¿Qué Es El Ransomware? Y Como Actuar Ante un Ataque

El ransomware es una categoría de malware que crece y desarrolla constantemente su capacidad para identificar vulnerabilidades y lagunas en la tecnología. Todo lo que está conectado proporciona un panorama más amplio para las amenazas de ransomware.

Los perpetradores detrás de los ataques de ransomwareperpetradores detrás de los ataques de ransomware han causado un daño significativo a las infraestructuras críticas y han recaudado miles de millones de dólares de sus víctimas en todo el mundo, y eso sigue sucediendo hoy en dia ganado miles de millones de dólares de sus víctimas en todo el mundo, y eso sigue sucediendo hoy.

También puedes leer: Qué Es El Crack Informático, Riesgos Y Características

Índice De Contenidos()

    Qué es el ransomware

    El ransomware se describe popularmente como un tipo de ataque en el que los perpetradores retienen los datos y recursos de las víctimas como rehenes hasta que se paga un rescate.  El ransomware también es un tipo de malware que se propaga al sistema de las víctimas, lo que hace que el sistema se vuelva inaccesible al cifrar y bloquear la pantalla del sistema o los archivos.

    El ransomware es uno de los mayores problemas de seguridad en Internet y una de las mayores formas de ciberdelito que enfrentan las organizaciones en la actualidad.  El ransomware es una forma de software malicioso (malware) que encripta archivos y documentos en cualquier cosa, desde una sola PC hasta una red completa, incluidos los servidores.

    Las víctimas a menudo pueden quedarse con pocas opciones; pueden recuperar el acceso a su red cifrada pagando un rescate a los delincuentes detrás del ransomware, o restaurar desde copias de seguridad o esperar que haya una clave de descifrado disponible gratuitamente.

    Algunas infecciones de ransomware comienzan cuando alguien hace clic en lo que parece un archivo adjunto inocente que, cuando se abre, descarga la carga maliciosa y encripta la red.

    Qué Es El Ransomware Y Como Actuar Ante un Ataque
    Qué Es El Ransomware Y Como Actuar Ante un Ataque

    Utilizan exploits y fallas de software

    Otras campañas de ransomware mucho más grandes utilizan exploits y fallas de software, contraseñas descifradas y otras vulnerabilidades para obtener acceso a organizaciones que utilizan puntos débiles, como servidores con acceso a Internet o inicios de sesión de escritorio remoto para obtener acceso.

    Los atacantes buscarán en secreto a través de la red hasta que controlen tanto como sea posible, antes de cifrar todo lo que puedan. Puede ser un dolor de cabeza para empresas de todos los tamaños si archivos y documentos vitales, redes o servidores se encriptan repentinamente y son inaccesibles.

    Peor aún, después de ser atacado con ransomware de cifrado de archivos, los delincuentes anunciarán descaradamente que están reteniendo tus datos corporativos como rehenes hasta que pague un rescate para recuperarlos.

    ¿Cómo se distribuye el ransomware?

    El ransomware generalmente se envía a través de correos electrónicos de phishing que contienen archivos adjuntos maliciosos o mediante descargas no autorizadas. El atacante diseña un correo electrónico que parece un correo electrónico legítimo, pretendiendo ser enviado desde fuentes creíbles como organizaciones, departamentos y adjuntando un archivo malicioso en el correo electrónico.

    Los destinatarios del correo electrónico que confían en el correo electrónico abrirán el archivo adjunto e instalarán sin saberlo el ransomware, que luego infecta tus sistemas y hace que el atacante retenga tus archivos.

    Además de los correos electrónicos de phishing, un atacante puede usar una descarga no autorizada, que es un programa oculto debajo de la superficie que la víctima descarga automáticamente cuando hace clic en enlaces maliciosos.

    Los enlaces se encuentran ocultos

    Por lo general, estos enlaces están ocultos en un anuncio malicioso que se muestra en un sitio web comprometido o se envían a través de un correo electrónico de phishing. Estos ataques de ransomware se pueden implementar a través de exploit kits o Ransomware-as-a-Service (RaaS).

    En un sistema desprotegido, es posible que se ejecute el malware y se ejecute la carga útil maliciosa, sin interacción del usuario. Después de la ejecución, el sistema o la computadora se infecta con ransomware. El kit de exploits más famoso y destructivo hasta la fecha es el ransomware WannaCry (WannaCrypt) Ransomware WannaCry (WannaCrypt).

    Categorías de ransomware

    Los tipos más populares de ransomware se pueden clasificar como Locker Ransomware y Encrypting Ransomware. Hay algunas categorías adicionales como Ransomware-as-a-Service (RaaS) y Automated Active Adversary.

