Amenaces

Ransomware: Què És, Com Prevenir-lo i Com Actuar si t'Ataquen

Equip CiberPIME · · 6 min de lectura
Lee este articulo en castellano

El ransomware és un dels atacs més devastadors que pot patir una PIME. El 2023, el CCN-CERT (Centre Criptològic Nacional) va reportar un increment del 45% en atacs de ransomware a Espanya respecte a l’any anterior. El cost mitjà d’un atac de ransomware per a una petita empresa supera els 70.000 euros quan se sumen el rescat (si es paga), la pèrdua de dades, el temps d’inactivitat i els costos de recuperació. Més del 60% de les PIMEs que pateixen un atac greu tanquen en els sis mesos següents.

Entendre com funciona el ransomware i tenir un pla de resposta pot ser la diferència entre la continuïtat i el tancament del teu negoci.

Què és el ransomware i com funciona

El ransomware és un tipus de malware que xifra els fitxers de la víctima fent-los inaccessibles, i després exigeix un pagament (normalment en criptomonedes) a canvi de la clau de desxifratge. El procés típic d’un atac és:

  1. Infecció inicial: El malware entra a la xarxa a través d’un correu de phishing, una vulnerabilitat sense pedaçar, credencials compromeses (accés RDP sense protegir) o un USB infectat.
  2. Moviment lateral: Un cop dins, el malware es propaga per la xarxa, comprometent altres equips i buscant els fitxers més valuosos.
  3. Exfiltració de dades (en atacs moderns): Abans de xifrar, els atacants copien les dades per poder amenaçar amb publicar-les si no es paga (“doble extorsió”).
  4. Xifratge: El malware xifra tots els fitxers accessibles.
  5. Rescat: Apareix un missatge exigint el pagament en Bitcoin o altra criptomoneda en un termini determinat.

Les famílies de ransomware més actives a Espanya

Segons el CCN-CERT i l’INCIBE, aquestes són les famílies de ransomware que més afecten empreses espanyoles:

  • LockBit: El més prolífic fins a la seva desarticulació parcial el 2024, continua actiu amb noves variants.
  • BlackCat/ALPHV: Sofisticat, escrit en Rust, difícil de detectar.
  • Cl0p: Especialitzat en explotar vulnerabilitats en programari empresarial.
  • Akira: Molt actiu el 2024-2025, objectiu prioritari: PIMEs del sector industrial i serveis.
  • Play: Atacs dirigits a empreses mitjanes amb alt nivell de personalització.

Les 7 mesures de prevenció més eficaces

1. Còpies de seguretat aïllades (la mesura més important)

Una còpia de seguretat que estigui connectada a la xarxa o a l’equip infectat també serà xifrada pel ransomware. Les còpies útils són:

  • Offline o air-gapped: Un disc dur extern desconnectat de la xarxa després de cada còpia.
  • Immutable al núvol: Emmagatzematge cloud amb Object Lock o Immutable Backup (AWS S3, Backblaze B2, Azure Blob amb retenció immutable). Un cop escrits, les dades no es poden modificar ni esborrar durant el període configurat, encara que l’atacant tingui credencials del compte.
  • Regla 3-2-1: Tres còpies, en dos suports diferents, un fora de les instal·lacions.

Verifica periòdicament que les teves còpies de seguretat són recuperables.

2. Pedaçat i actualització urgent de sistemes

La majoria dels atacs de ransomware a gran escala exploten vulnerabilitats conegudes. WannaCry, per exemple, va explotar una vulnerabilitat de Windows per a la qual Microsoft havia publicat un pedaç dos mesos abans. Activa les actualitzacions automàtiques i estableix un procés per pedaçar aplicacions crítiques en un màxim de 48-72 hores.

3. Protegir l’accés remot (RDP i VPN)

El protocol RDP és el vector d’entrada preferit del ransomware dirigit:

  • Mai exposis RDP directament a internet. Si necessites accés remot, fes servir una VPN.
  • Activa el MFA a la VPN i en tots els accessos remots.
  • Monitoritza els intents de login fallits i bloqueja IPs després de diversos intents.

