Los ataques de ransomware han ido en aumento durante los últimos años. Al igual que otras amenazas de ciberseguridad, representa un riesgo para el activo más importante que hoy en día tienen las empresas: sus datos.
La mayor parte de estos ataques tienden a seguir un patrón similar y conocer cuáles son sus etapas se vuelve vital para saber a qué nos enfrentamos para poder combatirlo. Es por eso que a continuación encontrarás toda la información que necesitas para saber en qué consisten y cómo responder frente a ellos.
¿Qué es el ransomware?
El ransomware es un tipo de malware que emplea el cifrado para solicitar un rescate a las víctimas a cambio de la devolución de su información, ya sea personal o de la empresa. De esta manera, los atacantes bloquean archivos para impedir que sus dueños puedan acceder y exigen un pago para liberarlos, por lo general en criptomonedas.
Durante los últimos dos años este delito se ha incrementado en más de un 90% a nivel mundial. Los ciberdelincuentes tienden a unir fuerzas en una gran red para poner el foco en las bases de datos de distintas organizaciones. Por lo tanto, las medianas y grandes empresas se ven en la necesidad de replantear sus sistemas y crear una estrategia de ciberseguridad exitosa.
¿Cuáles son las etapas de un ataque de ransomware?
Si bien no existen incidentes exactamente idénticos, el comportamiento de los ciberdelincuentes permite rastrear un patrón de conducta. Según IBM, un ataque de ransomware consta de 5 etapas. Veamos en qué consiste cada una de ellas.
1. Acceso inicial
Los métodos más comunes para acceder a datos privados mediante el ransomware son el phishing y la explotación de vulnerabilidades. Esta última puede incluir los servicios remotos externos y la explotación de una aplicación pública.
Por otra parte, generalmente los atacantes distribuyen troyanos de acceso como Valak, Bazar, QakBot o TrickBot.
2. Post explotación
La segunda etapa de un ataque de ransomware puede implicar el uso de un malware de seguridad ofensiva o una herramienta de acceso remoto.
Las herramientas utilizadas con más frecuencia son Metasploit y Cobalt Strike. Mientras que los troyanos usados comúnmente en esta fase es NetSupport Manager.
3. Comprensión y ampliación
Durante la tercera instancia los operadores del ransomware se enfocan en comprender el sistema y su dominio con el objetivo de adquirir credenciales que les permitan acceder libremente a los datos. Generalmente esto se logra por medio de softwares integrados como tasklist, whoami y net.
Para lograrlo, los atacantes aprovechan AdFind, una utilidad de código abierto que permite obtener una lista de controladores de dominio y agregar un archivo para filtrar los datos.
4. Selección y exfiltración de datos
En la cuarta etapa de un ataque de ransomware es donde se produce efectivamente la fuga de información. De esta forma los ciberdelincuentes se concentran en identificar la información de valor para poder filtrarla posteriormente.
Durante el proceso de identificación suelen utilizar sistemas adicionales como RPC, SMB y el protocolo de escritorio remoto (RDP).
5. Implementación del ransomware
En último lugar, en la etapa final de un ataque de ransomware los operadores utilizan un controlador de dominio como punto de distribución. Para lograr su objetivo suelen usar SBM y herramientas como CrackMapExec.
Red Team: nuestro servicio de seguridad ofensiva preventiva
Nuestro equipo de ciberseguridad ofrece Red Team, un servicio destinado a ayudar a las organizaciones a detectar si están o no preparadas para resistir a un ataque de ransomware.
Mediante un Penetration Test, podemos realizar pruebas ofensivas que funcionan como un simulador de amenazas. De esta forma es posible comprobar los mecanismos de defensa existentes en los sistemas de nuestros clientes.
A partir de identificar sus vulnerabilidades podemos diseñar un sistema de contención ante futuros riesgos relacionados al ransomware y otros tipos de malware.
¿Quieres proteger los datos de tu compañía? Te invitamos a ponerte en contacto con nosotros para que podamos planificar mejoras en tus políticas de ciberseguridad.