Ciclo de vida de un ataque de ransomware

A medida que los ciberdelincuentes de hoy en día se vuelven más sofisticados, disponen de más formas de ransomware y más vectores a través de los cuales pueden realizar ataques a las organizaciones que nunca. Incluso a medida que las empresas desarrollan contramedidas más eficaces, los delincuentes ajustan las tácticas y las herramientas para eludir sus esfuerzos. 

Pero aunque los ataques de ransomware pueden parecer un poco misteriosos, suelen seguir la misma estructura básica. Una vez que comprenda cómo funcionan estos ataques, puede preparar una estrategia de mitigación más integral que, con suerte, impedirá o disminuirá los efectos de un ataque.

A continuación puede encontrar información más completa sobre la anatomía de un ataque de ransomware, incluida la forma en que el atacante obtiene acceso e infecta un sistema. 

Vectores de infección y distribución

El ransomware es un tipo de programa malicioso que se utiliza para cifrar archivos informáticos importantes o datos confidenciales a cambio de un rescate. Las infecciones se producen cuando el programa malicioso ransomware se descarga e instala en los dispositivos de la red de una organización. 

El ransomware puede obtener acceso al sistema de destino de varias maneras. La manera más común es mediante correos electrónicos de suplantación de identidad que contienen un enlace a un sitio web comprometido o un archivo adjunto con programa malicioso incrustado. Cuando el usuario hace clic en el enlace o archivo adjunto, el programa malicioso se descarga y ejecuta en el sistema informático. 

Obtenga información sobre cuatro áreas que crean vulnerabilidades comunes para el ransomware. >>

El Protocolo de escritorio remoto (RDP) es otro vector de ataque de ransomware común porque es fácil de usar y puede otorgar acceso de alto nivel a un atacante. De hecho, en 2020, el RDP fue el vector de ataque inicial en la mitad de todos los casos de ransomware informados. 

El acceso a RDP comprometido se puede comprar en la web oscura, y encontrar una conexión RDP expuesta es solo cuestión de crear un script que busque el puerto predeterminado. Los piratas informáticos suelen tener acceso a las mismas herramientas que los profesionales de la seguridad y pueden escanear todo Internet en busca de un puerto abierto en menos de un minuto. 

Otros vectores de distribución, como el ransomware WannaCry, intentan infectar los sistemas directamente. WannaCry infecta los ordenadores que ejecutan el sistema operativo Microsoft Windows y cifra los archivos en el disco duro del ordenador. Luego exige el pago de un rescate en Bitcoins. WannaCry, lanzado por primera vez en 2017, todavía está activo y ha afectado a más de 100 000 organizaciones de todo el mundo.

Mire el seminario web bajo demanda para ver la anatomía de un ataque de ransomware y cómo diseñar una estrategia de protección que aborde cada fase.. 

Cifrado

Una vez que el ransomware se instala en el sistema de destino, espera, recopila datos en silencio e infecta tantos sistemas como puede. Luego roba o cifra los archivos del sistema con los datos más valiosos y confidenciales de la empresa. El ransomware a veces puede destruir las copias de seguridad o robar datos como parte del ataque, pero el objetivo principal generalmente es cifrar tantos archivos o sistemas como sea posible para que la organización quede inoperativa.

El ransomware se presenta en varios tipos y variantes, que incluyen los criptográficos, bloqueadores, de extorsión y el ransomware como servicio (RaaS).

El ransomware criptográfico cifra archivos, codificando el contenido y haciéndolos ilegibles. Se necesita una clave de descifrado para restaurar los archivos a un formato legible. Luego, los ciberdelincuentes emiten demandas de rescate, prometiendo descifrar los datos o liberar la clave de descifrado una vez que se cumplan sus exigencias.

El ransomware bloqueador no cifra los archivos, pero bloquea completamente a la víctima fuera de su sistema o dispositivo. Luego, los ciberdelincuentes exigen un rescate para desbloquear el dispositivo. En términos generales, es posible recuperarse o evitar un intento de criptoataque si se dispone de una buena copia de seguridad. Sin embargo, recuperarse de un ataque de ransomware de bloqueo es más difícil y caro. Incluso con copias de seguridad de los datos, el dispositivo debe reemplazarse por completo.

El objetivo básico de un ataque de ransomware es extorsionar dinero. Sin embargo, las organizaciones pueden negarse a pagar, especialmente si cuentan con un buen sistema de copia de seguridad y recuperación. Por esta razón, los atacantes han comenzado a utilizar una nueva técnica recientemente llamada doble extorsión, en la que los datos se cifran y se roban. Si la empresa se niega a pagar, los piratas informáticos amenazan con filtrar la información en línea o venderla al mejor postor.

