Ciclo de vida de un ataque Ransomware

A medida que los ciberdelincuentes de hoy en día se vuelven más sofisticados, tienen más formas de ransomware y más vectores a través de los cuales pueden producir ataques a organizaciones que nunca antes. Incluso a medida que las empresas desarrollan contramedidas más eficaces, los delincuentes ajustan las tácticas y las herramientas para eludir sus esfuerzos.

Aunque los ataques de ransomware pueden parecer un poco misteriosos, generalmente siguen la misma estructura básica. Una vez que comprenda cómo funcionan estos ataques, puede preparar una estrategia de mitigación más integral que impulse su resiliencia cibernética y, con suerte, anule o disminuya los efectos de un ataque.

Aquí le mostramos más de cerca la anatomía de un ataque de ransomware, incluso cómo el atacante obtiene acceso a un sistema y lo infecta.

Vectores de infección y distribución

Ransomware es un tipo de malware que se usa para encriptar archivos informáticos importantes o datos sensibles para rescate. Las infecciones ocurren cuando el malware de ransomware se descarga e instala en dispositivos de toda la red de una organización.

Ransomware puede obtener acceso al sistema objetivo de varias maneras. En 2023, los avances tecnológicos aumentaron. La inteligencia artificial y las plataformas de ransomware como servicio han optimizado la capacidad de los hackers para ejecutar ataques de ransomware. La ingeniería social, los ataques patrocinados por el estado y los ataques de personas con información privilegiada están en aumento, pero la higiene deficiente del sistema y los correos electrónicos de phishing siguen siendo los vectores de ataque más comunes.

Los correos electrónicos de phishing generalmente contienen un enlace a un sitio web comprometido o un archivo adjunto con malware incorporado. Cuando el usuario hace clic en el enlace o archivo adjunto, el malware se descarga y ejecuta en el sistema informático.

Lea cinco áreas que crean vulnerabilidades comunes para ransomware.

El protocolo de escritorio remoto (RDP) es otro vector de ataque de ransomware común porque es fácil de usar y puede darle a un atacante acceso de alto nivel si puede acceder a credenciales legítimas. Los actores de amenazas pueden usar una variedad de técnicas, incluidos los ataques de fuerza bruta, el relleno de credenciales o la compra en la web oscura.

El acceso RDP comprometido comprado en la web oscura puede explotar una conexión RDP simplemente creando un script que busque el puerto predeterminado. Los hackers a menudo tienen acceso a las mismas herramientas que los profesionales de seguridad y pueden escanear toda la Internet en busca de un puerto abierto en menos de un minuto. 

El ex hacker Hector “Sabu” Monsegur analiza el panorama actual de la ciberseguridad y los desafíos con Andrew Miller de Pure en este seminario web según demanda.

Cifrado

Una vez que el ransomware se instala en el sistema objetivo, se encuentra en espera, recopilando datos en silencio e infectando tantos sistemas como sea posible. Luego, roba y/o encripta los archivos del sistema con los datos más valiosos y sensibles de la empresa. Ransomware a menudo puede destruir copias de seguridad o robar datos como parte del ataque, por lo que es importante que sus copias de seguridad sean seguras e inmutables.

Ahora veamos más de cerca algunos tipos y variantes de ransomware.

El ransomware criptográfico encripta los archivos, descifrando el contenido y haciéndolos ilegibles. Se necesita una clave de descifrado para restaurar los archivos a un formato legible. Luego, los ciberdelincuentes emiten demandas de rescate, prometiendo descifrar los datos o liberar la clave de descifrado una vez que se cumplan las demandas.

El ransomware de casilleros no encripta los archivos, pero bloquea completamente a la víctima de su sistema o dispositivo. Los ciberdelincuentes luego exigen un rescate para desbloquear el dispositivo. En términos generales, es posible recuperarse o evitar un intento de ataque criptográfico si hay una buena copia de seguridad disponible. Sin embargo, es más difícil y costoso recuperarse de un ataque de ransomware en un casillero. Incluso con datos de copia de seguridad, el dispositivo debe reemplazarse por completo.

El objetivo básico de un ataque de ransomware es extorsionar el dinero, pero las organizaciones pueden negarse a pagar, especialmente cuando cuentan con un buen sistema de copia de seguridad y recuperación. Por esta razón, los atacantes utilizan la doble extorsión, en la que los datos se encriptan y se extraen. Si la empresa se niega a pagar, los hackers amenazan con filtrar la información en línea o venderla al mejor licitador.

