Llegamos a ustedes gracias a:



Reportajes y análisis

4 razones para no pagar por un ataque ransomware

[11/04/2016] La extorsión en línea está aumentando, ya que los delincuentes utilizan una variedad de tipos de ataque, incluyendo exploit kits, archivos maliciosos, y enlaces en los mensajes de correo no deseado, para infectar los sistemas con ransomware (un tipo de programa malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción). Una vez que todos los archivos han sido cifrados, las víctimas pueden tratar de recuperar los archivos por su cuenta o pagar el rescate. Aunque ha habido algunas excepciones, las víctimas rara vez son capaces de romper el cifrado y restaurar el acceso. Más a menudo, la elusión exitosa de un ataque ransomware implica limpiar los sistemas afectados y restaurar rápidamente todo, a partir de las copias de seguridad limpias.

Si las organizaciones deben pagar o no por el rescate no es una decisión de seguridad -es una decisión de negocios. Pagar anima a los delincuentes a atacar nuevamente. No pagar significa pérdida de ingresos mientras se espera que TI recupere los archivos. Esta no es una elección fácil, pero siga leyendo para encontrar razones para no pagarlo.

1. Se convierte en un objetivo más grande

Como se suele decir: No le siga la cuerda -de lo contrario, van a seguir haciendo declaraciones provocadoras para obtener una reacción. El ransomware es un poco así; el pago de un rescate simplemente anima a los atacantes. Los criminales hablan; van a decirle a los demás quiénes pagaron el rescate y quiénes no. Una vez que se identifica una víctima por pagar, no hay nada que impida que otras personas compitan por un pedazo de la torta de ransom.

Otro peligro surge: Los mismos atacantes pueden volver. Si paga una vez, ¿por qué no lo hará la siguiente?

2. No se puede depender de los criminales

Confiar en que unos criminales van a mantener su palabra es una tarea arriesgada. Parece un simple intercambio -dinero por una clave de descifrado-; pero no hay forma de saber si esa pandilla de ransomware va a sostener su parte del trato. Muchas de las víctimas han pagado y fallado en volver a tener acceso a los archivos.

Esto afecta ambas partes: ¿Por qué pagar si no espera recuperar los datos? La reputación importa, incluso en el mundo de los criminales.

La banda CryptoWall es muy conocida por su excelente servicio al cliente, como dar a las víctimas extensiones de plazo para reunir el rescate, proporcionar información sobre cómo obtener bitcoins (el método preferido de pago), y descifrar rápidamente los archivos luego de pagar. Otras familias de malware, como TeslaCrypt, Reveton, y CTB-Locker, tienen reputaciones menos fiables. ¿Cuál puede ser realmente confiable? Pagar para averiguar no es la mejor estrategia.

3. El próximo rescate será mayor

Los extorsionistas normalmente no piden cantidades exorbitantes; el rescate promedio oscila entre 300 y mil dólares. Pero a medida que más organizaciones sucumben, los delincuentes se sienten cada vez más confiados como para elevar los precios. Es difícil poner un precio de mercado a los datos, si las víctimas realmente necesitan obtener sus archivos de vuelta.

Considere que el Hollywood Presbyterian Medical Center pagó 17 mil dólares para restaurar el acceso a su sistema de registros médicos electrónicos. Esa es una miseria en comparación a los potenciales 533.911 dólares en ingresos perdidos mientras que el departamento de TI del hospital trataba de recuperar los datos y los pacientes se iban a diferentes hospitales, basado en cálculos aproximados por Andrew Hay, CISO de DataGravity. Tal vez ahora sean 17 mil dólares, pero podrían exigir fácilmente 50 mil dólares la próxima semana, y ??así sucesivamente.

Es simple economía. El vendedor fija los precios en base a lo que el comprador está dispuesto a pagar. Si las víctimas se niegan a pagar, los atacantes no tienen ninguna justificación para aumentar las cantidades de rescate.

4. Alienta a los delincuentes

Adopte una visión a largo plazo. Pagar por un rescate restaura los datos de la organización, pero ese dinero, sin duda, será destinado para financiar actividades criminales. Los atacantes tendrán más dinero para gastar en el desarrollo de versiones más avanzadas de ransomware, y mecanismos de entrega más sofisticados. Muchas bandas de criminales cibernéticos operan como empresas legítimas, con múltiples flujos de ingresos y diferentes líneas de productos. El dinero de los proyectos de ransomware se puede utilizar para financiar otras campañas de ataque.

