RANSOMWARE
Un RANSOWMARE es un malware que niega el acceso del usuario legítimo a sus propios archivos y dispositivos, cifrándolos mediante algoritmos avanzados y pidiendo un rescate (pago) para desbloquearlos.
Vectores de ataque
El ransomware es el ataque de malware más presente en la actualidad. Según las autoridades (Interpol, Europol, varios CERTS) hay más de 4500 nuevos ataques de ransomware cada día, pero todos coinciden en algunos vectores de infección:
Mensaje no solicitado que conduce a Drive-by Downloads de malware a través de URLs maliciosas
Este vector de ataque, muy similar a los ataques de phishing, utiliza la ingeniería social con el objetivo de engañar al usuario para que pulse sobre URLs maliciosas contenidas en el mensaje, lo que lleva a la descarga de componentes de ransomware.
La técnica de ingeniería social del mensaje es muy importante y variada:
Mensajes procedentes de redes sociales que pretenden validar su cuenta, o que le invitan a ver una nueva publicación o una nueva foto. Las redes más utilizadas son Facebook y LinkedIn, pero también plataformas de citas y socialización como Snapchat, Match, OkCupid, EliteSingles, GetItOn, Passion.com o FriendFinderX.
Mensajes que simulan provenir de mujeres atractivas de los alrededores, o de Rusia, China, Japón, etc. que buscan una relación sentimental e invitan a ver su perfil o sus fotos.
Mensajes que provienen aparentemente de cadenas comerciales, e-tailers o plataformas de ofertas y descuentos especiales, pretendiendo ofrecer una oferta especial por tiempo limitado, o un stock limitado.
Mensajes procedentes de su banco o de otro banco conocido en los que se afirma que quieren validar su cuenta, o que ha recibido una transferencia de dinero, o que se han realizado algunas operaciones inusuales desde su cuenta.
Mensaje no solicitado con archivos adjuntos infectados
Los mensajes con archivos adjuntos infectados son muy diversos en cuanto a formato o extensión de los archivos adjuntos. El componente de ingeniería social, cuyo objetivo es engañarle para que ejecute el archivo adjunto, es el más importante también en este caso:
Hay mensajes que simulan proceder de las autoridades fiscales y le piden que confirme una solicitud de impuestos, o que consulte las deducciones fiscales a las que tiene derecho, o que le informen sobre la devolución de impuestos.
Otras veces el archivo adjunto afirma ser una transcripción de un mensaje de voz que has recibido en WhatsApp, o un fax online.
Algunos otros mensajes pretenden ser facturas de pedidos que supuestamente ha realizado en plataformas de compra conocidas como Amazon, Google PlayStore y Apple iTunes, o en comercios locales.
Descargas de malware desde sitios web que contienen objetos web infectados
Los objetos infectados son scripts Java modificados, ActiveX, plugins de descarga e instalación, etc. En este caso el usuario tiene poca interacción, los atacantes se aprovechan de la ingenuidad del usuario pero también de las vulnerabilidades de varias aplicaciones que utilizamos a diario: navegadores, máquina Java, Adobe Flash Player o Reader, etc.
En el caso de que se necesite la interacción del usuario, normalmente hay una página web que informa de que es necesario instalar una extensión o complemento del navegador, o que hay un software que se necesita para visualizar algún contenido activo y que no existe. En algunos casos, el ataque es tan avanzado que el ejecutable tiene un nombre muy similar y acaba siendo firmado con un certificado falso o caducado, o incluso con un certificado válido.
Trucos y consejos de prevención
Los objetos infectados son scripts Java modificados, ActiveX, plugins de descarga e instalación, etc. En este caso el usuario tiene poca interacción, los atacantes se aprovechan de la ingenuidad del usuario pero también de las vulnerabilidades de varias aplicaciones que utilizamos a diario: navegadores, máquina Java, Adobe Flash Player o Reader, etc.
En el caso de que se necesite la interacción del usuario, normalmente hay una página web que informa de que es necesario instalar una extensión o complemento del navegador, o que hay un software que se necesita para visualizar algún contenido activo y que no existe. En algunos casos, el ataque es tan avanzado que el ejecutable tiene un nombre muy parecido y acaba siendo firmado con un certificado falso o caducado, o incluso con un certificado válido.:
Trate con precaución los mensajes no solicitados y, como regla general, no los abra a menos que esté absolutamente seguro de que son legítimos.
Si el mensaje contiene un archivo adjunto y procede de una fuente no solicitada o no fiable, ¡no lo ejecute! Normalmente, las autoridades no envían mensajes con archivos adjuntos. Las fotos, tarjetas electrónicas o facturas pueden consultarse en línea, desde los respectivos sitios web a los que puede acceder eventualmente tecleando la dirección en el navegador, y no pulsando en las URL. Y, si realmente quiere abrir un archivo adjunto, escanéelo previamente con una solución antivirus reputada y actualizada.
Cuando recibe ofertas especiales de los comercios, valídelas en el navegador entrando manualmente en la cuenta y comprobando si son reales.
Mantenga su navegador y sus extensiones y complementos permanentemente actualizados desde sus respectivas fuentes oficiales. Por favor, no confíe en todos los mensajes que le piden que descargue complementos y otros ejecutables y nunca utilice la opción EJECUTAR, mejor descargue y analice el archivo en su lugar. Si una página le indica que debe instalar un complemento o una extensión del navegador, intente obtener el archivo original de su proveedor oficial, compruebe si está firmado y el certificado es válido.
Cuando lleguen mensajes que contengan URLs, siempre se puede comprobar la estructura de la URL y la dirección real de Internet al pasar el ratón por encima. Tenga cuidado, ya que los atacantes utilizan nombres muy similares o le engañan utilizando números (por ejemplo: Cit1Bank, o Micros0ft, o Gogle/Gooogle, o Aple, o 1NG Bank). También hay que tener cuidado con la estructura de la URL – por ejemplo, mientras que https://authentication.mybank.com es un subdominio de MyBank, una construcción como https://authenticationservice.com/MyBank/ es un subdominio de authenticationservice.com.
Si se reciben mensajes no solicitados que simulan proceder de las redes sociales y que informan de una nueva publicación de una foto, se puede acceder a las respectivas redes sociales utilizando sus aplicaciones móviles o tecleando manualmente la dirección de las mismas en el navegador y entrando de ese modo, evitando pulsar en las URL de los mensajes.
Todos los mensajes procedentes de su banco u otros servicios financieros deben ser tratados con especial atención. Por favor, utilice lo más posible el acceso manual en una sesión segura del navegador, en lugar de pulsar en las URL o comprobar los archivos adjuntos del correo electrónico.
No hay ningún motivo para retrasar la formación de sus empleados
Obtenga un presupuesto basado en las necesidades de su organización y empiece a crear una sólida infraestructura de ciberseguridad hoy mismo.
