Servicio Antiransomware

El ransomware es una extorsión que se realiza a través de un malware que se introduce en los equipos de las empresas: ordenadores, portátiles y dispositivos móviles.

Este software malicioso «secuestra» la información de la empresa, impidiendo el acceso a la misma generalmente cifrándola, y solicitando un rescate (en inglés ransom) a cambio de su liberación.

En las empresas causa pérdidas temporales o permanentes de información, interrumpe la actividad normal, ocasiona pérdidas económicas y daños de reputación.

Este tipo de ataque está creciendo de forma exponencial debido a que es muy rentable para los delincuentes:

  • cada vez hay más dispositivos «secuestrables»
  • es más fácil «secuestrar» la información debido a los avances de la criptografía
  • los ciberdelincuentes pueden ocultar su actividad para lanzar ataques masivos
  • al utilizar sistemas de pago anónimo internacionales es más difícil el seguimiento del delito

¿Cómo detectarlo?

El ransomware se manifiesta cuando el daño ya está hecho, es decir, cuando la información ha sido bloqueada. Se muestra un mensaje en la pantalla advirtiéndonos de este hecho y pidiéndonos el rescate para su liberación. El mensaje puede incluir amenazas de destrucción total de la información si no pagamos, y apremiarnos a realizar el pago de manera urgente.

Estos son algunos mensajes de los últimos ransomware detectados:

Puedes ver más ejemplos de este tipo en nuestra sección de Casos y ejemplos.

¿Cómo actuar si me afecta?

Si tu empresa se ha visto afectada por un ransomware, lo más importante es:

¿Por qué no has de pagar el rescate?

  • Pagar no te garantiza que volverás a tener acceso a los datos, recuerda que se trata de delincuentes.
  • Si pagas es posible que seas objeto de ataques posteriores pues, ya saben que estás dispuesto a pagar.
  • Puede que te soliciten una cifra mayor una vez hayas pagado.
  • Pagar fomenta el negocio de los ciberdelincuentes.

¿Necesitas ayuda?

Contacta con el centro de respuesta a incidentes, CERTSI. Te ayudaremos a mitigar los efectos del incidente y te indicaremos cómo actuar. Disponemos de un servicio de análisis y descifrado de ficheros afectados por algunos tipos de ransomware en determinadas condiciones.

  • Para poder identificar el tipo de ransomware y si los datos son recuperables, puedes utilizar la dirección de correo
  • Para reportar un incidente adjunta:
    • dos o tres ficheros cifrados con extensión original .doc o .xls y un tamaño superior a 1 MB
    • el fichero en el que se indica cómo realizar el pago para recuperar la información, normalmente es un fichero .txt o .html.

De esta manera podremos darte una repuesta mucho más ágil. Si desconoces como hacerlo, no te preocupes, podemos darte algunas pautas.

Debido a que la prestación de este servicio de análisis y descifrado se realiza en colaboración con una entidad externa a INCIBE, y a pesar de tener acuerdo de confidencialidad con la misma, es recomendable que los ficheros que nos envíe no contengan información privada o confidencial, ya que serán compartidos con la citada entidad para su análisis.

También puedes denunciar el incidente para que se investigue el origen del delito así también podrás colaborar a que se pueda mitigar este ataque a otras empresas y capturar al ciberdelincuente:

¿Cómo recupero mi actividad y mis datos?

Sigue estos pasos:

  • Desconecta inmediatamente los equipos infectados de la red, desconectando el cable de red o el acceso a la red wifi. Esto evitará que el problema se expanda al resto de equipos o servicios compartidos. 
  • Si fuera posible, cambia todas las contraseñas de red y de cuentas online desde un equipo seguro. Después de eliminar el ransomware tendrás que volver a cambiarlas.
  • Ponte en contacto con tu técnico o servicio informático especializado para que aplique las medidas necesarias que te permitan recuperar la actividad lo antes posible y desinfectar el equipo. Si no conoces ningún servicio, puedes consultar nuestro catálogo de empresas y soluciones de ciberseguridad.

Algunas las medidas a realizar por el servicio técnico son:

  • Recoger y aislar muestras de ficheros cifrados o del propio ransomware como el fichero adjunto en el mensaje desde el que nos infectamos, por ejemplo. Esta es la información que tendrás que enviar al CERTSI o si haces una denuncia.
  • Clonar los discos duros de los equipos infectados, es decir hacer una copia «exacta» de la información del disco duro en otro soporte, pues puede servir de evidencia si vamos a denunciar. Esta copia también servirá para recuperar la información en el futuro, en caso de que no exista de momento forma de descifrarlos.
  • Desinfectar los equipos con algún antivirus auto-arrancable actualizado. Consulta con el CERTSI dónde te informarán de la mejor forma de hacerlo en cada caso.
  • Recuperar los archivos cifrados si fuera posible. Recuerda que puedes contar con el CERTSI dónde recibirás ayuda. No siempre será posible recuperarlos inmediatamente, aunque a menudo con el tiempo se descubre la forma de hacerlo, por eso debes conservar una copia de los archivos cifrados.
  • Restaurar los equipos para continuar con la actividad, reinstalando el equipo con el software original y restaurando la información de la última copia de seguridad realizada.

¿Cómo evitarlo?

Para protegerse ante el ransomware es necesario adoptar una serie de buenas prácticas dirigidas a:

  • Entrenarse para no caer víctimas de las técnicas de ingeniería social con el kit de concienciación.
  • Configurar y mantener los sistemas para que no tengan agujeros de seguridad.
  • Adoptar un buen diseño de nuestra red para no exponer servicios internos al exterior, de manera que sea más difícil  para el ciberdelincuente infectarnos.
  • Contar con procedimientos para: tener actualizado todo el software, hacer copias de seguridad periódicas, controlar los accesos, restringir el uso de aplicaciones o equipos no permitidos, actuar en caso de incidente, etc.
  • Vigilar y las auditar para mantenernos alerta ante cualquier sospecha.

Estas son las medidas que has de adoptar:

  • Haz copias de seguridad periódicas y comprueba que funcionan.
  • Proporciona a tus empleados medios para navegar seguros cifrando las comunicaciones y actualizando los navegadores.
  • Actualiza tus sistemas de manera automatizada y centralizada.
  • Utiliza el criterio de «mínimos privilegios» en los mecanismos de control de acceso.
  • Diseña tu red y los servicios que ofrezcas para seguir los principios de «mínima exposición» con herramientas de control perimetral como cortafuegos y detectores de intrusiones.
  • Configura el correo electrónico con filtros antispam y  autenticación de correos entrantes.
  • Pon en marcha un «plan de respuesta ante incidentes» para estar preparado en caso de que ocurra.
  • Audita, revisa los logs de los sistemas y escanea con frecuencia.

Casos y ejemplos

Estos son algunos ejemplos de ransomware:

AVISOS:

Casos reales:

Infografías y videos: