Cada vez son más las noticias y casos en lo que sempresas y administraciones públicas han sufrido un ciberataque por parte de hackers donde sustráen y secuestran la información de sus bases de datos y sistemas, pero ¿Sabemos realmente que significa eso y como actuar frente a este tipo de situaciones?.
Primero, pongámos nombre a este tipo de ciberataques. RANSOMWARE. ¿Qué es? es un tipo de malware que se introduce en los equipos y dispositivos móviles impidiendo el acceso a la información, generalmente cifrándola, y solicitando un rescate (ransom, en inglés) para que vuelva a ser accesible. Después de la infección inicial, el malware intentará propagarse al resto de los sistemas conectados a la red, incluyendo unidades de almacenamiento compartidas.
El ransomware identifica las unidades de un sistema infectado y comienza a cifrar los archivos dentro de cada unidad. Por lo general, el software de rescate añade una extensión a los archivos cifrados, como .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault o .petya, para mostrar que los archivos han sido cifrados. La extensión de archivo utilizada es específica para cada tipo de ransomware. El ransomware se manifiesta cuando el dispositivo está infectado y ya no se puede acceder a la información. Una vez que ha cifrado todos los archivos, muestra por pantalla un mensaje que contiene instrucciones sobre cómo pagar el rescate, similar al de la imagen siguiente:
¿Cómo se produce este tipo de ataque?
- Correos electrónicos que utilizan la ingeniería social para que la víctima descargue adjuntos infectados o acceda a un sitio web malicioso a través de un enlace.
- Ataques usando el protocolo de escritorio remoto (RDP), ya sea aprovechando alguna vulnerabilidad en el sistema o con ataques de fuerza bruta.
- Vulnerabilidades de servicios expuestos a internet (FTP, SSH, TELNET, etc.).
- Vulnerabilidades en los sistemas operativos y en navegadores que facilitan la infección al visitar sitios fraudulentos.
- Dispositivos externos infectados que se conectan a los equipos corporativos.
- Por medio de otro malware que previamente ha entrado en nuestro dispositivo, como por ejemplo en el caso de Emotet.
Recomendaciones sobre cómo actuar ante una infección de este tipo:
- Comprueba si existe una solución que permite el descifrado: para ello, podemos contar con el proyecto avalado por la EUROPOL denominado No More Ransom
- ¿Tienes una copia de seguridad limpia y reciente?: la copia de seguridad siempre te asegura poder recuperar tu información.
- ¿Dispones de Shadow Volume Copy?: si dispones de esta copia de los ficheros que Windows realiza automáticamente, puedes restaurar la información fácilmente utilizando el Shadow Explore.
- ¿Pueden recuperarse ficheros afectados mediante software forense?: existen soluciones utilizadas para recuperar información en el ámbito forense que en ocasiones pueden recuperar ficheros originales borrados por el ransomware.
- ¿Debes conservar los ficheros cifrados?: si has perdido información porque no tenías copia de seguridad y actualmente no existe ningún software que descifre tus archivos, guárdalos.
Si la incidencia afecta a datos de carácter personal, el incidente tiene que ser notificado antes de 72 horas por parte del «Responsable del tratamiento» a la «Autoridad de control competente». La autoridad competente para resolver cuestiones legales relacionadas con el RGPD es la Agencia Española de Protección de Datos o las análogas Autoritat Catalana de Protecció de Dades, del País Vasco Datuak Babesteko Euskal Bulegoa, o el Consejo de Transparencia y Protección de Datos de Andalucía.
Fuente: Instituto Nacional de Ciberseguridad de España
Gonzalo Oliver Martín
OZONIA CONSULTORES