Dentro de todas las amenazas que pueden poner en riesgo la seguridad y privacidad de los usuarios, sin duda el ransomware es una de las más peligrosas. Es un tipo de ataque que con el paso del tiempo ha ido perfeccionando y tiene como objetivo cifrar los archivos y sistemas de la víctima para posteriormente pedir un rescate a cambio. Es algo que puede afectar por igual tanto a usuarios particulares como también a grandes organizaciones. En este artículo nos hacemos eco de un informe que indica cómo el ransomware sigue en la red después de un ataque.
El ransomware sigue en la red después de un ataque
Un usuario o una organización que hayan sufrido este tipo de ataque pueden tener la sensación de que una vez ocurre los atacantes se van automáticamente. Esto tendría sentido si tenemos en cuenta que podrían ocultarse para no ser atrapados. Ahora bien, la realidad hay que tener en cuenta que es diferente y los atacantes pueden permanecer en la red durante un tiempo.
Hay que tener en cuenta que un ataque de ransomware no es algo rápido. En ocasiones puede durar días o semanas. Pueden aprovecharse de vulnerabilidades que existen en escritorio remoto, herramientas VPN o a través de otras variedades de malware que nos puedan infectar previamente.
La cuestión es que algunas variedades de ransomware continúan en la red una vez han llevado a cabo el primer ataque. Han descubierto que Maze, una de las variedades más conocidas, puede actuar así. Sin embargo indican que no es algo infrecuente.
Según indican desde McAfee, ha habido ocasiones en las que los atacantes han seguido leyendo correos electrónicos de la víctima después del ataque e incluso durante negociaciones de rescate.
Indican que son varios los casos que han detectado en los que los atacantes permanecen en la red después de haber desplegado el ransomware. Esto puede provocar que los piratas informáticos lleguen también a otros dispositivos que haya conectados en esa red y puedan, por ejemplo, cifrar posibles discos de copias de seguridad. Un problema que agrava el ya existente. Hemos visto casos como la amenaza para el Wi-Fi FragAttacks.
La víctima debe actuar cuanto antes
Los expertos indican que las víctimas, ya sean usuarios particulares o empresas, deben actuar cuanto antes. Algo básico es apagar su red y todos los equipos conectados a ella una vez detectan en primer lugar un ataque inicial. Así evitaremos problemas como el que hemos mencionado, que los piratas informáticos pudieran acceder a otros equipos, discos externos donde se almacenen copias de seguridad, etc.
Posteriormente sería interesante realizar una investigación completa sobre el ataque. El objetivo es descubrir si realmente otros sistemas han podido verse comprometidos. Esto incluye también realizar una auditoría para buscar posibles vulnerabilidades, filtraciones de datos, contraseñas débiles…
En definitiva, los ataques ransomware pueden ser persistentes y continuar en nuestra red. Esto podría poner en riesgo otros equipos y sistemas que tengamos conectados. Por ello debemos siempre tomar precauciones para evitar problemas de este tipo. Os dejamos un artículo con una serie de consejos para protegernos del ransomware.