Servicio AntiRansomware

El ransomware es una extorsión que se realiza a través de un malware que se introduce en los equipos de las empresas: ordenadores, portátiles y dispositivos móviles. Si quieres conocer más sobre este fenómeno consulta Ransomware: una guía de aproximación para el empresario

Este software malicioso «secuestra» la información de la empresa, impidiendo el acceso a la misma generalmente cifrándola, y solicitando un rescate (en inglés ransom) a cambio de su liberación.

En las empresas causa pérdidas temporales o permanentes de información, interrumpe la actividad normal, ocasiona pérdidas económicas y daños de reputación.

Este tipo de ataque está creciendo de forma exponencial debido a que es muy rentable para los delincuentes:

  • cada vez hay más dispositivos «secuestrables»
  • es más fácil «secuestrar» la información debido a los avances de la criptografía
  • los ciberdelincuentes pueden ocultar su actividad para lanzar ataques masivos
  • al utilizar sistemas de pago anónimo internacionales es más difícil el seguimiento del delito

Así se manifiesta:

El ransomware se manifiesta cuando el daño ya está hecho, es decir, cuando la información ha sido bloqueada. Se muestra un mensaje en la pantalla advirtiéndonos de este hecho y pidiéndonos el rescate para su liberación. El mensaje puede incluir amenazas de destrucción total de la información si no pagamos, y apremiarnos a realizar el pago de manera urgente.

Estos son algunos mensajes de los últimos ransomware detectados:

ransomware

ransomware2

Ejemplos de ransomware:

Avisos:

Casos reales:

¿Tienes un ransomware?

Si tu empresa se ha visto afectada por un ransomware, lo más importante es:

¿Por qué no has de pagar el rescate?

  • Pagar no te garantiza que volverás a tener acceso a los datos, recuerda que se trata de delincuentes.
  • Si pagas es posible que seas objeto de ataques posteriores pues, ya saben que estás dispuesto a pagar.
  • Puede que te soliciten una cifra mayor una vez hayas pagado.
  • Pagar fomenta el negocio de los ciberdelincuentes.

¿Qué tengo que hacer?

Contacta con nuestro centro de respuesta a incidentes, CERTSI. Te ayudaremos a mitigar los efectos del incidente y te indicaremos cómo actuar. Disponemos de un servicio de análisis y descifrado de ficheros afectados por algunos tipos de ransomware en determinadas condiciones.

  • Para poder identificar el tipo de ransomware y si los datos son recuperables, puedes utilizar la dirección de correo
  • Para reportar un incidente adjunta:
    • dos o tres ficheros cifrados con extensión original .doc o .xls y un tamaño superior a 1 MB
    • el fichero en el que se indica cómo realizar el pago para recuperar la información, normalmente es un fichero .txt o .html.

De esta manera podremos darte una repuesta mucho más ágil. Si desconoces como hacerlo, no te preocupes, podemos darte algunas pautas.

Debido a que la prestación de este servicio de análisis y descifrado se realiza en colaboración con una entidad externa a INCIBE, y a pesar de tener acuerdo de confidencialidad con la misma, es recomendable que los ficheros que nos envíe no contengan información privada o confidencial, ya que serán compartidos con la citada entidad para su análisis.

También puedes denunciar el incidente para que se investigue el origen del delito así también podrás colaborar a que se pueda mitigar este ataque a otras empresas y capturar al ciberdelincuente:

Sigue estos pasos:

  • Desconecta inmediatamente los equipos infectados de la red, desconectando el cable de red o el acceso a la red wifi. Esto evitará que el problema se expanda al resto de equipos o servicios compartidos. 
  • Si fuera posible, cambia todas las contraseñas de red y de cuentas online desde un equipo seguro. Después de eliminar el ransomware tendrás que volver a cambiarlas.
  • Ponte en contacto con tu técnico o servicio informático especializado para que aplique las medidas necesarias que te permitan recuperar la actividad lo antes posible y desinfectar el equipo. Si no conoces ningún servicio, puedes consultar nuestro catálogo de empresas y soluciones de ciberseguridad.

Algunas las medidas a realizar por el servicio técnico son:

  • Recoger y aislar muestras de ficheros cifrados o del propio ransomware como el fichero adjunto en el mensaje desde el que nos infectamos, por ejemplo. Esta es la información que tendrás que enviar al CERTSI o si haces una denuncia.
  • Clonar los discos duros de los equipos infectados, es decir hacer una copia «exacta» de la información del disco duro en otro soporte, pues puede servir de evidencia si vamos a denunciar. Esta copia también servirá para recuperar la información en el futuro, en caso de que no exista de momento forma de descifrarlos.
  • Desinfectar los equipos con algún antivirus auto-arrancable actualizado. Consulta con el CERTSI dónde te informarán de la mejor forma de hacerlo en cada caso.
  • Recuperar los archivos cifrados si fuera posible. Recuerda que puedes contar con el CERTSI dónde recibirás ayuda. No siempre será posible recuperarlos inmediatamente, aunque a menudo con el tiempo se descubre la forma de hacerlo, por eso debes conservar una copia de los archivos cifrados.
  • Restaurar los equipos para continuar con la actividad, reinstalando el equipo con el software original y restaurando la información de la última copia de seguridad realizada.

Sigue estas buenas prácticas para:

  • Entrenarte para no caer víctima de las técnicas de ingeniería social con el kit de concienciación.
  • Configurar y mantener los sistemas para que no tengan agujeros de seguridad.
  • Adoptar un buen diseño de nuestra red para no exponer servicios internos al exterior, de manera que sea más difícil  para el ciberdelincuente infectarnos.
  • Contar con procedimientos para: tener actualizado todo el software, hacer copias de seguridad periódicas, controlar los accesos, restringir el uso de aplicaciones o equipos no permitidos, actuar en caso de incidente, etc.
  • Vigilar y las auditar para mantenernos alerta ante cualquier sospecha.

Adopta estas medidas:

  • Haz copias de seguridad periódicas y comprueba que funcionan.
  • Proporciona a tus empleados medios para navegar seguros cifrando las comunicaciones y actualizando los navegadores.
  • Actualiza tus sistemas de manera automatizada y centralizada.
  • Utiliza el criterio de «mínimos privilegios» en los mecanismos de control de acceso.
  • Diseña tu red y los servicios que ofrezcas para seguir los principios de «mínima exposición» con herramientas de control perimetral como cortafuegos y detectores de intrusiones.
  • Configura el correo electrónico con filtros antispam y  autenticación de correos entrantes.
  • Pon en marcha un «plan de respuesta ante incidentes» para estar preparado en caso de que ocurra.
  • Audita, revisa los logs de los sistemas y escanea con frecuencia.

Infografías y videos:

Guía: