Aunque en 2022 descendió la cantidad de incidentes de este tipo y los equipos de seguridad han mejorado su capacidad de detección, el ransomware sigue siendo una de las mayores amenazas para las organizaciones de todo el mundo. Y la mejor forma de combatirlo es una buena defensa que detenga la intrusión en sus primeras etapas, lo que minimizará las consecuencias.
La mayoría de los ataques se producen de manera similar. Primero encuentran la forma de infiltrarse en el equipo, secuestran la información, cifran los archivos y bloquean el acceso. Luego exigen el pago de un rescate para obtener la clave de cifrado que habilite la recuperación de los datos, generalmente estableciendo una fecha límite para el pago. La amenaza es que, si la víctima no paga a tiempo, los datos se borrarán de forma permanente o el valor del rescate se incrementará.
El inicio del ataque
El primer paso de los atacantes es ingresar al sistema de la víctima, y pueden hacerlo mediante distintas técnicas. Entre ellas, el phishing es una de las más frecuentes. Los ciberdelincuentes envían correos electrónicos que imitan fuentes conocidas y confiables para la empresa u organización en cuestión, pero que en realidad lo que portan es un archivo adjunto malicioso que, al descargarse, instala el ransomware en el sistema.
La explotación de vulnerabilidades del sistema es otra técnica muy utilizada. Puede tratarse de un software desactualizado, una configuración de red insegura o una vulnerabilidad de día cero, es decir, una debilidad aún desconocida para la comunidad de seguridad o identificada pero aún no reparada. Investigadores han creado una lista de las vulnerabilidades más explotadas por los ciberdelincuentes.
Otra forma de acceder a los sistemas es a través de las contraseñas débiles. A menudo, las personas utilizan contraseñas que son fáciles de adivinar, como “123456” o “contraseña”. Los atacantes pueden probar estas claves comunes o utilizar herramientas automatizadas para obtener la contraseña correcta.
Etapa de reconocimiento
Después del acceso inicial, los piratas usan herramientas para recopilar información, como escaneos de puertos, análisis de tráfico de red, ingeniería social y otras técnicas que les permiten identificar los objetivos y las vulnerabilidades potenciales de la red.
El movimiento lateral es la instancia de explorar la red comprometida, es decir, moverse desde el equipo infectado al resto del sistema asociado, para obtener control de toda la red y acceder a información adicional.
Este momento puede durar semanas, días u horas, dependiendo de lo que los atacantes demoren en acceder a información crítica y sensible, como datos financieros o de propiedad intelectual.
La exfiltración de información es la etapa en que los datos son robados. Desde Eset detallan que algunas de las técnicas utilizadas son la creación de backdoors, el uso de herramientas de acceso remoto, la explotación de vulnerabilidades en la red o la utilización de malware del tipo infostealer, que están diseñados precisamente para robar información sensible del equipo infectado. En algunos casos, los atacantes también utilizan el phishing como técnica para obtener las credenciales de acceso de la víctima.
Deployment
Es el momento en el que los atacantes despliegan el ransomware y cifran los archivos, cambiándoles la extensión e impidiendo el acceso a los mismos. Aquí es cuando aparece un mensaje de los ciberdelincuentes, en el que notifican el ataque y piden el rescate para recuperar el acceso a los datos.
Además del cifrado de archivos, algunos tipos de ransomware también pueden llevar a cabo otras acciones maliciosas, como la eliminación de copias de seguridad o de logs y la propagación del malware a otros sistemas.
Extorsión
Para devolver el acceso a los archivos, los atacantes exigen un pago en criptomonedas con una fecha límite. Si esto no diera resultado, en muchos casos se amenaza a la víctima con hacer pública la información robada, lo que puede exponer no sólo datos importantes para la organización sino también información sensible de usuarios o clientes, resultando en una pérdida de reputación o incluso en sanciones legales.
La publicación de estos datos se realiza en sitios web de filtraciones utilizados por grupos de ransomware, y puede estar disponible para descargar o comprar en el mercado clandestino. Esta información puede ser utilizada para llevar a cabo más ataques o para el robo de identidad. A su vez, puede ser adquirida por compradores anónimos, lo que dificulta la identificación de los responsables de los ataques.
Consejos
Eset realiza esta lista de recomendaciones para evitar o detener un ataque de ransomware.
- Mantener el software actualizado, tanto de sistemas operativos como de aplicaciones, ya que las actualizaciones pueden incluir parches de seguridad que corrijan vulnerabilidades que pueden ser aprovechadas por cibercriminales.
- Usar soluciones de seguridad confiables, como antivirus, firewall y otras herramientas para protegerse contra el ransomware y otros ataques de malware.
- Realizar copias de seguridad periódicamente. Esto aplica a usuarios hogareños como organizaciones. Es importante almacenar el backup en un lugar seguro y fuera del equipo del cual se realizó la copia, así se mantiene lejos del alcance de los ciberdelincuentes.
- Educar al personal. Quienes forman parte de las organizaciones o empresas deben ser conscientes de los riesgos de ser afectado por un ransomware o por alguna otra amenaza informática. Por eso es fundamental que se proporcione formación en conceptos claves de ciberseguridad, para que los trabajadores sepan reconocer correos electrónicos de phishing y otras técnicas utilizadas por los ciberdelincuentes.
- Las políticas de seguridad sólidas son normas obligatorias de seguridad para cualquier organización, como el uso de contraseñas seguras y la limitación del acceso a datos y sistemas críticos.
- Las organizaciones deben tener un plan de respuesta a incidentes para estar preparados en caso de un ataque de ransomware. Debe incluir los pasos a seguir para minimizar los daños y recuperar los datos de forma segura y rápida.
- Verificar la procedencia de los archivos adjuntos y enlaces. Siempre se debe verificar la procedencia de los archivos adjuntos y enlaces antes de abrirlos o hacer clic en ellos, ya sea desde los equipos de oficina como de los hogareños, ya que pueden ser utilizados por los ciberdelincuentes para distribuir el ransomware.