Terminoa ingelesezko ransom (bahisaria) eta malware hitzen konbinaziotik dator; beraz, itzulpena erreskate-malwarea izango litzateke. Bahiketen esparrua aipatzen du izenak; hau da, bahitzaileak bahisari bat eskatzen dio biktimari. Kasu honetan, biktima edo biktimak gailuak dira, haien funtzionaltasuna eta edukia bahitzen baitira.
Bahiketa hori ez da zerbait fisikoa (software batek egiten du), baizik eta ekipoetako informazioaren eta softwarearen bahiketa praktiko bat baizik, haien ohiko erabilera eragozten duena. Gehienetan, ekipoetako informazioa gako batekin zifratzen da, eta fitxategi guztiak kodetuta daude, bahisaria ordaintzeko beharrezko urratsak adierazteko malwareak sortzen dituenak izan ezik. Ordainketa bitcoin bezalako kriptodiruekin egin ohi da.
Eraso horien irismena askotarikoa izan daiteke, baita haien infekzio-bektoreak ere.
Historikoki, eraso horiek banatutako ransomware-kanpainen bidez gertatu dira, 0 eguneko kalteberatasunak erabiliz (sistema batean konpondu gabeko edo ezezagunak diren kalteberatasunak), eta, horrela, sinaduren ohiko antibirusek detektatzea eragozten da. Eraso horien konplexutasuna handituz joan da denboran zehar. Inflexio-puntua WannaCry izan zen, 2017an: sare infektatuan modu autonomoan zabal zitekeen kategoria honetako lehen birusa izan zen, eta historiako lehen ransomware-harra izan zen. 2019az geroztik, joerak estortsiorantz egin du. Orain ez da biktimaren ekipoa soilik zifratzen; erasotzaileak bahisari bat eskatzen du lortutako informazioa ez argitaratzearen truke.
Infekzio-bektoreak askotarikoak izan daitezke, batzuk besteak baino ohikoagoak:
- Gizarte-ingeniaritza: Sarrera-bektore ohikoena. Helburua da pertsuasio-teknikak erabiliz erabiltzaile batek bere ekipoan asmo txarreko artxibo bat deskargatzea eta exekutatzea lortzea. Eraso hauek oso aldakorrak dira: jende askori bidalitako bankuen edo marka ospetsuen mezu klasikoak, ustezko bidaltzailea zure nagusia den mezu zehatza... Horrelako erasoetan, historikoki, “nagusiaren iruzurra” eta “jaraunspena” dira nabarmentzekoak.
- Indar basatia RDParen bidez: RDP (Remote Desktop Protocol) protokoloak aukera ematen die sistemen administratzaileei sareko ekipoetan administrazio-lanak egiteko. Nolanahi ere, protokolo hau erasotzaile batek ustia dezake, eta ransomware-motako eraso baten sarrera-bektore bihur daiteke, besteak beste.
- Infektatutako fitxategiak eta aplikazioen deskargak: ordainpeko produktuen fitxategi tipikoek –doakoek edo legearen aurka kopiatutakoek– artxibo gaiztoak izan ditzakete barruan. Beraz, instalatzen saiatuz gero, ordenagailuan beste edozein malware-mota jaso eta exekutatu ahal izango dute.
- Exploit-kitak: Angler, Neutrino eta Nuclear ransomware-erasoetan oro har erabiltzen diren exploit-kitak dira. Aurrez diseinatutako exploitak dituzten tresna gaiztoen kitak dira, nabigatzailearen osagarrietako (Java, Adobe Flash) kalteberatasunak baliatzen dituztenak.
