El ransomware no cesa su impacto a nivel regional, cepas sofisticadas han sido capaces de paralizar oficinas enteras o incluso fábricas inteligentes. Esta amenaza es un malware virulento que generalmente se infiltra en las computadoras a través de correos electrónicos maliciosos y cifra los archivos críticos. El ransomware ha ganado terreno en el marco de la pandemia mundial dado que el teletrabajo es un escenario ideal para quienes usan esta modalidad de estafa.
Trend Micro proporciona a continuación una descripción general de cómo funcionan estos ataques de ransomware, y algunas pautas de prevención que ayudarán a los trabajadores a bloquear este tipo de amenazas.
¿Cómo funcionan los ataques de ransomware?
Los actores del ransomware buscan grandes objetivos, por lo general quieren acceso a la red corporativa a la que pueden estar conectados desde casa a través de una VPN, o a los sistemas alojados en la nube. Su objetivo es extenderse por la red de su organización, primero para robar y luego encriptar datos.
El phishing por correo electrónico es el método más común que utilizan los distribuidores de ransomware. Estos actores maliciosos se han convertido en expertos en lograr que los usuarios desprevenidos hagan clic en enlaces a sitios web que alojan malware o descarguen archivos peligrosos para iniciar el proceso de infección.
A continuación, se muestran algunas formas en las que el ransomware llega a las configuraciones domésticas vulnerables:
A través de cuentas de correo electrónico de trabajo, herramientas de escritorio remoto (es decir, Microsoft Remote Desktop o RDP) y almacenamiento/redes basados en la nube, etc. para entregar la carga útil completa de ransomware.
El uso de malware en su VPN o software de escritorio remoto. El phishing es nuevamente una forma popular de hacer esto, o pueden ocultarlo en un software popular en sitios de torrents o aplicaciones cargadas en tiendas de aplicaciones.
Por medio de dispositivos y enrutadores domésticos inteligentes a través de vulnerabilidades, contraseñas predeterminadas o contraseñas fáciles de adivinar. Los actores de amenazas apuntan a estos dispositivos para usar las redes domésticas de los empleados como un trampolín hacia las redes corporativas.
¿Cómo se puede prevenir el ransomware?
Los trabajadores remotos pueden tomar algunos pasos relativamente sencillos para ayudar a mitigar los riesgos en cascada que plantea el nuevo ransomware:
- Evite dar información personal: Algunos actores malintencionados toman información disponible públicamente y la usan para obtener acceso a información privada más valiosa, o la usan para enviar e implementar malware en su dispositivo. Tenga cuidado con el tipo de información que comparte en línea; asegúrese de proporcionar información privada solo cuando sea absolutamente necesario.
- Fortalezca la higiene de su contraseña: Los teletrabajadores deben emplear las mejores prácticas de contraseñas para su correo electrónico y otras cuentas: ocho o más caracteres y símbolos; evite la repetición, secuencias o patrones; y no reutilice las contraseñas. Dado que algunas herramientas y portales corporativos en línea también pueden tener valores predeterminados que los atacantes pueden utilizar mediante la fuerza bruta, es mejor cambiar las contraseñas con regularidad e implementar la autenticación multifactor.
- Los usuarios de Windows deben activar “Mostrar extensiones de archivo”: Mostrar extensiones de archivo es una funcionalidad nativa de Windows que muestra a los usuarios qué tipos de archivos se están abriendo. A veces, los actores malintencionados utilizan nombres de archivo que parecen dos extensiones, por ejemplo, "photo.avi.exe". Los usuarios deben utilizar esta función de Windows para comprobar qué están abriendo y evitar cualquier archivo sospechoso.
- Abra solo archivos adjuntos de correo electrónico de confianza: El ransomware comúnmente se propaga a través del correo electrónico no deseado con archivos adjuntos maliciosos, y muchos distribuidores ya conocen los títulos de temas más efectivos para captar la atención del usuario. Algunos actores de ransomware también usan archivos poco comunes en su correo no deseado y confían en que los usuarios simplemente hagan clic sin mirar. Tenga cuidado y evite abrir extensiones de archivo sospechosas (como .EXE, .VBS o .SCR). Algunos usuarios pueden incluso configurar sus servidores de correo web para bloquear esos archivos adjuntos.
- Desactive la conexión a Internet si la computadora muestra un comportamiento sospechoso: El ransomware normalmente necesita conectarse con un servidor de comando y control (C&C) para completar su rutina de cifrado. Sin acceso a Internet, el ransomware permanecerá inactivo en un dispositivo infectado. Si un usuario logra atrapar el ransomware durante las primeras etapas del ataque, puede deshabilitar el acceso a Internet y mitigar cualquier daño.
- Aproveche todas las herramientas y funciones de seguridad a su disposición: Muchos dispositivos y software ya tienen funciones de seguridad integradas y actualizadas constantemente. Actualice el firmware de su enrutador doméstico, así como los sistemas operativos y el software en PC, dispositivos móviles y navegadores a las últimas versiones. Esto incluye cualquier herramienta virtual y VPN de su empresa. Todos los dispositivos también deben ejecutar soluciones de seguridad de punto final y de red actualizadas de un proveedor de confianza. (Esto debe incluir funciones anti-intrusión, anti-amenazas web, anti-spam, anti-phishing y, por supuesto, anti-ransomware).