El ransomware puede ser una pesadilla, pero nadie puede acusar a los cibercriminales detrás de estos ataques de tener un pésimo servicio al cliente.
Siempre es fácil comunicarse con ellos, sólo hay que enviar un correo electrónico a la dirección que aparece en pantalla. Y si bien es cierto que no ofrecen muchas opciones de pago, la que sí ofrecen, Bitcoin, es rápida y fiable para realizar transacciones.
Lo mejor de todo es que, según el estudio mundial “The State of Ransomware 2020”, realizado a principios de este año por encargo de Sophos, las organizaciones que deciden pagar para recuperar sus datos lo hacen de forma eficiente en un 94% de los casos.
¿Cuál es la trampa? Sólo un mayor gasto a largo plazo, una gran interrupción del negocio, la posibilidad de una supervisión regulatoria continua durante años, y el pequeño asunto de la humillación pública y la pérdida de negocios en caso de que un ataque salga a la luz (lo que cada vez ocurre más gracias a los atacantes).
En la investigación se interrogó a 5.000 directores de TI de 26 países (500 de los Estados Unidos y 200 del Reino Unido) en una amplia gama de sectores y tamaños de empresas de entre 100 y 5.000 empleados.
Se trata de un tamaño de muestra considerable, cuyos resultados subrayan uno de los hechos más interesantes sobre el ransomware que puede no aparecer en los titulares: ahora afecta a cualquiera, en cualquier lugar.
No parece importar el tamaño de una organización, ni el sector o país al que se mire. El ransomware es omnipresente, ya que la mitad de las organizaciones de la investigación han sufrido un ataque durante el año 2019, tres cuartas partes de las cuales acabaron con sus datos cifrados.
Irónicamente, esto es a pesar de que las organizaciones refuerzan la seguridad para reducir los ataques triviales.
¿Cómo respondió el ransomware? Pasando más tiempo apuntando a las empresas investigando las debilidades menos obvias, buscando explotar varias al mismo tiempo.
En general, la investigación encontró que aunque una descarga o enlace de archivo malicioso seguía siendo el mayor peligro (29% de los ataques exitosos), otros métodos como los ataques remotos a servidores (21%), el Protocolo de Escritorio Remoto no seguro (9%), los proveedores externos (9%) y las unidades USB infectadas (7%) también eran populares.
Los repositorios y aplicaciones de la nube son otro gran objetivo, y el 59% de los atacados con éxito mencionaron que los datos de la nube eran objeto de algún tipo de ataque.
Sólo una de cada cuatro víctimas decide pagar el rescate, lo que en la mayoría de los casos lo hace una compañía de ciberseguros en lugar de la víctima. Sin embargo, sólo alrededor de dos tercios de las víctimas de EEUU pueden reclamar al seguro, con un 20% de las organizaciones que pagan por la cobertura que terminan siendo incapaces de activar.
No pague rescates
Es importante destacar que la investigación encontró que pagar los rescates cuesta más que reinstalar los datos usando copias de seguridad.
Algunos podrían dudar de ello (se suele decir que el tiempo de inactividad es la parte más costosa de un ataque ransomware) pero la razón es simplemente que el costo de la recuperación siempre es alto, con un promedio de 732.000 dólares. Pagar un rescate por encima de esa cifra simplemente duplica la factura.
Por esto los ataques ransomware casi siempre devuelven las claves de cifrado cuando se pagan. Cualquier duda en la mente de las víctimas destruiría rápidamente todo el negocio de la extorsión, ya que las empresas se han esforzado por hacer el trabajo duro por sí mismas.
La ansiedad por esto podría explicar por qué más y ataques de ransomware han comenzado recientemente a amenazar con filtrar datos confidenciales robados durante el ataque como un motivo extra por el que pagar.
Qué hacer
Lejos de ser un consejo que surge de la desesperación, está claro que las organizaciones pueden limitar el efecto de los ataques de rescate asumiendo que un ataque es inevitable y planificándolo.
Nuestros consejos:
- Haz y comprueba un plan de backup, incluyendo el almacenamiento de datos offsite donde los atacantes no puedan localizarlos.
- Si vas a comprar un ciberseguro, confirma que cubra el ransomware.
- No te olvides de proteger los datos en la nube, así como los datos centrales.
- Utiliza una protección anti-ransomware dedicada. El 24% de los encuestados que se vieron afectados por el rescate pudieron detener el ataque antes de que los datos pudieran ser cifrados.
- Bloquea el Protocolo de Escritorio Remoto (RDP). Los cibercriminales explotan las credenciales RDP débiles para lanzar ataques dirigidos de ransomware. Desactiva el RDP si no lo necesitas, y utiliza la limitación de intentos, la autenticación de dos factores (2FA) o una red privada virtual (VPN) si la necesitas.
- Elige contraseñas seguras y utiliza la autenticación de múltiples factores tan a menudo como sea posible. Y no reutilices las contraseñas, nunca.
- Parchea pronto, parchea a menudo. Ransomware como WannaCry y NotPetya se basaban en vulnerabilidades no parcheadas para propagarse por todo el mundo.
También vale la pena leer los consejos que ya publicamos sobre los errores comunes que facilitan el éxito de los ataques ransomware. Para obtener consejos más detallados, consulta nuestra página sobre recursos para detener el ransomware.
Sophos realizará el próximo día 12 de junio un webinar sobre cómo, según este estudio, afecta el ransomware en las organizaciones y cómo atajar esta creciente amenaza gracias a las soluciones NextGen Endpoint de Sophos. Puede registrarse en este enlace. Para más información sobre el ransomware Maze consulte el informe completo en SophosLabs Uncut.
Dejar un comentario