5 etapas de un ataque Ransomware

Como lo vimos en el blog pasado, el ransomware es un tipo de software malicioso diseñado para mantener como rehén un sistema informático o datos hasta que se pague una suma de dinero o rescate. Es importante mencionar, que aunque las empresas quieren evitarlo, es muy probable que en algun momento todos seamos víctimas de este tipo de ataques, ya sea por causas de la propia organización o incluso por un descuido de un tercero como lo hemos visto en casos que han sucedido en los últimos años. 

En este artículo te damos a conocer las 5 etapas que se ejecutan durante un ataque de ransomware, iniciando por el cómo el atacante logra entrar a los datos para terminar en cómo sobornan a su víctima y obtienen su objetivo.  

¿Cómo se origina un ataque de ransomware? 

Un ataque de ransomware es una amenaza cibernética en la que actores maliciosos se infiltran en una red, generalmente a través de una estafa de phishing, y cifran datos críticos, evitando así el acceso e impidiendo las operaciones comerciales. Esto se clasifica bajo el marco MITRE ATT&CK como «Datos cifrados para el impacto (T1486)». Luego, los atacantes extorsionan a la víctima exigiendo un rescate, generalmente en criptomonedas difíciles de rastrear como Monero o Bitcoin, para proporcionar la clave de descifrado necesaria para restaurar los datos. 

Un ejemplo bien conocido de la vida real es el ataque de 2020 a Garmin, una compañía de tecnología GPS; los atacantes cifraron los sistemas de servicio al cliente de Garmin y exigieron un rescate para restaurarlo. Con sus operaciones severamente interrumpidas, Garmin supuestamente pagó el rescate, lo que demuestra el impacto significativo y la eficacia de estos ataques. 

¿Cómo funciona el ransomware? 

Hay cinco etapas para un ataque de ransomware. En esta sección, vamos a examinar en qupe consiste cada una de ellas.  

Etapa 1: Acceso inicial 

La etapa inicial implica obtener acceso no autorizado, que generalmente se logra a través de intentos de phishing o explotando vulnerabilidades del sistema.  

Etapa 2: Post-explotación  

En la etapa posterior a la explotación, los atacantes pueden emplear herramientas de acceso remoto (RAT) u otros tipos de malware para establecer el control sobre el sistema comprometido. 

Etapa 3: Comprender y expandir 

En esta etapa, los atacantes aprenden sobre el sistema y el dominio comprometidos, y trabajan en el movimiento lateral para acceder a otros sistemas y dominios dentro de la red. Esto les ayuda a aumentar su control sobre la infraestructura de la organización objetivo. 

Etapa 4: Recopilación y exfiltración de datos 

Luego, los atacantes se concentran en identificar datos valiosos y robarlos haciendo copias para sí mismos. A menudo priorizan datos confidenciales como credenciales de inicio de sesión, información del cliente y propiedad intelectual con fines de doble extorsión. 

Etapa 5: Implementación y envío de la nota 

En esta etapa final, el ransomware criptográfico comienza a identificar y cifrar archivos en el sistema objetivo. Los atacantes también pueden deshabilitar las funciones de restauración del sistema o eliminar o cifrar copias de seguridad para aumentar la presión para pagar por la clave de descifrado. El ransomware sin cifrado puede bloquear la pantalla del dispositivo o inundarla con ventanas emergentes para evitar el uso. 

Una vez que se completa el cifrado o el bloqueo del dispositivo, los atacantes notifican a la víctima de la infección a través de un archivo de texto o una notificación emergente. La nota de rescate proporciona instrucciones sobre cómo pagar el rescate, generalmente a través de criptomonedas u otro método imposible de rastrear, a cambio de una clave de descifrado o la restauración de las operaciones normales. 

A menudo amenazan con publicar los datos extraídos en su sitio de filtración si las víctimas no pagan el monto del rescate, una práctica conocida como «doble extorsión». 

Para evitar ataques de ransomware es recomendable tener un conjunto de herramientas de prevención así como también de monitoreo y evaluación constante de la postura de seguridad, que te aseguren una protección completa para los datos de tu organización. 

En TrustDimension, diseñamos una propuesta que aborda el ransomware desde una perspectiva preventiva con los controles de seguridad ideales para cada punto que sea vulnerable, pero también tenemos servicios que preparan a cualquier organización para saber cómo reaccionar cuando ya están siendo atacados e incluso cuando ya se les está exigiendo pagar un rescate para regresar la operación. Es importante también estar preparado con los prácticas, comunicados y planes de acción que se deben detonar, una vez que ya no hay manera de redemiar el ataque. 

Si estás interesado en saber más de cómo proteger a tu empresa, contáctanos.

Fuente: Picus.