¿Cómo opera el ransomware?

Es un día laboral común. Revisas un correo que parece venir de un compañero de trabajo, el cual tiene un archivo adjunto que, según el mensaje, contiene información importante para tu próximo proyecto. Sin dudarlo, haces clic para abrirlo. Sin embargo, en vez de datos relevantes, lo que ha sucedido es que has desatado una amenaza silenciosa: el ransomware ahora está en tu sistema, listo para secuestrar tus archivos.

En este artículo, profundizaremos sobre las diferentes formas en las que es posible infectarse con ransomware; te explicaremos cuáles son las fases de un ataque y qué variantes de ransomware existen en la actualidad.

¿Cómo me infecto con ransomware?

El ransomware puede infiltrarse en tus dispositivos de múltiples maneras, a continuación mencionamos los métodos más comunes de infección:

• Correos electrónicos de phishing: La técnica predilecta, disfrazando el ransomware en correos electrónicos que imitan fuentes confiables para engañarte y hacer que descargues archivos infectados. Según el Índice de Inteligencia de Amenazas de IBM 2023, el phishing fue identificado en el 41% de los incidentes en 2022.

• Vulnerabilidades del sistema operativo y del software: Viejos programas sin actualizar son ideales para que los atacantes inyecten ransomware sin necesidad de interacción directa de tu parte.

• Robo de credenciales:Mediante el robo o la adivinación de credenciales de acceso, los atacantes pueden entrar en tus sistemas y desplegar ransomware directamente, sin necesidad de engaños previos.

• Otro malware: A veces, el ransomware llega oculto dentro de otro malware que ya ha infectado tu dispositivo, actuando como un caballo de Troya para el ataque principal.

• Descargas ocultas: Al navegar por internet, puedes sin querer activar descargas que inyectan ransomware en tu dispositivo, especialmente al visitar sitios web comprometidos o al interactuar con anuncios maliciosos.

• Publicidad maliciosa (malvertising): A través de anuncios en línea comprometidos, los usuarios pueden ser redirigidos a sitios web que ejecutan automáticamente el código del ransomware.

Conocer estos métodos de infección es esencial para desarrollar estrategias efectivas de prevención y educar a los usuarios sobre cómo protegerse. La conciencia y el comportamiento seguro en línea son las primeras líneas de defensa contra el ransomware.

¿Cuáles son las fases de un ataque de ransomware?

Acceso Inicial

Las estrategias de acceso más comunes utilizadas por lo atacantes siguen siendo el phishing, como se describe en MITRE ATT&CK T1566; la explotación de vulnerabilidades, incluyendo la de aplicaciones públicas según T1190; y los servicios remotos externos T1133, como el aprovechamiento indebido del Protocolo de Escritorio Remoto (RDP). Su objetivo es establecer una presencia oculta que les permita operar sin ser detectados.

Postexplotación

Una vez dentro, utilizan herramientas de acceso remoto o inyectan malware adicional para mantener un control detallado y prolongado del sistema. Esta fase es esencial para consolidar su acceso, explorar la red y prepararse para acciones futuras.

Reconocimiento y expansión

Los ciberdelincuentes analizan la estructura de la red para localizar información crítica y activos valiosos. Luego, buscan extender su control a otros sistemas y dominios dentro de la red, aprovechando credenciales comprometidas y vulnerabilidades internas.

Recopilación y exfiltración de datos

Se enfocan en identificar y extraer datos valiosos, priorizando aquellos que pueden incrementar la presión sobre las víctimas. Utilizan la doble extorsión, amenazando con publicar la información robada si no se satisfacen sus demandas de rescate.

Implementación y demanda de rescate

Comienza el cifrado de archivos esenciales, junto con acciones para obstruir la recuperación de los datos, como deshabilitar herramientas de restauración y eliminar copias de seguridad. Finalmente, informan a la víctima del ataque a través de una nota de rescate, indicando cómo efectuar el pago, usualmente en criptomonedas, para obtener la clave de descifrado o evitar la divulgación de datos comprometidos.

¿Cuáles son las principales variantes de ransomware?

Desde 2020, se han identificado más de 130 variantes activas de ransomware, cada una con características únicas. Algunas de estas variantes son particularmente notorias por su impacto y su influencia en el desarrollo de ataques futuros.

• CryptoLocker: Pionero en la era moderna del ransomware desde septiembre de 2013, CryptoLocker destacó por utilizar una red secuestrada para cifrar archivos con eficacia, recaudando alrededor de 3 millones de USD antes de ser detenido en 2014. Inspiró a muchas otras variantes, como WannaCry, Ryuk y Petya.

• WannaCry: En 2017, este criptogusano afectó a 200,000 ordenadores en 150 países, explotando la vulnerabilidad EternalBlue de Windows. Con un impacto estimado de hasta 4,000 millones de USD, sigue siendo uno de los ataques más significativos.

• Petya y NotPetya: Petya cifra la tabla del sistema de archivos, impidiendo el arranque de Windows, mientras que NotPetya, en 2017, se dirigió principalmente a Ucrania y resultó en un borrador de datos que no permitía la recuperación post-pago.

• Ryuk: Desde 2018, Ryuk ha dirigido ataques a objetivos de alto valor, deshabilitando copias de seguridad y demandando rescates que superan el millón de USD. En 2021, se descubrió una variante con capacidades de propagación autónoma.

• DarkSide: Responsable del ataque al Colonial Pipeline en 2021, este grupo, probablemente basado en Rusia, afectó significativamente el suministro de combustible en la costa este de EE.UU. Además, ofrece su ransomware a través de RaaS.

• Locky: Distinguido por infectar a través de macros en documentos de Word, Locky se disfraza de factura legítima para ejecutar su carga útil cuando el documento se abre.

• REvil/Sodinokibi: REvil se ha hecho famoso por ataques de alto perfil y de doble extorsión, incluidos los contra JBS USA y Kaseya en 2021, con JBS pagando 11 millones de USD en rescate. A principios de 2022, autoridades rusas reportaron su desmantelamiento.

Conclusión

El ransomware representa no solo un riesgo para la seguridad de tus datos, sino también para la continuidad de tu negocio. En Hackmetrix, te ayudamos a transformar esta amenaza en una oportunidad para fortalecer tus medidas de ciberseguridad. A través de nuestros servicios de hacking ético (pentesting) y nuestra plataforma de seguridad y cumplimiento, ofrecemos una solución integral que protege contra el ransomware y mejora tu postura de seguridad.