RANSOMWARE DEFINIENDO UNA ESTRATEGIA

Prácticamente a diario encontramos noticias de un nuevo ataque de malware ransomware que ha afectado a
una o varias empresas o instituciones públicas y ha causado pérdidas de miles o millones de euros. Entre los
más destacados podemos mencionar la campaña de WannaCry de 2017 o, más recientemente, los ataques
con Emotet sufridos por varias instituciones públicas.

 El ransomware se ha convertido en una de las amenazas preferidas por los ciberdelincuentes por varios
motivos:

Los últimos ransomware son capaces de propagarse rápidamente por la empresa, comprometiendo la

productividad durante periodos prolongados de tiempo.

Copias de seguridad inexistentes o muy espaciadas en el tiempo. Al no disponer de copias recientes de la

información clave, la empresa se ve obligada a pagar un rescate generalmente en Bitcoins si quiere recuperar
dicha información para el negocio.

Confianza en las soluciones antivirus tradicionales. Muchas empresas confían en que el antivirus corporativo
bloquee el ataque. Sin embargo, estas soluciones funcionan en base a amenazas conocidas bloqueando las
ejecuciones de las mismas por lo que el polimorfismo utilizado por muchos de los ransomware más conocidos
y dañinos las hace ineficientes (estos ransomware se transforman ligeramente con cada versión… y hay nuevas
versiones prácticamente cada minuto).

 El impacto económico de estos ataques a nivel mundial se cifra en miles de millones de euros y la previsión es
que vaya en aumento progresivamente.

¿Como funciona un ransomware? Por regla general, prácticamente todos los ransomware siguen cuatro fases
diferenciadas.

En primer lugar, se produce la infección, habitualmente a través de un archivo adjunto o un enlace a una
página web que descargan y ejecutan el software malicioso. La gran mayoría de ransomware se ejecutan en el
momento de la descarga, aunque existen otros que responden a diferentes disparadores (transcurrido un
tiempo, cuando se abre office.

 Una vez infectado el objetivo, el ransomware realizará una búsqueda de clave de encriptación en un servidor
gestionado por el atacante. En caso de no poder conectar con el servidor que le suministra las claves de
encriptación algunos ransomware dejan de funcionar, pero la mayoría son capaces de utilizar un clave por
defecto por lo que puede seguir el proceso.

Tras obtener la clave de encriptación, el ransomware comienza el proceso de cifrado de archivos. Entre sus
objetivos principales se encuentran archivos de Office, documentos PDF, etcétera.

 Como última fase, el malware intentará realizar una propagación al resto de equipos del entorno utilizando
diferentes técnicas. Esto puede finalizar en un escenario en el que todos los archivos de la empresa queden
cifrados, con el consiguiente impacto que esta situación puede tener en la productividad.