4. Segmentació de xarxa

Si tota la xarxa és en un mateix segment, el ransomware es pot propagar lliurement. La segmentació divideix la xarxa en zones amb accés restringit entre elles.

5. Principi de mínim privilegi

Els empleats només han de tenir accés als fitxers i sistemes que necessiten per a la seva feina.

6. Solucions EDR (Endpoint Detection and Response)

Solució EDRPer a PIMEsPreu aprox.
Microsoft Defender for BusinessInclòs en M365 Business Premium20€/usuari/mes (tot inclòs)
CrowdStrike Falcon GoFins a 100 usuaris~6€/usuari/mes
SentinelOne Singularity CorePIME~5€/usuari/mes
ESET Protect AdvancedPIME~5€/usuari/mes

7. Formació del personal

El 94% dels atacs de ransomware comencen amb un correu de phishing. La formació és imprescindible.

Pla de resposta davant d’un atac de ransomware

Pas 1: Aïllament immediat (els primers 5 minuts)

  • Desconnecta de la xarxa tots els equips sospitosos: cable de xarxa i WiFi.
  • No apaguis els equips infectats (pot destruir evidències).
  • Desconnecta els dispositius de backup que estiguin connectats físicament.
  • Alerta l’equip perquè desconnectin els seus equips de la xarxa si tenen símptomes.

Pas 2: Avaluació del dany

  • Quins equips estan afectats?
  • Quines dades han estat xifrades?
  • Estan compromeses les còpies de seguretat?
  • Quina família de ransomware és? (Pot ajudar a trobar eines de desxifratge gratuïtes)

Pas 3: Notificació a les autoritats (obligatori)

  • INCIBE: Telèfon 017.
  • AEPD: Si hi ha dades personals afectades, tens 72 hores per notificar la bretxa.
  • Forces de Seguretat: Denuncia davant la Policia Nacional o la Guàrdia Civil.

Pas 4: Pagar o no pagar el rescat?

Les autoritats (INCIBE, FBI, Europol) recomanen no pagar:

  • No garanteix la recuperació de les dades (el 42% dels que paguen no recuperen totes les seves dades, segons Sophos).
  • Finança organitzacions criminals i et converteix en objectiu recurrent.
  • Existeixen alternatives: eines de desxifratge gratuïtes a No More Ransom (nomoreransom.org).

Pas 5: Recuperació

  1. Reconstrueix des de zero els sistemes afectats.
  2. Restaura les dades des de les còpies de seguretat netes.
  3. Investiga com va entrar el malware i tanca aquesta via.
  4. Monitoritza intensivament la xarxa durant les setmanes següents.

L’assegurança de ciberseguretat

Cada vegada més PIMEs contracten assegurances de ciberrisc que cobreixen els costos de resposta a incidents, la pèrdua d’ingressos durant la interrupció del negoci i, en alguns casos, el rescat. AXA, Mapfre, Caser, Hiscox i Generali ofereixen productes específics per a PIMEs. El cost anual oscil·la entre 500 i 3.000 euros per a una empresa de 10-50 empleats.

Conclusió

El ransomware és una amenaça real i creixent per a les PIMEs espanyoles. La bona notícia és que la majoria dels atacs es poden prevenir o mitigar amb mesures bàsiques: còpies de seguretat aïllades, sistemes actualitzats, accés remot protegit i formació del personal.

La pregunta no és si la teva empresa pot ser atacada, sinó quan. La diferència entre seguir endavant i tancar depèn de la preparació prèvia.

Aquest article és de caràcter educatiu i no constitueix un servei professional de ciberseguretat. Consulteu un especialista certificat per a solucions específiques a la vostra empresa.

Avis important: CiberPIME publica contingut educatiu sobre ciberseguretat. No oferim serveis professionals de seguretat informatica ni assessorament personalitzat. Per a decisions critiques de seguretat, consulteu un professional certificat.