2017 fue el año del ransomware, siendo la amenaza más importante en el sector de la ciberseguridad, tanto para grandes empresas como para pymes y usuarios. Ataques como WannaCry y Petya secuestraron ordenadores alrededor del mundo y alcanzaron las primeras páginas de diarios internacionales. No obstante, los costes del troyano el año pasado rondan los cinco mil millones de dólares, lo que convierte al ransomware en el tipo de ataque más impactante y sofisticado, con un aumento del 350% frente al 2016.
En el informe “Sin secuestro no hay rescate” que realiza PandaLabs, el laboratorio antimalware de Panda Security, se recogen este y otros datos sobre el ransomware que explicaremos a continuación. Aunque en el 2018 hemos visto crecer otro tipo de ataques en entornos empresariales, como el cryptojacking, la efectividad en resultados y el bajo riesgo que entraña para el ciber-atacante hacen del ransomware una amenaza constante y no debemos olvidarnos de él.
Empresas en el punto de mira: ¿cómo atacan los criminales?
El ransomware es una modalidad de cibercrimen que encripta archivos de ordenadores y los bloquea o deniega su acceso hasta que se recibe el rescate requerido por el ciberatacante, generalmente en forma de bitcoin o algún tipo de moneda virtual que permita salvaguardar la identidad del atacante. La finalidad de este tipo de ataque es, por lo tanto, el lucro económico. Los tres tipos de incidentes más comunes en los que los cibercriminales hacen uso del ransomware son el ciber-robo, la extorsión y el sabotaje de instalaciones civiles o militares.
El ciber-robo, como del que fue víctima Equifax hace un año y que a día de hoy aún protagoniza una de las pérdidas de datos sensibles más grandes de la historia de Internet, es una de las maneras mediante las cuales los criminales logran enriquecerse. El ataque se llevó a cabo gracias a una vulnerabilidad en las aplicaciones web de la compañía que fue explotada por los criminales con ransomware, abriendo las puertas a la información confidencial de más de 147 millones de clientes en Estados Unidos, incluyendo sus números de Seguridad Social, fechas de nacimiento, domicilios, y en algunos casos sus carnets de conducir y tarjetas de crédito.
Otro de los posibles enfoques es la extorsión para obtener algo a cambio, que en este tipo de ataques suele ser retribución monetaria, a través de la fuerza o de amenazas. Existen tres ejemplos de extorsión recientes como WannaCry, NotPetya o BadRabbit. En este caso (que no es el único que exige rescate) los cibercriminales acceden a los ficheros del sistema, los encriptan y finalizan el ataque mostrando un diálogo al usuario que pide una remuneración a cambio del acceso a esta información. Esta situación ha hecho temblar a miles de empresas que han visto como podían perder sus datos si no pagaban cantidades millonarias.
La última de sus modalidades es el sabotaje de instalaciones civiles o militares. Un ejemplo es el ataque a Aramco, la empresa estatal de petróleo y gas de Arabia Saudita, que paralizó su actividad de exportación durante 2 semanas. El mismo software que causó el cese de la actividad se utilizó años después para llevar a cabo unos ciberataques incluyendo un nuevo módulo que sí contenía ransomware. Más recientemente, el gobierno de la ciudad de Atlanta fue víctima de un ataque del ransomware SamSam, que forzó a la ciudad a paralizar todos los procesos digitales. Los habitantes de Atlanta tuvieron que retrasarse en los pagos electrónicos y los oficiales de la ciudad recurrieron a escribir sus reportes a mano. Para la resolución, los atacantes pedían un rescate de 50.000 dólares en bitcoin y se desconoce si el ayuntamiento accedió al pago de esta cantidad. Sin embargo, la ciudad reporta haber gastado 2,6 millones de dólares en procesos de recuperación y respuesta a incidentes. Esto nos que demuestra que, con o sin pago del rescate, esta modalidad de ataque puede ser muy costosa para organizaciones de todo tipo.
Recomendaciones para ser empresas libres de ransomware
Para proteger nuestras empresas frente a la amenaza constante del ransomware, desde Panda Security hemos elaborado esta lista de consejos:
- Realizar backups constantes para evitar la pérdida de datos, y mantenernos al día con las actualizaciones y patches de los sistemas.
- Entrenar a nuestros empleados, fomentar la concienciación y transmitirles la importancia de detectar las posibles ataques dirigidos a ellos, como el phishing.
- Realizar auditorías de seguridad y pruebas de vulnerabilidad para conocer las puertas de entrada a nuestros sistemas.
- Contar con una solución de ciberseguridad avanzada multiplataforma, como Panda Adaptive Defense, que realice análisis en tiempo real y permita prevenir, detectar y remediar estos ataques.