    1. Locker ransomware

    Como su nombre lo indica, Locker Ransomware es una categoría de ransomware que supera o bloquea los datos y recursos específicos del sistema operativo, impidiendo el acceso a archivos, aplicaciones y otros recursos del escritorio. La mayoría de las veces, el sistema infectado tiene recursos limitados para comunicarse con los atacantes.

    2. Encrypt ransomware

    Este tipo de ransomware combina algoritmos de cifrado innovadores para cifrar e eliminar los datos y recursos (archivos o carpetas) de la máquina afectada.

    El ransomware de cifrado tradicional cifra todo el directorio. En esta categoría, también está Cryptoworm, un ransomware independiente que se replica en otras computadoras para lograr el máximo alcance e impacto.

    3. Ransomware como servicio (RaaS)

    RaaS es un tipo de ransomware que se vende en la darkweb como un kit para que los atacantes lo aprovechen fácilmente. Los paquetes RaaS hacen posible que personas sin experiencia o no calificadas lancen ataques de ransomware con relativa facilidad.

    Por lo general, RaaS se implementa a través de correos electrónicos no deseados maliciosos o correos electrónicos de suplantación de identidad y kits de explotación como una descarga automática.

    4. Automated Active Adversary

    Este tipo de ransomware se implementa utilizando las herramientas para escanear automáticamente Internet en busca de sistemas de TI con una protección débil. Cuando se encuentran tales sistemas, los atacantes de ransomware comienzan a planificar el ataque para causar el máximo daño.

    Los sistemas con una protección débil son aquellos que están expuestos abiertamente a Internet, como el Protocolo de escritorio remoto. Estos sistemas se convertirán en un punto de entrada para realizar un ataque de fuerza bruta de contraseña.

    Rasgos de ransomware

    Los creadores de ransomware lanzan constantemente nuevas variantes de ransomware. Las nuevas variantes no se parecen a las muestras anteriores, lo que se convierte en la razón por la que las herramientas de protección de endpoints que se basan en análisis estático no podrán detectar estas nuevas variantes.

    Los creadores de ransomware aplican empaquetadores de tiempo de ejecución al programa de ransomware, como se ve en otros tipos de malware, para ocultar su propósito y evitar la detección hasta que se complete su tarea principal.

    En la mayoría de los casos, esta situación dificulta que las herramientas de protección de endpoints determinen la intención del programa ejecutado y también dificulta que los analistas humanos realicen ingeniería inversa.

    Sin embargo, existen rasgos de comportamiento que el ransomware exhibe habitualmente. Estos rasgos se pueden utilizar para decidir si el programa es malicioso o no con la ayuda de un software de seguridad.

    1. Código firmado criptográficamente

    Los atacantes realizan esta acción para minimizar la posibilidad de ser detectados por el software de protección de endpoints. Esta acción se lleva a cabo firmando su ransomware con un certificado Authenticode que se puede comprar.

    Una vez que el ransomware está correctamente firmado con el código, las defensas antimalware (como el software de protección de terminales y el antivirus) pueden clasificar el ransomware como software de confianza. En lugar de analizar el software con antivirus, el sistema ejecuta el ransomware.

    2. Escalada de privilegios y movimiento lateral

    Los exploits se utilizan dentro del ransomware para elevar los privilegios, incluso cuando el sistema infectado está conectado con privilegios y permisos limitados estándar. El daño puede ser más severo con las credenciales de administrador robadas.

    3. Network-first

    El ransomware puede intentar cifrar tantos documentos como sea posible, a veces incluso arriesgándose a paralizar los puntos finales infectados para asegurarse de que las víctimas paguen el dinero del rescate. El entorno de red generalmente consta de puntos finales (PC, portátiles) que están conectados a un servidor.

    Los datos relacionados con la empresa y otros archivos se almacenan en uno o más servidores de archivos, a los que se puede acceder a través de los puntos finales.

    Estos puntos finales pueden acceder a los servidores de archivos porque tienen varias asignaciones de unidades a diferentes servidores de archivos.

    Causa impacto y un daño inmediato

    Estas unidades de red mapeadas garantizan que los puntos finales estén conectados a los servidores de archivos, lo que les permite acceder a los datos. El ransomware causa un impacto y un daño inmediato cuando encripta primero estas unidades de red asignadas, lo que hace que la mayoría de los empleados que usan los puntos finales pierdan su acceso al servidor, sin importar dónde se encuentren.

    4. Multi-Uso

    Algunos ransomware están diseñados específicamente para hacer un uso eficiente de equipos con una o más CPU de varios núcleos con subprocesos múltiples simultáneos (SMT) o Hyper-Threading (HT). Este ransomware realiza tareas individuales en paralelo para garantizar un impacto más rápido y más dañino antes de que las víctimas se den cuenta de que están siendo atacadas.

