Por. Kurt Baker
¿Qué permite el ransomware hacer a los piratas informáticos?
En un ataque de ransomware, los piratas informáticos utilizan malware para cifrar, eliminar o manipular datos, propiedad intelectual o información personal. Esto permite a los atacantes retener la información, el dispositivo o el sistema digitalmente como rehenes hasta que la víctima cumpla con las demandas de rescate del ciberdelincuente, que generalmente implica un pago seguro e imposible de rastrear.
El ransomware sigue siendo una de las tácticas más rentables para los ciberdelincuentes, con demandas de rescate cada vez mayores que a menudo oscilan entre $ 1 millón y $ 10 millones de dólares. Es importante tener en cuenta que pagar la demanda de rescate del pirata informático no garantiza que el sistema se restaurará o que los datos robados no se compartirán ni venderán en la web oscura.
Tipos de ransomware
Las variantes de ransomware toman muchas formas. Aquí repasamos algunos de los tipos más comunes de ransomware :
Crypto ransomware o encriptadores cifran archivos y datos dentro de un sistema, haciendo que el contenido sea inaccesible sin la clave de descifrado.
Los casilleros bloquean completamente al usuario fuera de su sistema, haciendo que los archivos y las aplicaciones sean inaccesibles. Una pantalla de bloqueo muestra la demanda de rescate.
El scareware es un software falso que afirma haber detectado un virus u otro problema en la computadora o dispositivo móvil y pide al usuario que pague para resolver el problema. El scareware también puede bloquear una computadora o inundar la pantalla con alertas emergentes sin dañar los archivos.
Doxware o leakware amenaza con distribuir información confidencial personal o de la empresa en línea, lo que motiva a las víctimas a pagar el rescate para evitar que los datos privados caigan en las manos equivocadas o entren en el dominio público. Una variación es el ransomware con temática policial, en el que el ciberdelincuente se hace pasar por la policía y advierte que se ha detectado actividad ilegal en línea e insta a los usuarios a evitar la cárcel pagando una multa.
RaaS ( ransomware como servicio ) se refiere al malware alojado de forma anónima por un hacker “profesional” que maneja todos los aspectos del ataque, desde la distribución del ransomware hasta el cobro del pago y la restauración del acceso.
Los ataques sin archivos o ransomware sin archivos son ataques en los que la táctica inicial no da como resultado que se escriba un archivo ejecutable en el disco. El ransomware sin archivos utiliza herramientas del sistema operativo preinstaladas, como PowerShell o WMI, para permitir que el pirata informático realice tareas sin necesidad de ejecutar un archivo ejecutable malicioso en el sistema comprometido.
¿Cómo funcionan los ataques de ransomware?
A pesar de la amplia variedad de tipos de ataques de ransomware, la mayoría funciona de la misma manera. Por lo general, el malware se introduce en la red como un archivo infectado, que se descarga a través de un archivo adjunto de correo electrónico. El archivo inicia el programa ransomware, que infecta el sistema. Por lo general, en los ataques de ransomware, el malware está programado para cifrar datos y agregar una extensión de archivo, lo que hace que los archivos sean inaccesibles para el propietario.
Otras formas en que se inicia un ataque de ransomware incluyen:
Malvertising: Ataques que se originan cuando un usuario hace clic en un anuncio en línea falso o infectado.
Ataques drive-by ransomware: una forma más sofisticada de ransomware, un ataque drive-by aprovecha las vulnerabilidades en varios complementos del navegador para lanzar el ataque. No requiere ninguna acción humana.
Ataques al sistema de copia de seguridad: Ataques de malware que se dirigen a los sistemas de copia de seguridad del usuario para eliminar la posibilidad de que la víctima pueda restaurar los datos personalmente.
Ransomware móvil: Ataques de ransomware que se dirigen específicamente a dispositivos móviles, como teléfonos inteligentes y tabletas.
Ingeniería social: los piratas informáticos de ransomware pueden combinar otras técnicas de ataque, como el phishing, para recopilar información personal y adaptar su alcance, lo que aumenta la probabilidad de éxito.
