Pasar al contenido principal

¿Cómo funcionan los ataques de ransomware? Por lo general, comienzan con el acceso inicial a los sistemas de la víctima y terminan con el cifrado de archivos y una demanda de rescate. Diferentes actores de amenazas utilizarán diferentes técnicas y herramientas, pero la mayoría seguirá un plan de ataque común:

Entrega

Los ciberdelincuentes primero tienen que encontrar una forma de acceder a su sistema. Los correos electrónicos de phishing son el método favorito del que la mayoría de las organizaciones están alerta, pero tenga cuidado con otros métodos menos directos, como:

  • Anuncios maliciosos (también conocido como publicidad maliciosa) en sitios web legítimos que redirigen a los usuarios a sitios web que alojan kits de explotación;

  • las llamadas "descargas no autorizadas", mediante las cuales visitar sitios web comprometidos o maliciosos puede desencadenar la descarga y ejecución automáticas de ransomware sin el conocimiento del usuario; y

  • Vulneración de seguridad de protocolo de escritorio remoto (PER). En este enfoque, los atacantes aprovechan las vulnerabilidades en un PER para obtener acceso a un sistema e instalar manualmente el ransomware.

Ejecución 

Una vez que están en su sistema, el actor de amenazas instalará el ransomware en él. Esto puede implicar la instalación de herramientas adicionales o componentes de malware que lo ayudarán a evadir la detección por parte de su software de seguridad y garantizar que sobreviva en su red.

Escalada de privilegios 

El ransomware a menudo intenta obtener privilegios elevados o derechos de administrador para acceder a archivos críticos y cifrarlos.

Cifrado 

El ransomware comienza a cifrar archivos en su sistema o red, haciéndolos inaccesibles. Por lo general, se dirige a una amplia gama de tipos de archivos, incluidos documentos, imágenes, bases de datos y más. Algunos tipos de ransomware también pueden cifrar archivos de copia de seguridad o instantáneas para evitar una fácil recuperación.

Demanda de rescate

Una vez que se completa el cifrado, el ransomware muestra una nota de rescate o emite instrucciones sobre cómo pagar un rescate. Esta nota incluye detalles sobre el monto del pago, la criptomoneda que se utilizará e instrucciones para contactar al actor de amenazas. Algunos ransomware también amenazarán con la pérdida permanente de datos o aumentarán el monto del rescate si la víctima no cumple. Si las víctimas se niegan a pagar un rescate, algunas pandillas usan ransomware que extrae datos confidenciales y los pone a la venta en la dark web (un movimiento conocido como "doble extorsión").

Pago

Los ciberdelincuentes a menudo le dirán a la víctima cómo crear una billetera de criptomonedas, cómo comprar la criptomoneda requerida y enviarla a la dirección de billetera especificada.

Pagar el rescate no garantiza que el autor de la amenaza descifrará los archivos o restaurará el acceso. De hecho, como han descubierto muchas organizaciones para su consternación, aceptar pagar un rescate a menudo se tratará como una señal de que hay más dinero disponible.

Prevención de ataques de ransomware y mitigación de sus efectos

Haga copias de seguridad de sus datos con regularidad. Mantenga copias de seguridad seguras y actualizadas de datos críticos fuera de línea o en sistemas separados. Pruebe las copias de seguridad de vez en cuando para asegurarse de que sean confiables.

  • Repare y actualice sus sistemas. Mantenga actualizados los sistemas operativos, las aplicaciones de software y el software de seguridad con los últimos parches y actualizaciones de seguridad. Esto ayuda a proteger contra las vulnerabilidades conocidas que podría explotar el ransomware.

  • Implemente medidas de seguridad. Utilice soluciones de seguridad sólidas, incluidos cortafuegos, software antivirus y antimalware, sistemas de detección de intrusos y filtros de correo electrónico. Actualice y configure periódicamente estas soluciones para obtener la máxima eficacia. Asegúrese de tener una solución de seguridad cibernética que pueda monitorear continuamente su superficie de ataque en busca de vulnerabilidades nuevas y emergentes.

  • Mantenga a su gente educada y consciente. Capacite a todos los que tengan acceso a su red y sistemas para identificar y evitar correos electrónicos de phishing, archivos adjuntos o enlaces sospechosos. Enséñales hábitos de navegación seguros y la importancia de ser cautos con los mensajes no solicitados e inesperados.

  • Siga el principio de privilegio mínimo. Restrinja los permisos a lo que sea necesario para que el usuario haga su trabajo. Revise y revoque periódicamente los derechos de acceso innecesarios.

  • Implemente la segmentación de la red. Aísle los sistemas y datos críticos para limitar el movimiento lateral del ransomware dentro de la red.

  • Desarrolle y pruebe un plan de respuesta y recuperación ante incidentes. Asegúrese de que describe los pasos a seguir en caso de un ataque de ransomware. Esto incluye aislar los sistemas infectados, notificar a las autoridades correspondientes y restaurar las operaciones a partir de las copias de seguridad.

  • Utilice una solución de seguridad en la que pueda confiar, respaldada por tecnología galardonada y 30 años de experiencia en la gestión de riesgos para algunas de las organizaciones más grandes en los sectores más complejos del mundo.

Orbit Security

Orbit Security

Calificaciones de seguridad para mejorar la gestión de la superficie de ataque y el riesgo de terceros. Supervise las infracciones y vulnerabilidades que podrían explotar los actores de amenaza.

Learn more

Contacte un experto

Luis Carlos Nino

Luis Carlos Nino

Director | Analítica

Daniela Gomez

Daniela Gomez

Ejecutiva de cuentas | Ventas de SaaS y éxito del cliente