Talk to sales

Ask a member of our sales team about our products or services:

El ransomware es un negocio serio

Averigüe la forma en que funciona el ransomware y cómo protegerse de él

Descripción general

El ransomware es un tipo de software malintencionado que bloquea el acceso a un sistema o a datos informáticos, normalmente mediante el cifrado, hasta que la víctima paga una suma al atacante. En muchos casos, la exigencia del rescate viene con una fecha límite: si la víctima no paga a tiempo, los datos se borran de forma permanente.

Material de consulta sobre ransomware

Ransomware Locky

A principios de este año, los investigadores de Proofpoint descubrieron el ransomware Locky. Lo más notable es que los mismos actores que estaban detrás de las más grandes campañas de Dridex también estaban involucrados en la distribución de Locky, y lo hacían a una escala que antes solo relacionábamos con el troyano bancario Dridex.  También hemos observado que los actores que hay detrás de esas campañas varían sus estrategias de entrega con el fin de evadir las defensas de seguridad. Por ejemplo, hemos visto que:

  • Ofuscación de JavaScript cada vez más compleja
  • Archivos basura adicionales para ayudar a evadir la detección
  • Encabezados de “Content­Type” desfigurados que ayudan a evitar la detección
  • TUso de RAR en lugar de la compresión Zip de JavaScript

Vea el video de demostración de Locky

Cómo funciona el ransomware y cómo protegerse de él

El ransomware es un tipo de software malintencionado que bloquea el acceso a un sistema o a datos informáticos, normalmente mediante el cifrado, hasta que la víctima paga una suma al atacante. En muchos casos, la exigencia del rescate viene con una fecha límite: si la víctima no paga a tiempo, los datos se borran de forma permanente.

 

ransomware-incopy.png

Figura 1: Notificación en pantalla de ransomware

Si bien en un principio solo se concentraba en computadoras personales, el ransomware de cifrado apunta cada vez más hacia los usuarios empresariales, ya que estos a menudo pagan más que las personas individuales para desbloquear sistemas críticos y reanudar las operaciones diarias.

Enterprise ransomware infections usually start with a malicious email. An unsuspecting user opens an attachment or clicks on a URL of a website that is malicious or has been compromised.

Las infecciones de ransomware empresarial normalmente empiezan con un mensaje de correo electrónico malintencionado. Los usuarios confiados abren un archivo adjunto o hacen clic en una dirección URL de un sitio web que es malintencionado o que está contaminado.

Antes de que se infecte

  • Proteja su correo electrónico. El phishing y el spam por correo electrónico son las principales formas de distribución de ransomware.  Las puertas de enlace de seguridad con protección contra ataques dirigidos son cruciales para detectar y bloquear mensajes malintencionados que entregan ransomware. Esas soluciones protegen contra archivos adjuntos, documentos malintencionados y direcciones URL que vienen en mensajes entregados en las computadoras de usuarios.
  • Proteja sus dispositivos móviles. Si se usan junto con herramientas de administración de dispositivos móviles (MDM), los productos de protección contra ataques de ese tipo pueden analizar las aplicaciones que haya en los dispositivos de sus usuarios y alertarlos de inmediato, tanto a ellos como al departamento de TI, en cuanto a cualquier aplicación que pudiera poner en riesgo su entorno.
  • Proteja su navegación por la internet. Las puertas de enlace de seguridad pueden escanear el tráfico de navegación por internet de los usuarios que los lleve a actividades inusuales de acceso de archivos, tráfico C&C de red y cargas de CPU, posiblemente a tiempo para bloquear el ransomware antes de que se active. El hecho de conservar una copia de imagen total de los sistemas principales puede reducir el riesgo de que una máquina se bloquee o se cifre, lo cual causaría un enorme cuello de botella en las operaciones.

Si ya se ha infectado

  • Llame a las autoridades federales y locales. Así como llamaría a las autoridades federales en caso de un secuestro, también debe llamar a esas mismas autoridades con los casos de ransomware. Los técnicos forenses pueden examinar sus sistemas a fin de asegurarse de que no se encuentren bajo ningún otro tipo de riesgo, recolectar información para que usted quede mejor protegido en lo sucesivo y tratar de buscar a los atacantes.