Para desdicha de muchos y regocijo de unos pocos, el ransomware está de moda. Es el malware que copa las titulares de la prensa y que llena líneas y líneas de informes de laboratorios de ciberseguridad. Los datos son más que sorprendentes y ponen los pelos de punta. Los ataques contra empresas se triplicaron entre enero y septiembre de 2016 y se producen cada 40 segundos. Pero lo más alarmante es que el punto de mira del ransomware es ya cualquier usuario de un smartphone, y cada 10 segundos se produce un ataque personal. Otro dato para el desánimo lo facilita Kaspersky: una de cada cinco pymes que pagaron el rescate por la información, no lograron recuperar sus datos. Pedro García-Villacañas, director de Preventa de Kaspersky, explica que el ransomware se presenta habitualmente en dos formatos: “El más común exige rescate para recuperar los archivos mientras que el bloqueador impide que la víctima acceda incluso al disco duro”.
Una vez producido el ataque le llega un aviso al usuario bien en pantalla o bien por correo. Se le dan instrucciones claras para efectuar el pago con monedas virtuales bitcoin. El pago medio es de 300 dólares, aunque se conocen casos en los que se ha llegado a pagar más de 1.000 euros. “En operaciones más amateur se prefiere el pago en moneda local, lo que puede ser un hándicap para los ciberdelincuentes”, describe García-Villacañas. Curiosamente, los grupos activistas de ransomware tienen su código ético, “el que paga recupera su información”. El problema se ha acrecentado con el boom experimentado por este malware durante 2016, hasta tal punto que han proliferado grupos de novatos llamados ‘skidies’ que practican una modalidad de ‘ransomware deshonesto’, y que no van a devolver nunca la información secuestrada. Geográficamente hay zonas más activas emisoras de estas familias de ransomware como son Rusia, Europa del Este, China o Asia en general. Se trata, como explica el portavoz de Kaspersky, de gente muy cualificada: “Tienen un nivel de preparación superior, ingenieros o matemáticos de primera fila, con conocimientos altos en tecnologías y programación”.
Índice de temas
Ransomware as a Service
Antonio Martínez, director técnico de Stormshield, está convencido de que asistimos a una profesionalización e industrialización de este tipo de actividades por tratarse de un negocio cada vez más lucrativo. Y como buen negocio, los ‘profesionales’ del ransomware tratan de ayudar al ‘cliente’ en la tarea de realizar los pagos, ya que en su mayoría se realizan con bitcoins, un procedimiento complicado para los usuarios corrientes, y que requiere adentrarse en la procelosa Deep Web (los bajos fondos de Internet donde campean a sus anchas los ciberdelincuentes). “Te dan acceso a un chat que te dirige para poder realizar el pago”, describe el experto. “Otro dato de la profesionalización es que ya te ofrecen tarifas. Por ejemplo, descifrar hasta 100 ficheros tiene un coste determinado”, añade Martínez. Las paquetizaciones de marketing son la máxima expresión de hasta qué punto los delincuentes entretejen sus relaciones con sus víctimas. “Por un módico precio puedes evitar que te ataquen durante un tiempo determinado”, explica Antonio Martínez. Pero, reconoce, que nada te garantiza que ataque a tu empresa cualquier otro grupo de ransomware: “Cuando pagas pasas a formar parte de una lista VIP, estás sufragando la ciberdelincuencia, y en cuanto pase el plazo de tiempo puedes volver a ser atacado”. Por ello, y por otras razones de índole moral y legal, ninguna empresa de seguridad recomienda en ningún caso pagar el rescate.
“Quien controle tu ordenador, puede hacer cualquier cosa con él”, ese es el epitafio.
Pero es entendible que muchos negocios terminen pagando porque les puede ir la vida en ello. Como ha sido con un ataque reciente sufrido por una cadena hotelera suiza a la que bloquearon, en plena temporada de nieve, las llaves de acceso a las habitaciones, las típicas tarjetas que se programan con el ordenador. El último escalón de la industrialización es lo que los expertos llaman ‘Ransomware as a Service’, de tal manera que convertirse en extorsionador no requiere grandes conocimientos ni establecer un grupo organizado con profesionales cualificados del lado oscuro. “Estos grupos funcionan de forma descentralizada. Hay una persona que desarrolla el código, una que diseña los email para el phising y otra que compra la base de datos de destinatarios. Cada pieza del puzzle se iba contratando, pero ahora no es preciso ya que puedes recurrir a otro grupo que hace todo ello por ti y te da acceso a una página web desde la que diseñar una campaña propia de ransomware. Seleccionas clientes, los personalizas y la empresa que ofrece el servicio te cobra una cuota por enviar tu ransomware paquetizado y empieza el negocio lucrativo”. Como explica Kaspersky, Algunos ejemplos sobresalientes de este modelo como servicio que aparecieron en 2016 son Petya/Mischa y Shark, el cual posteriormente fue rebautizado como Atom. El socio suele suscribirse a un acuerdo tradicional de comisiones. Por ejemplo, la tabla de pagos de Petya muestra que si un socio recauda 125 bitcoins por semana, su ingreso neto después de la comisión será de 106,25 Bitcoins. Los progresos son más que notorios, hace poco,, Eset revelaba la existencia de una nueva versión de Android/Lockerpin que utiliza mensajes de voz. El ransomware es la punta del iceberg, es un robo a pequeña escala.
Lo realmente preocupante es que los ordenadores de una empresa estén intervenidos. El gran negocio es contar con una red de bots que luego se pueden alquilar para hacer ataques de spam o robar información. “Quien controle tu ordenador, puede hacer cualquier cosa con él”, ese es el epitafio.
¿Qué puedo hacer si soy víctima de un ataque?
Pongamos que su empresa ha sido víctima de un ataque de ransomware, ¿qué pasos debe seguir para evitar males mayores y salir del atolladero? Mario García, director general de Check Point, hace las veces de consejero: “Lo primero que hay que hacer es cortar el ransomware, detectar el equipo afectado ya que lo primero que hace es saltar de ordenador en ordenador infectando toda la red”. Hay que tener en cuenta que este malware va encriptando o bloqueando los ficheros que va encontrando a su paso y posteriormente se comunica con un centro de control y comando externo que se apodera de la red. Las empresas de seguridad tienen que “identificar esta comunicación y cortarla de raíz. Todo el mundo habla de encriptación y no de robo que puede producirse a medio plazo”, alerta el directivo. El segundo paso es aislar el ordenador, sacarlo de la red y limpiarlo. Por tanto es clave tener un backup actualizado para recuperar el máximo porcentaje de información perdida. El tercer paso que aconseja Mario García es estudiar cómo se produjo el ataque, si a través de una llave USB, de un correo malicioso o a través de páginas dudosas de Internet. A partir de entonces, la empresa tiene que estar muy al tanto de lo que se denomina ‘eventos grises’, que no son ataques propiamente dichos sino pasos previos a un ataque. Por último un análisis forense servirá para poner las bases de un entorno más seguro dentro de la empresa y evitará ulteriores infecciones. “En una empresa española detectamos que estaban generándose 40.000 sesiones por segundo de un grupo de PC, causando un destrozo en la red. Cortamos la comunicación, se neutralizaron los equipos y se pudo parar el ataque”, relata Mario García.