La necesidad de contar con esos archivos juega en contra de los usuarios y los llevan a cometer el error de pagar por recuperar los datos que ha cifrado el ransomware. No hay que pagar por el ransom. Nunca. Ni aunque parezca que es el fin del mundo por haber perdido los archivos, esto no se debe hacer. Porque si lo haces, tal vez recuperas los archivos, pero el ataque ransomware volverá a pasar.
La eficacia de estos ataques es tremenda gracias a que se toman el tiempo para estudiar al blanco que será la víctima. Generalmente, se dirigen a grandes organizaciones en donde, con mucha facilidad podrían tener una rentabilidad de millones de dólares.
Las fases del ransomware
Ahora bien, ¿cómo se llevan a cabo estos ataques? A continuación, echaremos un vistazo a todas las fases de un ataque ransomware. En total, son ocho fases. Sin embargo, y para una mejor comprensión, las agruparemos y, por supuesto, citaremos lo que ocurre en cada fase a nivel cronológico.
Proceso inicial
Esta fase corresponde al puente entre el cibercriminal y la víctima. Generalmente, se valen de sitios web y mensajes de correo electrónico de tipo phishing. Sobre todo, se utilizan los correos electrónicos porque en general, el servicio de correo electrónico en sí cuenta con múltiples vulnerabilidades. Es prácticamente responsabilidad del cliente de correo electrónico implementar las medidas de seguridad adecuadas para que los usuarios eviten ser víctimas de phishing y en consecuencia, otros ataques.
Ejecución y escalada de privilegios
Una de las causas por las cuales los ataques de ransomware son muy efectivos, es que no acostumbran a utilizar herramientas maliciosas o especializadas para distribuir malware. Simplemente, se vale de aquellas que son populares entre los administradores de TI. Por lo que desde la fase de ejecución hasta la de escalada de privilegios no hay demasiados pasos que dar. Una vez que el atacante consigue tener permisos de administrador en el sistema de la víctima, se puede hacer lo que sea. A pesar de que muchos agujeros de seguridad ya cuentan con parches y ajustes que los resuelven, muchos administradores no dan la importancia necesaria a las actualizaciones de software. El atacante necesita sólo de unos pocos ordenadores que no están al día con las actualizaciones de seguridad y lo que venga después, se puede transformar muy fácilmente en ataques muy complejos.
Prestar atención a los logs de sistema
Si sabemos leer e interpretar a los logs, ya mucho habremos hecho a favor de la seguridad de nuestros sistemas y redes. Es importante saber hacerlo a razón de que los cibercriminales acostumbran a tomarse su tiempo para ejecutar los ataques. Evidencia de todo esto es justamente todas las fases que acostumbra a tener un eficaz ataque de ransomware. Existen ocasiones en que se manifiestan «sin previo aviso» pero, si nos tomamos el tiempo de analizar los logs, podríamos encontrarnos con varias sorpresas.
No ignorar ninguna de las alertas
No basta con implementar sistemas de tipo SIEM, por ejemplo, que nos ayuden a gestionar los distintos eventos que comprometerían la seguridad de nuestros sistemas. También debemos tener ojo permanente a qué tipo de alarmas se disparan, con qué frecuencia, a qué eventos se refieren y por supuesto, analizarlos con el objetivo principal de conocer la causa raíz del potencial agujero de seguridad. Muchas veces, como administrador de sistemas, redes o seguridad informática, estamos con tantos correos de alertas, reportes o lo que sea, que terminamos ignorando algunas o varias de ellas. No conviene ignorar nada pues, eso podría ser el puente para un potencial ataque ransomware que incluso podría comprometer la operación de la organización para la cual trabajas.
 100vw, 450px» alt=»» width=»450″ height=»300″ data-src=»https://www.redeszone.net/app/uploads-redeszone.net/2015/03/soluciones_siem_netwrix.png» data-srcset=»https://www.redeszone.net/app/uploads-redeszone.net/2015/03/soluciones_siem_netwrix.png 450w, https://www.redeszone.net/app/uploads-redeszone.net/2015/03/soluciones_siem_netwrix-300×200.png 300w, https://www.redeszone.net/app/uploads-redeszone.net/2015/03/soluciones_siem_netwrix-175×117.png 175w» /></p>
<p>Si no estamos en un entorno así, igualmente debemos percatarnos de las potenciales alertas. Evita abrir correos electrónicos sospechosos, especialmente el contenido de ellos. El ransomware acostumbra a estar embebido en archivos adjuntos, los cuales causan curiosidad a la mayoría que los recibe…aunque no haya esperado recibir ese correo. Es sólo cuestión de abrir el adjunto para que en pocos segundos, tus archivos estén indisponibles por el ransom.</p>
<h3>Mantener el software actualizado</h3>
<p>Esto se aplica tanto al software empresarial como para el de uso individual, el software actualizado es uno de los escudos de protección más eficaces contra los principales ataques informáticos. Así también, de acuerdo al software en cuestión, éste puede protegerte ante amenazas y/o vulnerabilidades <strong>de día cero</strong>, los cuales podrían desembocar en otros ataques aún más severos. En muchos casos, sólo toma unos minutos, entonces debes actualizar el software que utilizas siempre que exista una mejora o parche de seguridad disponible.</p>
<p>Fuente:<a href=)
https://www.redeszone.net/