¿Qué es el ransomware?
El ransomware es un tipo de software malicioso (malware) diseñado para bloquear el acceso a un sistema informático o a sus datos, normalmente cifrándolos, hasta que se pague un rescate. Por lo general, se propaga a través de correos electrónicos de phishing, enlaces maliciosos, tácticas de ingeniería social o vulnerabilidades de explotación. Una vez que se activa el ransomware, el atacante exigirá un pago a cambio de una clave de descifrado o acceso al sistema. Este tipo de ataque suele tener una motivación financiera, ya que los atacantes pueden ganar grandes cantidades de dinero de víctimas desprevenidas.
El objetivo del atacante será propagar el malware en tantos sistemas como sea posible antes de bloquear el acceso para maximizar la presión sobre la víctima para que pague el rescate, es posible que la empresa no pueda continuar funcionando correctamente durante este tiempo y también puede ser amenazar con la divulgación de datos confidenciales.
Las consecuencias pueden ser de gran alcance, ya que no solo afectan a la organización afectada, sino también a sus clientes, como pudimos ver con el ataque a Royal Mail en el Reino Unido que dejó a los clientes incapaces de cumplir con los pedidos internacionales o la reciente ola de ataques a la infraestructura sin parches.
¿Cuáles son los pasos de un ataque de ransomware?
Esto dependerá del nivel de sofisticación; el proceso tiende a estar automatizado en la mayoría de los casos, pero en algunos, al dirigirse a grandes organizaciones, los grupos criminales pueden pasar más tiempo preparándose para asegurarse de que pueden obligar a la organización a pagar con éxito.
Acceder
Un ataque de ransomware generalmente comienza cuando el atacante obtiene acceso a la computadora o red de la víctima a través de métodos como correos electrónicos de phishing, descargas de software infectado o explotación de vulnerabilidades a través de la red.
Desparramar
Una vez que el atacante tiene acceso a un sistema en la red interna, intentará propagar el malware. Para ataques simples, la propagación dependerá de la sofisticación del malware y esto ocurrirá automáticamente, para ataques más dirigidos, el malware llamará a casa y permitirá que el atacante busque formas de propagarse más y tomar el control de más sistemas.
Sal a la superficie y toma como rehén
Una vez que el algoritmo lo considere apropiado en caso de un ataque automatizado o por parte de la organización criminal, se iniciará el bloqueo de los sistemas y el cifrado de datos, en la mayoría de los casos se mostrará un mensaje en algunas de las computadoras de la víctima, exigiendo el pago de un rescate a cambio. para restaurar el acceso a los datos y/o sistemas.
El pago del rescate generalmente se realiza en forma de criptomoneda, como Bitcoin, Monero, etc., ya que permite el anonimato y es difícil de rastrear. Los atacantes también pueden proporcionar una fecha límite para realizar el pago y amenazar con eliminar o liberar los datos y archivos cifrados si no se paga el rescate, esta fecha límite se establece para limitar el tiempo de reacción con el fin de obligar a la víctima a tomar la opción de pago.
¿Los servidores Linux son vulnerables a los ataques de Ransomware?
Los servidores Linux no son inmunes a los ataques de ransomware, pero generalmente se consideran menos vulnerables. Esto se debe a que los servidores Linux suelen tener menos vulnerabilidades y no suelen ser el objetivo de los atacantes.
Además, los servidores Linux suelen tener características de seguridad integradas, como AppArmor y SELinux , que pueden ayudar a evitar que el malware se ejecute y se propague.
Sin embargo, es importante tener en cuenta que los servidores Linux aún pueden ser vulnerables a los ataques si no están configurados correctamente o si ejecutan un software obsoleto.
Cualquier ataque a la cadena de suministro de la/s distribución/es de Linux en uso puede llevar a que el software infectado se distribuya a través de los sistemas.
¿Los entornos de contenedores también son vulnerables?
El ransomware se puede implementar en una imagen de contenedor o en un entorno de contenedor como cualquier otra aplicación, y los datos también se pueden cifrar o robar. Además, el ransomware puede propagar el host subyacente que se ejecuta en Linux y, aunque los contenedores administrados por las distribuciones de Kubernetes complican la propagación del ransomware, también pueden complicar la resolución y el análisis forense necesarios.
¿Qué hacer?
Es importante tener en cuenta que pagar el rescate no garantiza que se restaurarán los datos y el acceso a los sistemas de la víctima o que no se filtren datos confidenciales.
De hecho, es posible que algunos atacantes ni siquiera proporcionen la clave o que exijan pagos adicionales.
Además, pagar el rescate también alienta a los atacantes a continuar con sus actividades maliciosas.
Además, la vulnerabilidad sigue ahí, otro grupo criminal puede explotarla nuevamente.
Lo mejor es prevenir , esto se puede hacer adoptando prácticas operativas y de seguridad saludables como:
Mantenga todo el software y los sistemas operativos actualizados .
Para los sistemas de escritorio, use software antivirus y antimalware .
Escanee regularmente en busca de vulnerabilidades y cumplimiento de seguridad , la clave aquí es hacerlo regularmente y la
mejor manera es automatizarlo para que no se convierta en una molestia y pueda incorporarse como parte del proceso de implementación.
Asegúrese de que la cadena de suministro de software esté debidamente asegurada . Desde la perspectiva de un atacante, atacar la cadena de suministro puede ser la forma más fácil de llegar a la mayoría, si no a todos, los sistemas de una organización.
Implementar medidas proactivas y adoptar políticas Zero-Trust . Esto se aplica tanto a los contenedores como a los entornos tradicionales.
Adopte las mejores prácticas para la validación de contraseñas, como evitar palabras comunes y usar oraciones largas que sean más fáciles de recordar para los humanos pero difíciles de descifrar para las máquinas.
Instruya a sus empleados sobre los principios básicos de seguridad, para que desconfíen de los correos electrónicos sospechosos, cómo identificar enlaces sospechosos y la gestión de datos para evitar que los datos críticos se almacenen en lugares de los que no se realizará una copia de seguridad.
Realice copias de seguridad periódicas y almacene siempre una copia de seguridad en frío en una ubicación física separada sin acceso a la red . Asegúrese siempre de que los procedimientos de restauración se prueben periódicamente.
Automatice la implementación de su infraestructura , para que pueda restaurar rápidamente sus sistemas, el tiempo es dinero.
Tenga un plan de recuperación ante desastres y asegúrese de que se pruebe periódicamente.
Conclusiones
Los ataques de ransomware pueden ser extremadamente dañinos y muy complejos de abordar con un marco de tiempo de acción muy limitado. La mejor manera de enfrentarlos es evitándolos en primer lugar utilizando mecanismos para prevenir y mitigar su impacto.
SUSE tiene un historial ayudando a sus clientes a defenderse de estos ataques .
En las siguientes partes de esta serie se explicará con más detalle algunos de los métodos enumerados para prevenirlos.
Para otros artículos de esta serie, visite: