- En primer lugar, el sistema informático de la víctima se ve comprometido por el malware, normalmente a través de un enlace malicioso conocido como Phising, o adjunto "contaminado". Se engaña al usuario para que descargue el archivo, a menudo mediante técnicas de ingeniería social.
- En un segundo paso, el malware toma el control del sistema. Se cifran varios tipos de archivos y el usuario ya no puede acceder a ellos. Tenga en cuenta que el ransomware puede propagarse por la red de la empresa e infectar toda la base de datos de una organización.
- Tras el cifrado, se informa a la víctima, normalmente mediante una notificación en pantalla, de que ha sido afectada por el ransomware y debe pagar un rescate para recuperar el acceso al sistema. Se detalla el proceso para pagar el rescate.
- La última etapa consiste en que la víctima pague el rescate y teóricamente recupere el acceso al sistema proporcionando una clave de descifrado.
¿Cómo hacer frente al ransomware?
Los incidentes de ransomware pueden afectar gravemente a los procesos empresariales y dejar a las organizaciones sin los datos que necesitan para operar y prestar servicios de misión crítica. En este contexto, las empresas deben actuar con cautela a la hora de decidir si pagan o no el rescate. Y es que, en concreto, nada obliga a los delincuentes a levantar el cifrado. Hay muchos informes de empresas que no consiguen recuperar sus datos, perdiendo definitivamente tanto el rescate pagado como los datos. Según la información del mencionado estudio de Sophos, entre las empresas encuestadas que pagaron el rescate, sólo el 8% afirmó haber recuperado totalmente sus datos. Por ello, antes de tomar cualquier decisión, deben seguirse algunos protocolos, como: - Notifique lo ocurrido a las autoridades; - Aislar los sistemas comprometidos; -Cuidado con las copias de seguridad; - No reinicie el sistema ni realice tareas de mantenimiento; - Identifique el tipo de rescate; Por lo tanto, al pagar el rescate las empresas corren el grave riesgo de perder el dinero y tener que hacer frente constantemente a nuevas demandas de los ciberdelincuentes. Los distintos tipos de ransomware Como ya se ha mencionado, el ransomware es un subconjunto del malware, lo que significa que existen diferentes tipos de esta amenaza. Merece la pena mencionar las tres categorías principales:- Scareware: se trata de un ransomware "falso" que trata de explotar el miedo de la víctima. Se trata, por ejemplo, de una ventana emergente que anuncia que un malware está cifrando el ordenador y que la única forma de detener el proceso es pagar un rescate. Sin embargo, en realidad no se cifra ningún archivo.
- Bloqueo de pantalla: este tipo de ransomware puede bloquear completamente el acceso a un dispositivo como un ordenador. En cuanto se enciende el dispositivo, se abre una ventana a pantalla completa que anuncia el bloqueo y pide un rescate. Por lo general, los datos no se ven comprometidos.
- Crypto-ransomware: Este tipo de ransomware es capaz de cifrar todos los archivos almacenados en un dispositivo, red o servidor. Se trata de la categoría más peligrosa porque ningún software de seguridad puede recuperar por completo los datos cifrados.
- Aísle los dispositivos infectados y cualquier dispositivo que actúe de forma sospechosa desconectándolos de Internet y de su red.
- Identifique el tipo de ransomware e informe a su equipo de los signos de infección que debe buscar.
- Investigar el origen del ataque para corregir las vulnerabilidades y prevenir nuevos incidentes.
- Identifique todos los sistemas, datos y dispositivos afectados, incluidos ordenadores portátiles, discos duros externos, teléfonos inteligentes, memorias flash y almacenamiento en la nube.
- Restaure los datos afectados utilizando sus archivos de copia de seguridad.
- Es posible que necesite ayuda profesional de una empresa de ciberseguridad para incluir pasos adicionales si es necesario.
[/vc_column_text][/vc_column][/vc_row]