Descifrando el ransomware

El modus operando del ransomware pasa por el cifrado de los archivos de la víctima para luego convencerle de que la única manera de recuperar tales archivos es pagando un rescate. Los atacantes incluso van más allá  e infunden  miedo al establecer un corto plazo para el pago, y diciéndole a la víctima que sus archivos desparecerán para siempre si no se cumple dicho plazo. La base del éxito de ransomware es que las víctimas siguen pagando estos rescates.

Cyber Threat Alliance estima que unos 325 millones de dólares se han destinado a pagos solo por el ransomware CryptoWall 3 durante el año 2015. Estos pagos proporcionan tanto incentivos como financiación para el desarrollo de más ransomware por los atacantes. Por su parte, un reciente informe de McAfee muestra un fuerte incremento del ransomware en los últimos dos años.

Adoptar medidas para prevenir infecciones de ransomware siempre será la mejor estrategia de defensa. Por desgracia, ninguna protección es perfecta, lo que significa que sus sistemas pueden llegar a ser víctimas de un ataque con éxito. Si una persona o empresa se encuentra infectada y sin las copias de seguridad adecuadas, puede llegar a pensar que el pago es, incluso, la única opción. Gracias a algunas organizaciones de ciberseguridad, puede haber otra salida.

Esta semana, Emsisoft ha puesto en marcha una página web dedicada al descifrado del ransomware. La página web ayuda a las víctimas a identificar qué variante del ransomware ha infectado su sistema y, a continuación, proporciona una herramienta para descrifrarlo que está disponible para su descarga gratuita. Emsisoft no es el único que proporciona estas herramientas.

El descifrado de ransomware es el juego del gato y el ratón. Estas utilidades normalmente explotan errores en el código de cifrado del ransomware para descodificar los archivos afectados. Cuando los atacantes resuelven estos errores y actualizan sus ransomware, las utilidades de descifrado ya no son eficaces. Debido a esto, no se debe confiar en las herramientas de descodificación de ransomware como la  única protección. Sin embargo, hay que considerarlas  como una opción de último recurso.

La mejor defensa contra el ransomware sigue teniendo  un triple enfoque: la prevención, la recuperación y la educación. Se  deben  tomar medidas para prevenir la infección inicial mediante la aplicación de un enfoque de seguridad multicapa. El escaneo antivirus de la red y la protección APT, junto con la protección del endpoint basada en el host, siguen siendo una necesidad. También se deben crear y testear las copias de seguridad con regularidad de forma offline para recuperarse de una infección ransomware. Es importante que estas copias de  seguridad estén offline para protegerlas contra el ransomware,  que localiza y codifica los archivos compartidos en red. Por último, se debe educar a los empleados sobre cómo detectar los intentos de phishing, que siguen siendo la vía de ataque más común para el ransomware. Si todas estas medidas fallan, de todas formas, aún puede tener la esperanza de utilizar una herramienta de descodificación.