¿Cómo infecta el ransomware a tu computadora? En este artículo, le mostraremos algunas de las formas más comunes en que se propaga el ransomware y cómo puede reducir el riesgo de infección.
1. El Ransomware propagado en Archivos adjuntos de correo electrónico
El ransomware se distribuye comúnmente a través de correos electrónicos que alientan al destinatario a abrir un archivo adjunto malicioso. El archivo se puede entregar en una variedad de formatos, incluido un archivo ZIP, PDF, documento de Word, hoja de cálculo de Excel y más. Una vez que se abre el archivo adjunto, el ransomware puede implementarse inmediatamente; En otras situaciones, los atacantes pueden esperar días, semanas o incluso meses después de la infección para encriptar los archivos de la víctima , como fue el caso de los ataques Emotet / Trickbot.
Los atacantes pueden realizar una investigación exhaustiva sobre su objetivo (a menudo una empresa específica o un individuo de alto rango en una organización) para crear correos electrónicos creíbles y muy creíbles . Cuanto más legítimo se vea el correo electrónico, más probable es que el destinatario abra el archivo adjunto.
Consejos de prevención
- Solo abra archivos adjuntos de remitentes de confianza.
- Verifique que la dirección de correo electrónico del remitente sea correcta. Recuerde que los nombres de dominio y los nombres para mostrar se pueden suplantar fácilmente.
- No abra archivos adjuntos que requieran que habilite macros. Si cree que el archivo adjunto es legítimo, busque orientación de su departamento de TI.
- Lea esta guía para obtener más información sobre cómo evitar los correos electrónicos de phishing .
2. El Ransomware en URL maliciosas
Los atacantes también usan correos electrónicos y plataformas de redes sociales para distribuir ransomware insertando enlaces maliciosos en los mensajes. Durante el tercer trimestre de 2019, casi 1 de cada 4 ataques de ransomware utilizaron el phishing por correo electrónico como un vector de ataque, según las cifras de Coveware .
Para alentarlo a hacer clic en los enlaces maliciosos, los mensajes generalmente están redactados de una manera que evoca un sentido de urgencia o intriga. Al hacer clic en el enlace, se activa la descarga de ransomware, que encripta su sistema y guarda sus datos para el rescate.
Consejos de prevención
- Tenga cuidado con todos los enlaces incrustados en correos electrónicos y mensajes directos.
- Verifique las URL al pasar el mouse sobre el enlace antes de hacer clic.
- Use CheckShortURL para expandir las URL acortadas.
- Ingrese manualmente los enlaces en su navegador para evitar hacer clic en enlaces de phishing.
3. El Ransomware en Protocolo de escritorio remoto
RDP, un protocolo de comunicaciones que le permite conectarse a otra computadora a través de una conexión de red, es otro vector de ataque popular. Algunos ejemplos de ransomware que se propagan a través de RDP incluyen SamSam, Dharma y GandCrab, entre muchos otros.
De manera predeterminada, RDP recibe solicitudes de conexión a través del puerto 3389. Los cibercriminales se aprovechan de esto mediante el uso de escáneres de puertos para buscar en Internet computadoras con puertos expuestos. Luego intentan obtener acceso a la máquina explotando vulnerabilidades de seguridad o utilizando ataques de fuerza bruta para descifrar las credenciales de inicio de sesión de la máquina.
Una vez que el atacante ha obtenido acceso a la máquina, puede hacer más o menos lo que desee. Por lo general, esto implica deshabilitar su software antivirus y otras soluciones de seguridad, eliminar copias de seguridad accesibles e implementar el ransomware. También pueden dejar una puerta trasera que pueden usar en el futuro.
Consejos de prevención
- Usa contraseñas seguras .
- Cambie el puerto RDP del puerto predeterminado 3389.
- Solo habilite RDP si es necesario.
- Utiliza una VPN.
- Habilite 2FA para sesiones remotas.
4. Malvertising o Publicidad Maliciosa
La publicidad maliciosa (publicidad maliciosa) se está convirtiendo en un método cada vez más popular de entrega de ransomware.
La publicidad maliciosa aprovecha las mismas herramientas e infraestructuras utilizadas para mostrar anuncios legítimos en la web. Por lo general, los atacantes compran espacio publicitario, que está vinculado a un kit de exploits. El anuncio puede ser una imagen provocativa, una notificación de mensaje o una oferta de software gratuito.
Cuando hace clic en el anuncio, el kit de exploits escanea su sistema en busca de información sobre su software, sistema operativo, detalles del navegador y más. Si el exploit kit detecta una vulnerabilidad, intenta instalar ransomware en la máquina del usuario. Muchos de los principales ataques de ransomware se propagan a través de la publicidad maliciosa, incluidos CryptoWall y Sodinokibi.
