jueves, 18 de mayo de 2017

Malware: Ransomware



Conceptos importantes

Ransomware:  es un tipo de malware, el cual se encarga de cifrar la información contenida en el sistema o equipo, atacando directamente a la disponibilidad de esta información. Además de exigir un pago para poder recuperar dicha información, algo similar a un secuestro de los datos contenidos en el propio equipo.

SMB (Server Message Block): Protocolo de red que permite la comunicación entre equipos Microsoft Windows para compartir recursos dentro de una red. 

¿Cómo funciona el ransomware?

Se esconde dentro de algún archivo, puede ocultarse en documentos adjuntos en e-mails, páginas, en actualizaciones de sistema o de programas. Una vez que se ejecuta dentro del equipo, éste se comunicará con algún servidor o dominio remoto (perteneciente a los atacantes) donde negociará una “clave” que será la que utilizará para cifrar toda la información del equipo de la víctima.

Imagen tomada de https://www.connectedgear.com/wannacry-ransomware-attack/


Después enviar el mensaje de advertencia con la amenaza y el importe del “rescate” que se ha de pagar para recuperar toda la información. Sin embargo, las garantías de que el atacante ofrezca la clave de cifrado no son totales, por lo tanto, esta no es una solución muy factible.

Existen distintos tipos de ransomware, pero todos tienen un objetivo obtener una remuneración económica y la desesperación de la víctima de recuperar sus datos a los cuales ya no puede acceder.


El caos del 12 de mayo.

El 12 de mayo de 2017 se reportó un ciberataque en el cual distintas empresas del mundo se vieron afectadas, el ransomware utilizado en este ciberataque ha sido Wanna Decryptor (Wcry), un conocido malware que cifra datos a través del algoritmo AES para luego plantear ese rescate.

Este ransomware viene acompañado del código de explotación para la vulnerabilidad SMB EternalBlue (CVE-2017-0145, la cual fue resuelta en marzo de 2017, así WannaCrypt afecta a sistemas de Windows que no contengan los parches adecuados. Una vez ejecutado el malware, este se propaga en equipos que se encuentren dentro de la red compartida, cifrando todos los archivos, que gracias a la falta de los parches se propagara. 

Soluciones para evitar el ransomware.

  • Mantener el sistema operativo actualizado para evitar fallos de seguridad y contar con los parches de seguridad que brinda Windows en sus actualizaciones.
  • Tener instalado un buen antivirus y mantenerlo siempre actualizado.
  • No abrir correos electrónicos o archivos con remitentes desconocidos.
  • Evitar navegar por páginas no seguras o con contenido no verificado (por ejemplo, aquellas páginas donde mandan ventanas emergentes con amenazas de virus y que debes descargar otros programas para evitarlos).
  • Debido a que pagar el rescate no es la mejor opción, lo ideal es tener siempre una copia de seguridad externa actualizada, así se evita la pérdida de información y con una restauración o formateando el equipo, este puede ser de nuevo utilizado de forma normal.
  • Mantener activado el firewall


Nota: Si el equipo ya ha sido infectado se recomienda aislarlo de la red, para evitar la propagación del malware a otros equipos.



Referencias
https://openwebinars.net/blog/como-funciona-un-ciberataque-con-ransomware/
http://www.pandasecurity.com/spain/mediacenter/malware/que-es-un-ransomware/
https://www.xataka.com/seguridad/wanna-decryptor-asi-funciona-el-supuesto-ransomware-que-se-ha-usado-en-el-ciberataque-a-telefonica
https://www.avast.com/es-es/c-ransomware
http://www.redusers.com/noticias/ransomware-que-es-y-como-funciona-el-secuestro-digital/

Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)