Hay mucho que aprender sobre los ataques de ransomware. Esta publicación está destinada a responder las dudas más frecuentes sobre este tema.
¿Cuándo se descubrió el ransomware por primera vez?
El primer ransomware fue creado en 1989 por el biólogo evolutivo de Harvard Joseph L. Popp (que ahora se conoce como el "padre del ransomware"). Su malware ha sido denominado el troyano AIDS, también conocido como PC Cyborg. Popp envió 20.000 disquetes infectados con la etiqueta "Información sobre el SIDA - Discos de presentación" a los asistentes a la conferencia internacional sobre el SIDA de la Organización Mundial de la Salud en Estocolmo. Los discos contenían código malicioso que ocultaba directorios, bloqueaban nombres de archivos y obligaban a las víctimas a enviar $ 189 a un apartado postal en Panamá si querían recuperar sus datos.
Trojan AIDS era un ransomware de malware de "generación uno" y relativamente fácil de superar. El troyano utilizó cifrado simétrico simple y pronto estuvo disponible herramientas para descifrar los nombres de los archivos.
¿Cómo funciona un ataque de ransomware?
El ransomware es un tipo de software malicioso que los ciberdelincuentes utilizan para bloquear el acceso a los datos de las víctimas afectadas. Los secuestradores digitales cifran archivos, agregan extensiones a los datos atacados y los mantienen como "rehenes" hasta que se pague el rescate requerido.
Los ataques de ransomware a menudo se hacen evidentes cuando se muestra una pantalla que exige un pago a cambio de restaurar los archivos. Los atacantes a menudo le muestran cómo pagar la tarifa del ransomware para recibir una clave de descifrado.
¿Pueden los dispositivos Android ser atacados por ransomware?
Cualquier dispositivo puede infectarse con ransomware, incluidos los que usan Android. Como el sistema operativo más común en los teléfonos inteligentes, la tendencia es que las infecciones de ransomware ocurran con más frecuencia en estos dispositivos.
¿Pueden los sistemas operativos Linux estar infectados por ransomware?
Sí. Es un mito que los sistemas operativos Linux sean completamente seguros. Son tan susceptibles al ransomware como cualquier otro sistema.
¿Puede el ransomware secuestrar archivos cifrados?
Sí, el ransomware puede cifrar archivos que ya están cifrados. Independientemente de si utiliza cifrado basado en dispositivo o basado en archivos, el ransomware aún puede cifrar y secuestrar los archivos de la víctima.
Para evitar el riesgo de tener que lidiar con archivos cifrados, realice copias de seguridad periódicas de todos sus datos. Un buen antivirus y / o firewall también ayuda a evitar que los ciberdelincuentes instalen ransomware que puede dañar sus archivos.
¿Los archivos almacenados en servicios en la nube como Google Drive, OneDrive y Dropbox pueden infectarse con ransomware?
Sí. Los archivos almacenados en la nube pueden contraer infecciones de ransomware. Este almacenamiento es susceptible a ataques de ransomware ya que estos servicios sincronizan archivos con el almacenamiento local. Si el ransomware afecta sus archivos locales, el motor de intercambio de archivos (Google Drive, DropBox y OneDrive) cargará el código malicioso en sus archivos en la nube.
El mismo fenómeno ocurre con las puertas de enlace de almacenamiento u otras soluciones basadas en la nube. Una copia infectada localmente se convertirá en una copia infectada / cifrada en la nube.
¿Puede el ransomware propagarse a través de wifi?
Sí, el ransomware puede moverse a través de redes wifi para infectar computadoras. Los ataques de ransomware pueden interrumpir redes enteras y tener consecuencias graves
El código malicioso también puede extenderse por diferentes redes Wi-Fi, funcionando como un gusano informático. Para evitar la propagación de esta manera, asegúrese de que los enrutadores y las PC sean seguros.