Consejos de prevención
- Mantenga su sistema operativo, aplicaciones y navegadores web actualizados.
- Deshabilita los complementos que no usas regularmente.
- Utiliza un bloqueador de anuncios . El equipo de laboratorio de Emsisoft recomienda uBlock Origin.
- Habilite los complementos de reproducción por clic en su navegador web, lo que evita que los complementos como Flash y Java se ejecuten automáticamente. Una gran cantidad de publicidad maliciosa depende de la explotación de estos complementos.
5. Descargas automáticas
Una descarga drive-by es cualquier descarga que ocurre sin su conocimiento. Los distribuidores de ransomware hacen uso de descargas automáticas al alojar el contenido malicioso en su propio sitio o, más comúnmente, inyectarlo en sitios web legítimos explotando vulnerabilidades conocidas.
Cuando visita el sitio web infectado, el contenido malicioso analiza su dispositivo en busca de vulnerabilidades específicas y ejecuta automáticamente el ransomware en segundo plano.
A diferencia de muchos otros vectores de ataque, las descargas automáticas no requieren ninguna entrada del usuario. No tiene que hacer clic en nada, no tiene que instalar nada y no tiene que abrir un archivo adjunto malicioso: visitar un sitio web infectado es todo lo que se necesita para infectarse.
Consejos de prevención
- Siempre instale los últimos parches de seguridad de software.
- Eliminar complementos innecesarios del navegador.
- Instale un bloqueador de anuncios como uBlock Origin.
6. Propagación de la red
Si bien las cepas más antiguas de ransomware solo podían cifrar la máquina local que infectaron, las variantes más avanzadas tienen mecanismos de propagación automática que les permiten moverse lateralmente a otros dispositivos en la red. Los ataques exitosos pueden paralizar organizaciones enteras.
Algunos de los ataques de ransomware más devastadores de la historia incluyeron mecanismos de autopropagación, incluidos WannaCry , Petya y SamSam.
Consejos de prevención
- Segmente su red y aplique el principio de menor privilegio .
- Implemente y mantenga una estrategia confiable de respaldo de ransomware .
7. Ransomware en Software pirateado
Se sabe que el ransomware se propaga a través de software pirateado. Algunos programas crackeados también vienen con adware, que puede estar ocultando ransomware, como fue el caso en la reciente campaña STOP Djvu . Además, los sitios web que alojan software pirateado pueden ser más susceptibles a la publicidad maliciosa o descargas automáticas.
El uso de software pirateado también puede aumentar indirectamente el riesgo de infección por ransomware. Por lo general, el software sin licencia no recibe actualizaciones oficiales del desarrollador, lo que significa que los usuarios pueden perderse los parches de seguridad críticos que pueden ser explotados por los atacantes.
Consejos de prevención
- Evite el uso de software pirateado.
- No visite sitios web que alojen software pirateado, grietas, activadores o generadores de claves.
- Tenga cuidado con las ofertas de software que son demasiado buenas para ser verdad.
8. Unidades USB y computadoras portátiles
Las unidades USB y las computadoras portátiles son un vehículo de entrega común para ransomware. Conectar un dispositivo infectado puede provocar que el ransomware cifre la máquina local y se propague potencialmente por la red.
Por lo general, esto es involuntario: un miembro del personal conecta involuntariamente una unidad USB infectada, que cifra su punto final, pero también puede ser deliberada. Por ejemplo, hace unos años, los residentes de Pakenham, un suburbio de Melbourne, descubrieron unidades USB sin marcar en sus buzones . Las unidades contenían ransomware disfrazado como una oferta promocional de Netflix.
Consejos de prevención
- Nunca conecte dispositivos desconocidos a su computadora.
- No conecte sus dispositivos a sistemas públicos compartidos como quioscos de impresión de fotografías y computadoras en cibercafés.
- Las empresas deben implementar y mantener sólidas políticas de seguridad BYOD .
- Utilice un software antivirus de buena reputación que pueda escanear y proteger unidades extraíbles.
Conclusión
El ransomware se propaga de muchas maneras diferentes. Algunos vectores de ataque, como archivos adjuntos de correo electrónico malicioso, enlaces de phishing y dispositivos extraíbles, se basan en errores humanos, mientras que otros, como la publicidad maliciosa, las descargas automáticas y la propagación de la red, son efectivos sin intervención del usuario.
Independientemente de cómo se propague el ransomware, hay muchas cosas que puede hacer para reducir el riesgo de infección y mitigar los efectos de un ataque. Invertir en un software antivirus probado , mantener copias de seguridad y ser cauteloso con sus clics puede ayudar en gran medida a proteger sus datos y mantener su sistema a salvo del ransomware.