Y empeora. Tan devastador como suena el ransomware de doble extorsión, los expertos en seguridad advierten de una amenaza mayor: ransomware de triple extorsión. Los atacantes exigen dinero de terceros afectados, además de extraer datos y exigir rescates del objetivo inicial.

Por último, el ransomware como servicio (RaaS) utiliza el modelo estándar de software como servicio (SaaS ). Es un servicio basado en suscripción que les brinda a los suscriptores acceso a herramientas de ransomware desarrolladas previamente para lanzar ataques de ransomware. A los suscriptores se los denomina afiliados y ganan un porcentaje de cada pago de rescate. 

Notas y demandas de rescate

Una vez que el ransomware se ha implementado con éxito en la red objetivo, se realizan demandas de rescate. Los hackers alertan a la víctima de que ha ocurrido un ataque y detallan el rescate necesario para revertir el ataque. Las demandas de rescate se muestran en las pantallas de la computadora o se dejan en una nota en el directorio con los archivos cifrados.

Las solicitudes de rescate generalmente contienen detalles del monto del rescate, el método de pago requerido y la fecha límite de pago, así como la promesa de devolver el acceso a los archivos cifrados una vez que se haya pagado el rescate. Si se ha producido la exfiltración de datos, el hacker también puede acordar no exponer datos adicionales y mostrar evidencia de que los datos han sido destruidos. Por lo general, el pago se solicita en criptomoneda (p. ej., Bitcoin o Monero).

Sin embargo, incluso si se paga un rescate, no hay garantía de que el atacante restaurará los datos o cumplirá con las promesas. Pueden conservar una copia de los datos robados para usarla en una fecha posterior. Es posible que las claves de descifrado no funcionen por completo, dejen algunos datos cifrados o que contengan malware adicional no detectado que el atacante pueda usar en el futuro.

La negociación: ¿Pagar o no pagar?

La decisión de pagar o no una demanda de rescate puede ser complicada y depender de varios factores:

• ¿Qué tan significativo es el impacto de la violación en las operaciones comerciales?
• ¿Los empleados no trabajarán? ¿Cuántos y durante cuánto tiempo?
• ¿Qué tan grande es el riesgo de exposición de datos?

Para ver más de cerca las ventajas y desventajas de pagar y no pagar, lea la publicación del blog “¿Hit by Ransomware? Qué hacer a continuación”.

Si su sistema de copia de seguridad y recuperación no se ha visto afectado por el ransomware, es posible que pueda evitar pagar el rescate por completo (según el tipo de ransomware que lo afecte). Pero si pagar el rescate es realmente su única opción, es una buena idea contratar a un equipo de respuesta a incidentes experimentado para que lo ayude con las negociaciones y facilite el pago. 

Las secuelas: Restauración y recuperación

El tiempo de inactividad promedio después de un ataque de ransomware es de 24 días. Si paga el rescate, puede tomar varios días adicionales recibir la clave de descifrado e invertir el cifrado.

Tenga en cuenta que algunas variantes de ransomware identifican y destruyen las copias de seguridad en la red comprometida. Si las copias de seguridad se han destruido o cifrado, el proceso de recuperación puede volverse más complicado. Pero incluso si las copias de seguridad son utilizables, la recuperación aún podría ser un proceso largo, dependiendo del tipo de sistema de copia de seguridad y recuperación que tenga implementado.

Ya sea que pague el rescate o intente recuperar los datos usted mismo, planifique que todo el proceso de recuperación tarde varios días. También planifique algún grado de pérdida financiera, ya sea en forma de pagos de rescate, costos de respuesta a incidentes o pérdida de ingresos debido al tiempo de inactividad.

Vea cómo el proceso de recuperación podría variar entre dos organizaciones hipotéticas con diferentes capacidades de recuperación en el artículo “Un cuento de dos ataques de Ransomware: ¿Qué empresa es usted?”

Prepárese para responder ante un ataque

Un ataque de ransomware es un riesgo para el que no puede estar preparado. Puede pensar que está haciendo todo lo correcto para mantenerse seguro, pero confiar en las arquitecturas de copia de seguridad heredadas no lo protegerá de los ataques modernos.

¿La mejor manera de responder a un ataque? Solo las soluciones modernas, como las snapshots SafeMode dePure Storage ® y FlashBlade//S conrestauración rápida, que ofrece un rendimiento de recuperación de petabytes a escala, pueden llevar su estrategia de seguridad al siguiente nivel.