"Siempre hay algo de responsabilidad en lo que el dinero está financiando", señala William Noonan, agente especial adjunto de operaciones cibernéticas ??para el Servicio Secreto de EE.UU., en un evento de Verizon RISK Team durante la RSA Conference en San Francisco.

Pagar el rescate alimenta el problema.

Una razón para pagar

Cada uno de los argumentos anteriores son perfectamente válidos. Pero hay una razón atractiva por la que muchos terminan pagando: Necesitan sus archivos. No tienen otra opción.

Cuando el ransomware ataca todos los expedientes de los casos en un departamento de policía, no hay tiempo para esperar a que alguien trate de romper el cifrado y recuperar los archivos. Cuando las investigaciones activas están pendientes, la restauración desde copias de seguridad puede tomar mucho tiempo. Ponga a un lado lo que se debería y podría hacer -si la organización no tiene una estrategia de respaldo lo suficientemente sólida para restaurar los archivos (o las copias de seguridad fueron infectadas, también), un sermón sobre la importancia de la prevención es muy poco útil.

Muchas víctimas también optan por pagar por temor a que si no lo hacen, el atacante cause más daño por venganza.

Las organizaciones que deciden pagar no están solas. En un estudio reciente de BitDefender, la mitad de las víctimas de ransomware dijo que pagaron, y dos quintas partes de los encuestados dijeron que pagarían si alguna vez se encuentran en esa situación. Estimaciones de la industria sugieren que la banda CryptoWall ha extorsionado a víctimas y juntado más de 325 millones de dólares desde junio del 2014.

Una onza de prevención...

No se puede enfatizar lo suficiente que las copias de seguridad persistentes hacen posible que las organizaciones puedan recuperarse de una infección ransomware sin tener que pagar a los criminales. Una buena estrategia de respaldo incluye Linux, Mac OS X y Windows. Esto no es un problema solo para Windows, pues se ha encontrado ransomware en los tres sistemas operativos. Los dispositivos móviles no son inmunes tampoco. Piense de manera integral en todas las plataformas.

* Realice backups con regularidad, y mantenga una copia reciente offsite y offline. Realizar copias de seguridad de volúmenes compartidos no funciona si están montados localmente en la computadora -ransomware puede acceder a dichos archivos. Después de ejecutar una copia de seguridad, desconecte la unidad USB, de modo que ransomware no pueda infectar el dispositivo de almacenamiento. Pruebe el backup con regularidad, para asegurarse de que los archivos están guardados correctamente. Inmediatamente después de una infección ransomware no es el momento para descubrir que los archivos críticos no estaban siendo almacenados, o que los puestos de trabajo no se iniciaron de manera oportuna.

* Muchos de los ataques ransomware se basan en archivos adjuntos de correo electrónico maliciosos o enlaces en los mails de spam. Asegúrese de que todos, desde los empleados comunes y corrientes y el personal de TI hasta los altos ejecutivos, conozcan los conceptos básicos: No haga clic en enlaces sin examinar el correo electrónico para asegurarse de que sea legítimo; verifique el mensaje antes de abrir un archivo adjunto; y si el documento pide habilitar las macros, no lo haga. Podría ser una buena idea instalar visores de Microsoft Office para que los archivos puedan ser examinados sin necesidad de abrirlos en Word o Excel -lo que hace que sea más complicado, para el código malicioso, atacar.

* Mantenga todo el software actualizado. Muchos exploit kits se basan en vulnerabilidades sin parches en aplicaciones populares como Microsoft Office, Internet Explorer y Adobe Flash. Consiga esas actualizaciones tan pronto como sea posible, y haga más difícil para los atacantes infectar su equipo con ransomware como parte de un ataque por descargas desde unidades.

Una libra de cura

No pagar el rescate es la mejor opción, pero las organizaciones no deben avergonzarse si ceden ante las demandas de los atacantes. Es una pregunta complicada, y cada organización debe elegir lo más apropiado para su situación. Pero habiendo pagado, tome precauciones para que, si otra infección ransomware ataca, no pagar en absoluto se convierta en una decisión más fácil de tomar.

La prevención vale la pena.