Las nuevas versiones de ramsonware han incrementado su complejidad y ha creado una red más robusta para su operación y segura para el anonimato, han cambiado el medio de cobro a bitcoins y utilizan principalmente la red TOR para comunicarse y descargar la amenaza.
Hasta el año 2014, el objetivo eran personas, después de Criptolocker, la nueva tecnología conocida cómo CTB-Locker se movió a los almacenamientos virtuales, los sistemas de almacenamiento en red (NAS) y utiliza redes TOR. La complejidad para su detección ha aumentado, utilizan técnicas de evasión avanzada y han elevado su efectividad para desencriptar. En los últimos 9 meses el aumento de actividad ha sido exponencial y se ha convertido en un negocio altamente rentable, que cuenta con modelos definidos de asociación, distribución y rentabilidad totalmente articulados.
Los nuevos Ramsonware evitan ser detectados y atacan vulnerabilidades (similar a un gusano), necesita ser activado por el usuario (similar a un troyano) y se propaga por web y correo (técnicas de Phishing). Tienen una alta capacidad de adaptar el mensaje, el idioma e incluso pueden personalizarse con temas locales de actualidad.
El factor común entre la antigua y la nueva versión de la amenaza sigue siendo el usuario, su bajo conocimiento del tema y su poca preocupación por combatir las amenazas lo convierten en el eslabón más débil en la cadena de seguridad. Las últimas versiones se han movido a androide (cada vez más personal).
¿Qué podemos hacer?
Para elevar la protección contra esta amenaza es necesario integrar al usuario final y adoptar medidas de protección integral, algunas recomendaciones incluyen:
Formación de usuarios para elevar su estado de alerta (Awareness): La mayoría de los ataques de ransomware comienzan con correos electrónicos de phishing, la sensibilización de los usuarios es muy importante y necesaria. Por cada diez correos electrónicos enviados por los atacantes, al menos uno será exitoso.
Recopilar todos los eventos de seguridad: contar con un sistema de registro y análisis de eventos e incidentes de seguridad, permite aprender, reaccionar más rápido y tomar acciones preventivas y correctivas que lleven a una mejora continua.
Mantener actualizados los sistema (parches al día): Las nuevas versiones de ransomware explotan vulnerabilidades. Es fundamental mantener al día los parches de los sistemas operativos, Java, Adobe Reader, Flash y aplicaciones. Lo ideal es tener un procedimiento análisis de vulnerabilidad y remediación, adicionalmente se debe verificar que los parches se aplicaron con éxito.
Cuidado al abrir archivos adjuntos: Escanear con antivirus automáticamente todos los email y mensajes instantáneos adjuntos. Definir y fomentar el uso correo electrónico seguro, evitar que abran automáticamente adjuntos, ni los elementos gráficos y asegurar que el panel de vista previa este desactivado. Nunca abra correos electrónicos no solicitados o inesperados y menos archivos adjuntos.
Tener cuidado con los esquemas de phishing basados en spam: no haga clic en enlaces en correos electrónicos o mensajes instantáneos.