El peligro de los ataques ransomware a las Pymes

Probablemente, muchos de los lectores hayan oído las últimas noticias sobre los ciberataques de ransomware ocurridos la semana pasada en España. Este tipo de malware no es tan conocido como otros como los troyanos o gusanos. Sin embargo, la importancia de los mismos podría hacer que llegasen a conocerse a nivel mundial.

¿Qué es un ciberataque de ransomware?

Se trata de un programa malicioso (malware, comúnmente conocido como “virus”) que se infiltra en un sistema, cifrando todos los archivos o datos del disco duro y dejándolo inutilizado, de modo que sólo presenta una pantalla donde se pide un rescate a la víctima por la recuperación de sus datos mediante la entrega de la clave necesaria. Este rescate normalmente es en Bitcoins para hacerlo más anónimo.

Su nombre viene del término inglés ransom, que en español significa secuestro. Y, como podemos observar, es exactamente igual que un secuestro, pero en este caso de información.

Este tipo de ataques pueden ser muy destructivos para una empresa si no se dispone de las medidas de backup necesarias, que dispongan en un espacio de tiempo razonable de un método para restablecer la copia de seguridad. Es muy importante minimizar ese plazo, ya que durante el proceso de restauración, probablemente nos encontremos cerca de la actividad cero, con el consiguiente impacto sobre el negocio o entidad afectada. Es digno de mencionar el proyecto internacional No More Ransom, en el que participa la Europol para combatir los ataques ransomware. Aunque en muchas ocasiones lo más que podrán hacer será identificar el tipo de ataque, contener la infección y aislar los equipos comprometidos, dada la dificultad de revertir el cifrado de archivos.

¿Cómo afectan estos ataques a las Pymes?

Este tipo de ataques, que buscan un interés económico, tienen un altísimo impacto en Pymes, ya que las pequeñas y medianas empresas aún no tienen suficiente concienciación en materia de ciberseguridad, y siempre cuentan con un limitado presupuesto tecnológico, que normalmente se deriva a otras áreas orientadas a producir beneficios: marketing, SEO, etc…

Los ataques ransomware hasta ahora buscaban infectar el mayor número de equipos para que al menos un reducido número de víctimas, pagase el rescate. Un ejemplo fue el conocido ataque WannaCry que en mayo de 2017 afectó seriamente a grandes compañías como Iberdrola, Telefónica y el Servicio de Salud británico. Infectó más de 140.000 ordenadores por todo el mundo.

Los nuevos ransomware son ataques hechos a “medida” que se alimentan de fuentes abiertas (OSINT) e ingeniería social para centrar el ataque en una víctima y comprometer todo su sistema, paralizando absolutamente la actividad y forzando a tomar una decisión inmediata. Durante este año hemos podido ver desde centrales eléctricas que desabastecían toda una región de electricidad por este ataque, a ciudades enteras como Baltimore en EEUU cuyas entidades públicas se vieron paralizadas por completo.

Nuestro país también ha sido objetivo de los cibercriminales: hace unas semanas vimos como el Ayuntamiento de Jerez de la Fontera tambiñen era víctima del ransomware “Ryuk”, quedando totalmente bloqueado. O también el Ayuntamiento de Minas de Riotinto, que fue atacado en octubre, dejando la práctica totalidad de sus sistemas sin servicio. Podríamos decir que este tipo de ataques son el “spear ransomware” similar a los “spear phishing”, dirigidos y mucho más avanzados y elaborados.

Estos ataques, en una Pyme, pueden producir desde un ligero impacto hasta su total desaparición. Se calcula que en torno al 60% de las Pymes tras un ataque ransomware efectivo, desaparece antes de un año.

¿Qué hacer en caso de ciberataque?