Específicamente, asegúrese de utilizar contraseñas seguras en sus dispositivos. El ransomware Emotet, por ejemplo, puede descifrar rápidamente contraseñas y distribuirse lateralmente a través de conexiones Wi-Fi.
¿Pueden los discos duros externos (HD) ser infectados por ransomware?
Sí. El ransomware puede infectar todos los dispositivos conectados a una red, incluidos los discos duros externos (HD). Si el disco duro no se conecta a la red, el ransomware no podrá infectarlo, pero recuerde que también es importante verificar que el disco externo no esté ya infectado con ransomware antes de conectarlo a su sistema.
¿Por qué están aumentando los ataques de ransomware?
Los ataques de ransomware están aumentando a medida que los atacantes han perfeccionado sus técnicas, mientras que las empresas de múltiples industrias no han logrado abordar sus deficiencias críticas de ciberseguridad.
Además, más empresas eligen pagar el rescate para recuperar su información, lo que les brinda a los piratas informáticos ganancias significativas sin tener que vender datos en la dark web para obtener ganancias.
¿Se puede eliminar el ransomware?
Eliminar el ransomware es mucho más difícil que otras variedades de malware. Para dificultar la eliminación, muchos programas de ransomware se autodestruyen (es decir, se eliminan a sí mismos) después de un período de tiempo especificado por los piratas informáticos. En los casos en que el ransomware no se autodestruye, las herramientas de eliminación de ransomware pueden ser más efectivas.
¿Cómo eliminar el ransomware?
Una computadora infectada con ransomware se puede desinfectar, aunque esto no siempre es posible. Para iniciar el proceso, aísle el dispositivo afectado desconectándolo de la red.
En algunos casos, reiniciar la computadora en modo seguro, instalar software anti-malware, escanear el sistema para identificar ransomware y seguir las instrucciones del software antivirus puede eliminar el ransomware de una computadora. Sin embargo, estos pasos no descifran los archivos secuestrados.
Para descifrar archivos, las organizaciones pueden pagar a los piratas informáticos por las claves de descifrado, aunque no se recomienda este método. Si la empresa puede identificar el tipo de ransomware en el dispositivo, es posible que encuentre una herramienta de descifrado de ransomware especialmente diseñada para la recuperación de archivos. El sitio web nomoreransom.org ofrece 160.000 herramientas de descifrado.
Alternativamente, las organizaciones deberían invertir en copias de seguridad para restaurar archivos. Los expertos recomiendan que las organizaciones mantengan múltiples copias de seguridad (en la nube y en dispositivos externos) de datos importantes.
Como último recurso, las organizaciones pueden contratar equipos forenses y de seguridad cibernética para ayudar con la eliminación del ransomware. En casos específicos, los expertos pueden descifrar dispositivos con éxito.
¿Por qué los rescates de ransomware a menudo se pagan en bitcoin?
Bitcoin funciona como dinero electrónico y dificulta el seguimiento a pesar de ser un sistema de pago confiable que funciona de manera efectiva.
Sin embargo, convertir bitcoins en dinero fiduciario puede ser un desafío para los piratas informáticos, especialmente en países donde tales operaciones están reguladas.\
¿Quién está detrás de los ataques de ransomware?
Esto varía de un caso a otro. Los ciberdelincuentes detrás del ransomware suelen estar vinculados a grupos delictivos organizados por motivos políticos o gobiernos extranjeros. Aquellos que implementan ransomware a menudo pasan meses, o incluso años, trabajando en los elementos fundamentales del ataque. Su objetivo es asegurarse de que el ataque se lleve a cabo de forma sigilosa. Los grupos e individuos que están detrás de los ataques de ransomware hacen todo lo que está a su alcance para evadir la identificación.
Fonte: CyberTalk
Cuente con International IT para proteger a su empresa de los ciberataques con lo mejor del mercado.
Descubra nuestras soluciones avanzadas, sólidas y seguras paraNOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
