El ransomware es un tipo de malware que entra en una computadora o red, encripta los datos de la víctima y luego exige un pago por la clave de desencriptación. El objetivo del ransomware es obtener beneficios económicos, ya que los atacantes intentan extorsionar a sus víctimas. Hay muchos tipos de ransomware, cada uno con sus propios métodos y tácticas de encriptación, pero todos tienen el mismo objetivo: el ransomware se presenta en una variedad de formas, cada una con estrategias de encriptación únicas. Aunque el objetivo principal de todas ellas es mantener los datos de la víctima como rehenes hasta que se pague un rescate, también hay otros riesgos y objetivos en juego. Por ejemplo, algunos atacantes de ransomware pueden amenazar con hacer pública información privada con la intención de aumentar la presión sobre la víctima para que pague el rescate. Es crucial entender que estos ataques no siempre tienen como único propósito capturar los datos y destruirlos. Pero comúnmente, buscan mantener los datos de la víctima como rehenes o amenazan con publicarlos hasta que se pague un rescate.

El ransomware es una importante amenaza para la seguridad cibernética que puede perturbar a empresas, gobiernos y particulares por igual. Se aprovecha de los fallos de un sistema informático o una red, con frecuencia por medio de correos electrónicos de phishing, descargas maliciosas o sitios web comprometidos. Una vez dentro de un sistema, el ransomware se propaga rápidamente, bloqueando o encriptando archivos y exigiendo un pago para desbloquearlos. El ransomware puede tener un impacto devastador en una organización, provocando la pérdida de datos, tensiones financieras, daños a la reputación y posibles ramificaciones legales.

Criptomalware es un término amplio que engloba el software malicioso que incluye el ransomware. El criptomalware es cualquier programa malicioso que emplea la criptografía para ocultar sus actividades, encriptar datos o extorsionar a las víctimas. El ransomware es un ejemplo de criptomalware porque utiliza el cifrado para encriptar los archivos de la víctima y exige un pago en criptomoneda. El cryptojacking, que mina criptomoneda en secreto en la computadora de la víctima, y los cryptolockers, que encriptan archivos sin exigir rescate, son otros dos tipos de criptomalware.

Por lo general, el ransomware se infiltra en una computadora o red a través de correos electrónicos de phishing, archivos adjuntos maliciosos, sitios web comprometidos o aprovechando vulnerabilidades de software. Cuando el ransomware consigue acceder, encripta los archivos de la víctima o bloquea su sistema, dejando los datos inaccesibles. Sin la clave de desencriptación, el cifrado es fuerte y con frecuencia irrompible.

Una vez completado el proceso de encriptación, el ransomware muestra una nota de rescate, que incluye instrucciones para la víctima sobre cómo llevar a cabo el pago del rescate, normalmente en criptomoneda, así como un plazo de pago. Si no se cumple el plazo, los atacantes pueden amenazar con eliminar los archivos encriptados, aumentar el importe del rescate o filtrar información sensible.

El objetivo del ransomware es extorsionar a las víctimas encriptando y posiblemente filtrando sus datos. Los atacantes logran esto:

• Utilizando diversos vectores de ataque para obtener acceso a una computadora o a una red.
• Utilizando algoritmos avanzados de encriptación para cifrar archivos o bloquear sistemas.
• A cambio de la clave de desencriptación, el atacante exige el pago de un rescate a la víctima.
• Utilizando plazos límite de pago y amenazas de eliminación o publicación de datos para ejercer presión.
• Filtrando información sensible para utilizarla como medio de presión en algunos casos.

Los ataques de ransomware pueden iniciarse a través de una gran variedad de métodos, algunos de los cuales incluyen:

1. Phishing emails: Phishing emails are frequently used by attackers to trick recipients into clicking on malicious links or opening infected attachments. These emails may appear to be from trusted sources or contain urgent messages designed to trick the recipient into acting.
2. Kits de explotación: Los kits de explotación son herramientas utilizadas por los ciberdelincuentes para aprovechar vulnerabilidades conocidas en software o sistemas operativos. Estos kits pueden usarse para instalar ransomware en un sistema objetivo sin necesidad de interacción del usuario.
3. Ataques mediante RDP (Remote Desktop Protocol): RDP es un protocolo comúnmente utilizado para acceder y administrar sistemas informáticos de forma remota. Los atacantes pueden obtener acceso a un sistema y desplegar ransomware aprovechando credenciales débiles o vulnerabilidades en RDP.
4. Publicidad maliciosa (malvertising): El malvertising consiste en insertar código malicioso en redes de publicidad legítimas. Los usuarios pueden infectarse con ransomware solo por visitar un sitio web que muestra dicho anuncio, incluso si no hacen clic en él.