Si te has visto afectado por un ataque ransomware, lo más importante que debemos hacer es no acceder al chantaje y pagar el rescate. Nadie debería considerar pagar y vamos a intentar explicar el por qué:

Si nos vemos afectados, la diferencia está entre si el ransomware nos ha caído “de rebote” o alguien nos ha puesto en el punto de mira. LA diferencia es muy clara, respecto al nivel de profesionalidad y dedicación de los cibercriminales. Si hemos sido víctimas de una infección cualquiera, por inundación, es muy poco probable que quien la diseñó haya previsto a la misma de un mecanismo para revertirla, ¿Qué sentido tendría? Una vez cobrado, adiós lo acordado…

Hay un segundo caso, en el que quien nos haya puesto el ojo encima haya utilizado también la ingeniería necesaria para revertir el proceso, y pagando, volvamos a tener acceso a nuestros archivos. Pero esto, lejos de ser una buena noticia, lo hace aún peor: Alguien ha tenido acceso a nuestros sistemas, puede que haya extraído toda la información necesaria y ahora, con nuestro dinero, además se haya garantizado la persistencia en el sistema, con lo cual, sigue teniendo “las llaves de nuestra casa”.

Razones para no pagar

• Pagar el rescate no significa en ningún caso garantía de recuperar nuestros archivos o sistemas. Sólo en un pequeño porcentaje de veces esto ocurre.
• En el caso poco probable de que haya un método de descifrado, esto evidentemente significa una alta cualificación de parte de los atacantes, y puede que el siguiente ataque ya esté en marcha. Considérese usted suscrito como un nuevo “cliente Premium” de la ciberemafia, ahora que ya sabe que usted es un cliente que paga.
• Por último, hay una consideración ética: pagar significa subvencionar el cibercrimen, alimentarlo con fondos para que provean nuevos ataques.

¿Qué podemos hacer?

En primer lugar, cabe comentar que es imposible estar protegido por completo de este tipo de ataques o cualquier otro. Sin embargo, podemos tomar medidas preventivas que ayuden a reducir el riesgo:

• El uso de un buen antivirus podría bloquear varias de las amenazas o al menos detectarlas lo antes posible para que la amenaza no se propague.
• Navegar por sitios seguros: es recomendable navegar por páginas que sean seguras y no descargar archivos de fuentes desconocidas o poco fiables.
• Usar contraseñas seguras: la mayoría de las veces utilizamos contraseñas muy inseguras como fecha de nacimiento o nuestro nombre. Debemos utilizar contraseñas alfanuméricas y cambiarlas dependiendo del sitio al que pretendamos acceder.
• Certificarnos en ISO/IEC 2001: una certificación en esta norma no impedirá los ataques ni que nuestros sistemas se vean afectados. No obstante, reducirá el riesgo de pérdida o ataque a nuestra información , ya que ofrece estrictos controles y requisitos a seguir.
• Actualizaciones de seguridad: este es uno de los puntos más importantes, ya que muchos de los ciberataques de ransomware afectaron a versiones de Windows no actualizadas. Windows dejará de dar soporte en unos meses a sistemas operativos basados en Windows 7, es por ello que debemos mantener actualizado nuestros sistemas con las últimas medidas de seguridad.
• Consejo extra: dado que este tipo de ataques han sido frecuentes en los últimos años, una actualización de Windows permite configurar la privacidad y acceso de las carpetas. Esto permitirá que solo las aplicaciones de confianza o las que configuremos personalmente accedan al contenido.

Conclusión

Quedando claro que nunca hay que ceder a este tipo de chantajes, lo importante es disponer de un método rápido y eficaz de restauración de las copias de seguridad de todos los archivos importantes, junto con una buena política de backup, por supuesto.

Da igual el tamaño que tenga tu empresa; si quieres protegerte ante un ransomware o cualquier otro tipo de amenaza, no dudes en contactar con Hard2bit. Somos una empresa de Ciberseguridad especializada en todo tipo de seguridad informática.

Fuentes: https://www.empresas.blogthinkbig.com // https://www.pmg-ssi.com