A medida que las organizaciones de todo el mundo están consiguiendo finalmente contener la amenaza WannaCry, Trend Micro decidió lanzar un informe sobre la amenaza del Ransomware en el que ofrece consejos clave de mitigación y prevención para las empresas.
Bajo el título “Ransomware: pasado, presente y futuro”, Trend Micro proporciona una visión general, didáctica y útil de la historia y evolución del ransomware, desde sus inicios en Rusia; que se remontan a 2005 – 2006, hasta el desarrollo de las variantes «cripto» que vemos actualmente y el crecimiento del ransomware-as-a-service (RaaS) como modelo de negocio.
«Se hace especial hincapié en 2016, el año en que el ransomware se convirtió en una epidemia global y el número de nuevas familias que Trend Micro descubrió dio un vuelco asombroso, disparándose un 752%», explica José Battat, director general de Trend Micro Iberia. «El ransomware se ha convertido en un negocio muy lucrativo para los criminales y los ataques seguirán llegando».
El informe detalla la creciente focalización en las organizaciones en lugar de en los consumidores individuales, con el cifrado de archivos críticos para el negocio; como es el caso de las bases de datos, con el fin de infligir el máximo daño.
RANSOMWARE: PASADO, PRESENTE Y FUTURO
El ransomware es un tipo de malware que impide o limita el acceso de los usuarios a su sistema, ya sea bloqueando la pantalla del sistema o bloqueando los archivos de los usuarios a menos que se pague un rescate. Las familias de ransomware más modernas, categorizadas colectivamente como cripto-ransomware, cifran ciertos tipos de archivos en sistemas infectados y obligan a los usuarios a pagar el rescate mediante ciertos métodos de pago online para obtener una clave de descifrado.
Precios de rescate y pago
Los precios de rescate varían dependiendo del tipo de ransomware y el precio o tipos de cambio de las monedas digitales. Gracias al anonimato percibido que ofrecen las criptomonedas, los operadores de ransomware suelen especificar pagos de rescate en bitcoins. Algunas variantes recientes de ransomware también han enumerado otras opciones como alternativas de pago como iTunes y las tarjetas de regalo de Amazon. Sin embargo, debe tenerse en cuenta que el pago del rescate no garantiza que los usuarios obtengan la clave de descifrado o la herramienta de desbloqueo necesaria para recuperar el acceso al sistema infectado o a los archivos secuestrados. El pago del rescate no significa nada.
Infección y comportamiento del ransomware
Los usuarios pueden encontrar esta amenaza a través de varios medios. El ransomware se puede descargar en los sistemas cuando los usuarios involuntariamente visitan páginas web maliciosas o peligrosas. También puede llegar como una carga liberada por otro malware. Algunos ransomware son conocidos por ser enviados como archivos adjuntos de correo electrónico no deseado -spam-, descargados desde páginas maliciosas a través de malvertisements (un tipo de amenaza que utiliza la publicidad online para propagar malware), o descargados por kits de exploit en sistemas vulnerables.
Una vez ejecutado en el sistema, el ransomware puede bloquear la pantalla del ordenador o, en el caso del cripto-ransomware, cifrar archivos predeterminados. En el primer escenario, una imagen o notificación en pantalla completa se muestra en la pantalla del sistema infectado, lo que impide que las víctimas utilicen su sistema. A la vez también se muestran las instrucciones sobre cómo se puede pagar el rescate. El segundo tipo de ransomware impide el acceso a archivos potencialmente críticos o valiosos como documentos y hojas de cálculo.
El ransomware se considera «scareware», ya que obliga a los usuarios a pagar una cuota (o rescate) asustándolos o intimidándolos. En este sentido, es similar al malware FAKEAV, pero en lugar de capturar el sistema infectado o cifrar archivos, FAKEAV muestra falsos resultados de análisis antimalware para persuadir a los usuarios a comprar software antimalware falso.