1. Desconéctate: Desconecta de inmediato el o los dispositivos afectados de la red para evitar que el ransomware se propague a otros sistemas. Esto incluye desconectar el Wi-Fi, dispositivos externos y servicios de almacenamiento en la nube conectados.
2. Aísla el(los) dispositivo(s) afectado(s): Apaga cualquier recurso de red compartido y desactiva el acceso remoto a los dispositivos infectados. Esto ayuda a contener el ransomware y a mitigar más daños.
3. Conserva la evidencia: Guarda una copia de la nota de rescate, correos electrónicos sospechosos, archivos adjuntos y cualquier otro elemento relacionado con el ataque. Esto puede ayudar a los profesionales de ciberseguridad o a las autoridades en sus investigaciones y tareas de recuperación.
4. Consulta con DriveSavers: Para obtener asistencia profesional, contacta a DriveSavers. Nuestros expertos pueden evaluar tus opciones, guiarte en el proceso de recuperación y ayudarte a determinar si es viable recuperar tus datos.

1. Activa tu plan de respuesta a incidentes: Si tu empresa cuenta con un plan de respuesta a incidentes, utilízalo para coordinar adecuadamente la respuesta al ataque de ransomware.
2. Notifica a las siguientes partes: Reporta la infección por ransomware a tu departamento de TI, equipo de seguridad o proveedor de servicios gestionados. Dependiendo de tu jurisdicción y del tipo de datos comprometidos, puede que también debas notificar a las autoridades o a un organismo regulador.
3. Determina el alcance de la infección: Identifica qué archivos, dispositivos o sistemas han sido afectados, así como la variante de ransomware involucrada. Esta información te ayudará a decidir el mejor camino hacia la recuperación.
4. Comunícate con las partes interesadas: Mantén informados a tus empleados, clientes y socios sobre la situación. Sé transparente respecto a las acciones que estás tomando, incluyendo la colaboración con DriveSavers para recuperar tus datos.
5. Comunique con las partes interesadas: Mantenga informados a sus empleados, clientes y socios sobre la situación, y sea transparente respecto a las medidas que está tomando, incluyendo la colaboración con DriveSavers para recuperar sus datos.

Pagar el rescate no es su única opción. De hecho, es posible que no sea la mejor opción.

Estas son las razones:
• El pago del rescate permite recuperar todos los datos en tan sólo el 4% de los casos.
• Pagar el rescate demuestra el valor de sus datos para el atacante o actor malicioso, y puede incitarlo a duplicar o incluso triplicar la extorsión.
• Pagar un rescate es financiar una actividad ilegal y, en algunos casos, es ilegal en sí mismo y puede derivar en un procesamiento judicial.
• Contratar a una empresa profesional de recuperación de datos puede conducir a un método más completo, rápido y económico de recuperación de los datos, sin necesidad de financiar el delito.

DriveSavers utiliza herramientas que hemos diseñado específicamente para la recuperación de datos que se han visto comprometidos por un ataque de ransomware, y que tienen como objetivo fuentes de datos no afectadas.

Las soluciones de recuperación de datos para sistemas afectados por ransomware incluyen:
• Utilización o modificación de los cientos de descifradores con los que contamos actualmente, o desarrollo de nuevos descifradores para revertir el daño causado por el actor malicioso.
• Modificación de los descifradores proporcionados por el actor malicioso para mejorar los resultados de la desencriptación.
• Reparación de archivos corruptos después de la desencriptación.
• Recuperación de versiones antiguas u otras versiones de los datos que no hayan sido afectadas, incluyendo sistemas de copia sobre escritura.
• Búsqueda y recuperación de fuentes de datos alternativas, como cintas y activos en la nube.
• Restauración de sus archivos a partir de copias de seguridad seguras y actualizadas de sus datos.

DriveSavers también puede comprobar que sus copias de seguridad estén libres de malware antes de restaurarlas en su sistema.