    5. Cifrado de archivos

    El ransomware cifra los documentos sobrescribiéndolos (en el lugar) y copiando. Sobrescribir significa que los documentos cifrados se almacenan en el mismo sector del disco que los documentos originales. Se realiza leyendo el documento original, escribiendo la versión cifrada sobre el documento original y cambiando el nombre del documento (sobrescribir).

    Copiar significa que los documentos cifrados se almacenan en sectores de disco disponibles libres. Se realiza leyendo el documento original, escribiendo la copia encriptada (con diferentes nombres de archivo y extensiones) y borrando el documento original.

    6. Renombra

    Normalmente, el ransomware cambia el nombre de los documentos de destino en el momento del cifrado. Esto se realiza para hacer más visible el daño, evitar que el usuario recupere sus archivos de versiones anteriores y evitar que otro ransomware cifre los documentos.

    Fondo de pantalla

    Los atacantes pueden reemplazar el fondo de escritorio con un mensaje claro para alertar a la víctima de que su sistema ha sido infectado por ransomware.

    Causas de ataques exitosos de ransomware

    En la mayoría de las circunstancias, los ataques de ransomware que afectaron a los objetivos fueron causados ​​por una amenaza interna o negligencia humana. Los iniciados maliciosos pueden contratar a un pirata informático externo para ayudar a derribar la organización a través de correos electrónicos de phishing bien redactados y otros tipos de ataques.

    En algunos casos, los ataques exitosos también se llevaron a cabo utilizando las credenciales de los internos maliciosos. Los ataques exitosos de ransomware también se han completado debido a la falta de parches del sistema oportunos y una gestión adecuada de las políticas de seguridad, lo que deja las vulnerabilidades abiertas para su explotación. Esas son también las razones detrás del exitoso ataque WannaCry.

    Otras causas de ataques exitosos de ransomware son las siguientes:

    • Falta de formación en conciencia de seguridad para el personal;
    • Falta de apoyo de la alta dirección;
    • Negligencia del personal sin acción disciplinaria;
    • Usar software y aplicaciones ilegales;
    • Infraestructura de seguridad inadecuada;
    • Falta de políticas y procedimientos de seguridad de la información para garantizar que los controles de seguridad se hayan implementado adecuadamente.

    Como responder a los ataques de ransomware

    Los ataques de ransomware son parte de los incidentes de seguridad, por lo que responder a este ataque requiere un plan de respuesta a incidentes o una capacidad de gestión de respuesta a incidentes establecidos.

    Las siguientes son algunas acciones que se pueden tomar tras un ataque de ransomware :

    1. Preparación

    1. "Instala un firewall humano" obteniendo el mejor equipo de respuesta a incidentes para detener el ransomware en una etapa temprana. Esto también "se puede lograr proporcionando capacitación específica para el equipo".
    2. "Establece un plan de respuesta" a incidentes y un equipo de respuesta a incidentes.

    2. Detección y análisis

    1. "Analiza la situación" mediante un ejercicio de mesa.
    2. Informe un comportamiento sospechoso.
    3. "Utiliza una caja de arena que permita a los usuarios ejecutar el ransomware sospechoso" en un sistema virtual y analizar el comportamiento del ransomware.

    3. Contención

    1. "Restablece los métodos de autenticación" (contraseñas, códigos de entrada y claves de autenticación.
    2. "Cierra sesión en todas las cuentas de usuario" con privilegios administrativos.
    3. "Aisla los sistemas infectados" y controlar la propagación, desconecta inmediatamente estas máquinas infectadas de la red.
    4. "Bloquea los dominios" que no son de confianza del firewall.
    5. Informa las incidencias al organismo regulador. El tiempo necesario para informar los incidentes depende de las leyes aplicables en cada país. Si no se presenta antes de la fecha límite, la organización puede incurrir en sanciones severas.

    4. Erradicación

    1. "No consideres el pago de un rescate como primera opción", averigua si existen herramientas de descifrado de ransomware proporcionadas por agencias de seguridad seleccionadas.
    2. "Verifica las últimas copias de seguridad"; confirma si son válidos y se completaron con éxito.

    5. Recuperación

    1. "Limpia el sistema e instala" el nuevo sistema operativo.

    6. Seguimiento / Post-incidente

    1. "Realiza una reunión posterior" al incidente para evitar que vuelva a ocurrir el mismo ataque.
    2. "Actualiza el material y documenta el caso en los materiales" de capacitación en conciencia de seguridad.
    3. "Envía un mensaje de liderazgo a todos los empleados" sobre lo aprendido durante el ataque.

    También puedes leer: Qué Es Un Código Malicioso Y Ejemplos De Ataques

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir