Comprendiendo el ransomware, con Veeam México

Rodolfo Montes de Oca, Ingeniero de Sistemas de Veeam Software México, ha publicado un informe explicando a los usuarios qué es el ransomware, ese término que se ha puesto de moda en las últims dos semanas, por ser el tipo de ataque que se usó tanto por Wannacry como en Petya.

Como recuerda el informe, “en mayo, se hizo presente con WannaCry, que atacó diversas organizaciones en más de 150 países, principalmente en el continente europeo, secuestrando más de 200,000 computadoras a ser liberadas -o mejor dicho desbloqueadas- por pagos de entre 300 y 800 dólares. El pasado martes 27 de junio, de nuevo se dio a conocer que un ataque de este tipo había afectado a decenas de empresas”. 

Recuerda el directivo que la amenaza de nuevos ataques es latente y puede impedir la continuidad del negocio parcial o totalmente, por lo que es conveniente conocer todos los detalles posibles. 

1. El Origen del ransomware, o crypto-malware como también se le conoce, data del año 1989, cuando  el doctor J.L. Popp, un biólogo evolutivo molesto con la Organización Mundial de la Salud, aprovechó su conferencia mundial de ese año para distribuir disquetes infectados con este malware entre los delegados asistentes.

2.Modus operandi inicial. En los primeros años, el Ransomware usaba una tecnología de candado para negar al usuario el acceso a su computadora, generalmente pretendiendo tratarse de órdenes gubernamentales o del FBI, pero sin encriptar los archivos como se hace ahora.

3.Modus operandi actual. Orlando Scott-Cowley, autor del libro Conversational Ransomware Defense and Survivial, patrocinado por Veeam Software, dice que actualmente este ataque es manejado vía plataformas de Ransomware como servicio operadas por el crimen organizado.

4.Estimación de pérdidas económicas. El FBI indicó que los ataques de Ransomware recolectaron 209 millones de dólares a nivel mundial en los primeros tres meses de 2016, considerando sólo casos reportados y sin contar los costos de remediación de daños. 

5.Métodos de infección. Hay muchas maneras en las que un usuario puede quedar infectado por Ransomware, pero la más común es mediante un e-mail con un archivo malicioso adjunto que pretende ser algo que en realidad no es, como una factura falsa. Otros métodos comunes son ligas web acortadas, redes sociales, mensajes SMS o correos electrónicos de spam tradicionales.

6.Plataformas vulnerables en la actualidad. El Ransomware se volvió ubicuo y sumamente exitoso por su impresionante habilidad de evolucionar. Si bien se pensaba que este tipo de malware se supeditaba a entornos Windows, Linux y Android, ahora se sabe que el sistema operativo de Apple no está exento.

7.Humanware. La clave del éxito del Ransomware es su confianza en el elemento humano de la computación: según explica Scott-Cowley, en el caso de los ataques por e-mail basta con que el usuario abra el archivo adjunto para que, calladamente, el Ransomware comience a trabajar en el back-end encriptando toda la información en el equipo de la víctima.

8.Pagos. La razón por la que las transacciones por la devolución de los archivos o discos duros secuestrados a través de este ataque se hace a través de medios electrónicos que hacen la recolección del dinero sin ser necesario ningún papeleo, lo que los hackers buscan. Lo más común es que la cifra no exceda los 800 dólares. Esto obedece a que los hackers saben que, si piden una cantidad estratosférica, el resultado será que no obtendrán nada en absoluto.

9.¿Pagar o no pagar? La visión de Scott-Cowley es no hacerlo, sobre todo en el caso de las empresas. Primeramente, porque estarían patrocinando atrocidades como el tráfico de drogas y otras actividades del crimen organizado, pero sobre todo porque no hay garantía de que los archivos serán devueltos en su estado normal o que la víctima no será reinfectada más adelante. Pero también comenta que este asunto precisa aplicar el raciocinio y la responsabilidad, pues en ocasiones no hay otra salida siendo siempre mejor prevenir que lamentar.

10. ¿Cómo prevenir la interrupción del negocio por un ataque? De acuerdo con un whitepaper de Veeam Software sobre las mejores prácticas ante el Ransomware[3], es recomendable garantizar que se cuenta con modernas herramientas de continuidad y disponibilidad que entre otras funciones, apliquen la metodología 3-2-1 para protección de datos (que indica tener tres copias de los datos en dos diferentes medios con una copia fuera de las instalaciones) y hacer evaluaciones regulares de los riesgos para identificar cualquier eventualidad proactivamente.