¿Qué sucede durante un ataque de ransomware?
Aunque existe cierta variedad en los tipos de ataques de ransomware, la mayoría sigue el mismo patrón básico. Aquí revisamos las siete etapas básicas de un ataque de ransomware:
1. Introducción
La primera etapa de un ataque de ransomware, es cuando el atacante sienta las bases para su actividad. Esta etapa puede incluir la realización de phishing por correo electrónico u otras técnicas de ingeniería social, la investigación de las vulnerabilidades de la red, el navegador o el software que pueden explotarse, o la creación de sitios web maliciosos. Generalmente, el ciberdelincuente inicia el ataque incitando al usuario a hacer clic en un enlace malicioso, descargando un archivo infectado o interactuando con un activo comprometido para instalar el software malicioso en el sistema o dispositivo.
2. Infección
En esta etapa del ataque, el código malicioso establece una línea de comunicación con el atacante. Este canal también se puede utilizar para instalar malware adicional en el sistema. La fase de infección del ransomware puede ser breve, o puede durar meses o incluso años, ya que el ciberdelincuente espera el momento óptimo para lanzar un ataque. Dada la creciente sofisticación de los piratas informáticos, es posible que la organización ni siquiera sepa que se está produciendo un ataque. Para mitigar el riesgo, es crucial identificar el ataque lo antes posible, idealmente en la fase de infección cuando el malware aún está inactivo. Si la organización pierde esa ventana, entonces se necesita un plan de respuesta integral para minimizar el daño.
3. Ejecución
Después de la infección, el atacante activará el ataque. Durante esta fase, el malware comenzará a cifrar datos o archivos. Según el tipo de ataque, el dispositivo del usuario puede quedar bloqueado o inaccesible. Dado que es prácticamente imposible descifrar datos sin la clave de descifrado, la mayoría de las víctimas de ransomware tienen tres opciones en este punto: 1. Entregar los datos. 2. Recuperar datos perdidos de un sistema de respaldo o gemelo. 3. Pagar el rescate.
4. Demanda de rescate
En esta etapa, el ciberdelincuente inicia el contacto con la víctima del ransomware para recuperar el control de sus datos o dispositivo. La comunicación generalmente incluirá instrucciones detalladas sobre cómo pagar el rescate a través de una criptomoneda imposible de rastrear, como Bitcoin. En esta etapa, es poco probable que las víctimas individuales puedan acceder a sus datos o archivos cifrados; para corporaciones u otras organizaciones, esta fase puede afectar las operaciones, lo que genera pérdidas significativas de ingresos.
5. Pago y recuperación
En esta fase, la víctima paga la demanda de rescate. El pago del rescate generalmente se coordina a través de un canal seguro elegido por el atacante del ransomware; el pago se entrega a través de criptomonedas. En el mejor de los casos, el pago del rescate dará como resultado la restauración de los datos y archivos del usuario y no implica la venta de información copiada en la dark web. Es importante darse cuenta de que muchos ciberdelincuentes no poseen un fuerte sentido de integridad. Pagar un rescate, por grande que sea, no es garantía de que se restaurará su sistema.
6. Eliminación
Así como pagar un rescate no garantiza la restauración del sistema, tampoco significa que los atacantes de ransomware eliminarán todas las instancias de malware del sistema. Esto significa que las organizaciones que han sido violadas en el pasado corren un mayor riesgo de enfrentar un evento de este tipo en el futuro. Durante esta etapa, las organizaciones deben trabajar con su socio de ciberseguridad para analizar el tipo de ataque que ocurrió y asegurarse de que todas las instancias del malware se hayan eliminado de su red. La empresa de ciberseguridad puede ayudar a la organización a aislar las áreas afectadas de la red para eliminar el malware y minimizar el riesgo de reactivación durante el proceso de restauración.
