan un año ocultos a los criminales. De media, los atacantes pasan en la red de sus víctimas once días antes de pasar a la acción.

Así que, aunque parezca que el ataque comienza sólo unas horas antes, los ciberdelincuentes ya están presentes mucho antes, esperando agazapados al momento justo.

“El ransomware no se propaga, es desplegado”, continúa Sophos. Esto es, no se lanza de manera irracional. Sus autores tienen la situación controlada y previamente escanean la red, identifican servidores y usan cuentas de la empresa que han seleccionado como objetivo para acabar atacando dispositivos ya previstos.

La tercera afirmación que hay que tener en consideración es que “el ransomware es sólo una parte del ataque”. La mayoría de estas campañas incluyen exfiltración de datos, llegando a robar incluso terabytes enteros de información.

Además, durante el proceso de recuperación, las víctimas pueden recibir mensajes amenazantes por correo electrónico, llamadas de teléfono o ataques DDoS. Los atacantes también acostumbran a dirigirse a clientes y proveedores de la compañía o a publicar en redes sociales lo que sucede para mermar la credibilidad de la empresa.

Por si esto fuera poco, “las copias de seguridad desaparecen con el ataque”. Antes de lanzar el ataque propiamente dicho, los cibercriminales pueden ganar derechos de administrador y borrar las copias existentes. O, incluso, desinstalar el software de backup que usa la organización.

Y, aun así, “los atacantes siguen teniendo acceso” después de que la compañía borre las máquinas cifradas. Los atacantes pueden mantener acceso a la red corporativa vulnerada y repetir el ataque más adelante.

“Desafortunadamente no hay una vía sencilla para evitar convertirse en una víctima del ransomware”, lamenta Peter Mackenzie, director de Incident Response en Sophos.

“Hay cientos de cosas que se pueden hacer, pero, lo importante, es concentrarse en las cosas básicas primero”, observa este experto.

“En primer lugar”, relata, “no puedes luchar contra lo que no ves, por lo que es necesario encontrar los equipos desprotegidos y protegerlos”.

“En segundo lugar, no hay que ponérselo fácil a los atacantes. Es fundamental asegurar los sistemas de operaciones heredadas, actualizarlos y utilizar conexiones seguras”, aconseja.

“Por último, cuando te enfrentas a atacantes humanos que están en tu red, la tecnología sola no es suficiente”, advierte Mackenzie, “es necesario contar con equipos humanos expertos en busca de alertas, monitorizando los sistemas de seguridad”.