Y es aún peor. Tan devastador como suena el ransomware de doble extorsión, los expertos en seguridad advierten de una amenaza mayor:: ransomware de triple extorsión. Los atacantes exigen dinero a los terceros afectados, además de extraer datos y pedir rescate al objetivo inicial. 

Por último, el ransomware como servicio (RaaS) utiliza el modelo estándar de software como servicio (SaaS). Es un servicio basado en suscripción que brinda a los suscriptores acceso a herramientas de ransomware desarrolladas previamente para lanzar ataques de ransomware. Los suscriptores se conocen como afiliados y ganan un porcentaje de cada pago de rescate.

Notas de rescate y demandas

Una vez que el ransomware se ha implementado con éxito en la red de destino, hacer saber sus exigencias para el rescate. Los piratas informáticos alertan a la víctima de que se ha producido un ataque y detallan el rescate necesario para revertir el ataque. Las exigencias para el rescate se muestran en las pantallas de los ordenadores o se dejan en una nota en el directorio con los archivos cifrados. 

Las solicitudes de rescate generalmente contienen detalles sobre el importe del rescate, el método de pago requerido y la fecha límite para el pago, así como la promesa de devolver el acceso a los archivos cifrados una vez que se haya pagado el rescate. Si se ha producido la filtración de datos, el pirata informático también puede aceptar no exponer datos adicionales y mostrar evidencia de que los datos han sido destruidos. El pago generalmente se solicita en criptomoneda (por ejemplo, Bitcoin o Monero).

Sin embargo, incluso si se paga un rescate, no se tiene la garantía de que el atacante restaurará los datos o cumplirá sus promesas. Pueden conservar una copia de los datos robados para utilizarlos en una fecha posterior. Es posible que las claves de descifrado no funcionen por completo, dejando algunos datos cifrados, o pueden contener programa malicioso adicional no detectado que el atacante puede usar en el futuro.

La negociación: ¿pagar o no pagar?

La decisión de pagar o no una demanda de rescate puede ser complicada y depende de varios factores:

• ¿Cómo de importante es el impacto de la brecha en las operaciones comerciales?
• ¿Estarán los empleados sin trabajo? ¿Cuántos de ellos y durante cuánto tiempo?
• ¿Cómo es de grande el riesgo de exposición de datos?

Para ver más de cerca los pros y los contras de pagar y no pagar, lea la publicación de blog Ha sido atacado por ransomware. ¿Ahora qué?

Si su sistema de copia de seguridad y recuperación no se ha visto afectado por el ransomware, es posible que pueda evitar pagar el rescate por completo (según el tipo de ransomware que le haya afectado). Pero si pagar el rescate es realmente su única opción, es una buena idea contratar a un equipo de respuesta a incidentes con experiencia para ayudar con las negociaciones y facilitar el pago.

Las consecuencias: restauración y recuperación

El tiempo de inactividad medio tras un ataque de ransomware es de 21 días. Si paga el rescate, es posible que tarde varios días más en recibir la clave de descifrado y revertir el cifrado. 

Tenga en cuenta que algunas variantes de ransomware identifican y destruyen las copias de seguridad en la red comprometida. Si las copias de seguridad se han destruido o cifrado, el proceso de recuperación puede volverse más complicado. Pero incluso si se pueden utilizar las copias de seguridad, la recuperación aún podría ser un proceso largo, según el tipo de sistema de copia de seguridad y recuperación del que disponga.

Tanto si paga el rescate como si intenta recuperar los datos usted mismo, tenga planificado que todo el proceso de recuperación puede tardar varios días. Planifique también algún grado de pérdida financiera, ya sea en forma de pagos de rescate, costes de respuesta a incidentes o pérdida de ingresos debido al tiempo de inactividad.

Vea cómo podría variar el proceso de recuperación entre dos organizaciones hipotéticas con diferentes capacidades de recuperación en el artículo Historia de dos ataques de ransomware: ¿Qué empresa es la suya?

Esté preparado para responder a un ataque

Un ataque de ransomware es un riesgo para el que no puede permitirse el lujo de no estar preparado. Puede pensar que está haciendo todo lo correcto para mantenerse seguro, pero confiar en arquitecturas de copia de seguridad heredadas no le protegerá de los ataques modernos. 

¿La mejor manera de responder a un ataque? Solo las soluciones modernas como Pure Storage® FlashBlade® con instantáneas SafeMode™ y Rapid Restore®, que ofrece un rendimiento de recuperación de datos de hasta 270 TB/hora, pueden llevar su estrategia de seguridad al siguiente nivel.