7. Restauración
Una vez que el malware se ha eliminado de forma segura, el sistema puede reanudar el funcionamiento normal. Como parte de este proceso, es posible que la organización quiera trabajar con su socio de seguridad cibernética para desarrollar medidas de seguridad más sólidas para ayudar a prevenir ataques de ransomware (y otros tipos de ataques cibernéticos) en el futuro. Las organizaciones también pueden querer desarrollar un método de recuperación sofisticado que pueda conducir a la restauración del sistema sin necesidad de pagar el rescate en caso de futuros ataques.
¿Quién es un objetivo de ransomware?
Las organizaciones de todos los tamaños pueden ser el objetivo del ransomware. Aunque la “cacería de animales grandes” va en aumento, el ransomware suele estar dirigido a organizaciones pequeñas y medianas, incluidos los gobiernos estatales y locales, que se ven cada vez más como objetivos principales debido a sus equipos de seguridad relativamente pequeños o a la percepción de una falta de madurez en materia de seguridad.
Los objetivos ideales para el ransomware incluyen:
Cualquier grupo que se crea que tiene un pequeño equipo de seguridad o prácticas de seguridad relativamente laxas. Esto puede incluir universidades e instituciones de educación superior, ya que a menudo tienen un nivel más bajo de seguridad, una gran base de usuarios en evolución y un alto nivel de actividad en la red, incluido el uso compartido de archivos y la creación de activos.
Organizaciones con la capacidad de pagar un rescate y que enfrentan un daño significativo a su reputación si no lo hacen. Por ejemplo, los bancos, los servicios públicos, los hospitales y las agencias gubernamentales se ven gravemente afectados incluso por una breve interrupción del servicio de red, en términos de pérdida de ingresos o, en algunos casos, pérdida de vidas o sufrimiento humano. Estas organizaciones también enfrentan un daño significativo a su reputación al ser víctimas de un ciberataque de alto perfil o extendido.
Organizaciones que poseen datos confidenciales, incluida la propiedad intelectual, secretos comerciales, datos personales o registros médicos. Es más probable que estas organizaciones paguen el rescate no solo para recuperar el acceso a su sistema, sino también para evitar la mala publicidad y la vergüenza pública que puede estar asociada con ser víctima de una violación de datos.
Cómo protegerse contra un ataque de ransomware
Una vez que se ha llevado a cabo el cifrado de ransomware, a menudo es demasiado tarde para recuperar esos datos. Es por eso que la mejor defensa contra el ransomware se basa en la prevención proactiva.
El ransomware está en constante evolución, lo que hace que la protección sea un desafío para muchas organizaciones. Siga estas mejores prácticas para ayudar a mantener sus operaciones seguras:
Capacitar a todos los empleados en las mejores prácticas de ciberseguridad
Mantenga su sistema operativo y otro software parcheado y actualizado
Implementar y mejorar la seguridad del correo electrónico
Supervise continuamente su entorno en busca de actividad maliciosa y IOA
Integre la inteligencia de amenazas en su estrategia de seguridad
Desarrolle copias de seguridad fuera de línea a prueba de ransomware
Implementar un programa de administración de identidad y acceso (IAM)
Prevención de ataques de ransomware con CrowdStrike
CrowdStrike Falcon® ofrece protección contra ransomware.
Esta función se vuelve cada vez más valiosa a medida que aumenta la popularidad del ransomware. El enfoque con esta función es evitar que el ransomware infecte un sistema y cifre sus archivos. CrowdStrike cree que un enfoque de prevención es absolutamente necesario porque el descifrado a menudo es imposible y porque nadie quiere pagar el rescate o restaurar desde las copias de seguridad.
CrowdStrike usa su sensor de punto final para detectar comportamientos de ransomware y luego finaliza el proceso infractor antes de que pueda lograr su objetivo de cifrar archivos. Esto se hace usando patrones de indicador de ataque (IOA) de CrowdStrike en el punto final. Estos funcionan tanto en línea como fuera de línea, y son efectivos contra nuevas variantes y variantes polimórficas de ransomware que a menudo eluden las firmas antivirus heredadas.
Comments