Anatomía de un ataque de ransomware

¿Cómo funcionan los ataques de ransomware? Por lo general, comienzan con el acceso inicial a los sistemas de la víctima y terminan con el cifrado de archivos y una demanda de rescate. Diferentes actores de amenazas utilizarán diferentes técnicas y herramientas, pero la mayoría seguirá un plan de ataque común:

Entrega

Los ciberdelincuentes primero tienen que encontrar una forma de acceder a su sistema. Los correos electrónicos de phishing son el método favorito del que la mayoría de las organizaciones están alerta, pero tenga cuidado con otros métodos menos directos, como:

• Anuncios maliciosos (también conocido como publicidad maliciosa) en sitios web legítimos que redirigen a los usuarios a sitios web que alojan kits de explotación;

• las llamadas "descargas no autorizadas", mediante las cuales visitar sitios web comprometidos o maliciosos puede desencadenar la descarga y ejecución automáticas de ransomware sin el conocimiento del usuario; y

• Vulneración de seguridad de protocolo de escritorio remoto (PER). En este enfoque, los atacantes aprovechan las vulnerabilidades en un PER para obtener acceso a un sistema e instalar manualmente el ransomware.

Ejecución 

Una vez que están en su sistema, el actor de amenazas instalará el ransomware en él. Esto puede implicar la instalación de herramientas adicionales o componentes de malware que lo ayudarán a evadir la detección por parte de su software de seguridad y garantizar que sobreviva en su red.

Escalada de privilegios 

El ransomware a menudo intenta obtener privilegios elevados o derechos de administrador para acceder a archivos críticos y cifrarlos.

Cifrado 

El ransomware comienza a cifrar archivos en su sistema o red, haciéndolos inaccesibles. Por lo general, se dirige a una amplia gama de tipos de archivos, incluidos documentos, imágenes, bases de datos y más. Algunos tipos de ransomware también pueden cifrar archivos de copia de seguridad o instantáneas para evitar una fácil recuperación.

Demanda de rescate

Una vez que se completa el cifrado, el ransomware muestra una nota de rescate o emite instrucciones sobre cómo pagar un rescate. Esta nota incluye detalles sobre el monto del pago, la criptomoneda que se utilizará e instrucciones para contactar al actor de amenazas. Algunos ransomware también amenazarán con la pérdida permanente de datos o aumentarán el monto del rescate si la víctima no cumple. Si las víctimas se niegan a pagar un rescate, algunas pandillas usan ransomware que extrae datos confidenciales y los pone a la venta en la dark web (un movimiento conocido como "doble extorsión").

Pago

Los ciberdelincuentes a menudo le dirán a la víctima cómo crear una billetera de criptomonedas, cómo comprar la criptomoneda requerida y enviarla a la dirección de billetera especificada.

Pagar el rescate no garantiza que el autor de la amenaza descifrará los archivos o restaurará el acceso. De hecho, como han descubierto muchas organizaciones para su consternación, aceptar pagar un rescate a menudo se tratará como una señal de que hay más dinero disponible.

Prevención de ataques de ransomware y mitigación de sus efectos

Haga copias de seguridad de sus datos con regularidad. Mantenga copias de seguridad seguras y actualizadas de datos críticos fuera de línea o en sistemas separados. Pruebe las copias de seguridad de vez en cuando para asegurarse de que sean confiables.

• Repare y actualice sus sistemas. Mantenga actualizados los sistemas operativos, las aplicaciones de software y el software de seguridad con los últimos parches y actualizaciones de seguridad. Esto ayuda a proteger contra las vulnerabilidades conocidas que podría explotar el ransomware.

• Implemente medidas de seguridad. Utilice soluciones de seguridad sólidas, incluidos cortafuegos, software antivirus y antimalware, sistemas de detección de intrusos y filtros de correo electrónico. Actualice y configure periódicamente estas soluciones para obtener la máxima eficacia. Asegúrese de tener una solución de seguridad cibernética que pueda monitorear continuamente su superficie de ataque en busca de vulnerabilidades nuevas y emergentes.

• Mantenga a su gente educada y consciente. Capacite a todos los que tengan acceso a su red y sistemas para identificar y evitar correos electrónicos de phishing, archivos adjuntos o enlaces sospechosos. Enséñales hábitos de navegación seguros y la importancia de ser cautos con los mensajes no solicitados e inesperados.

• Siga el principio de privilegio mínimo. Restrinja los permisos a lo que sea necesario para que el usuario haga su trabajo. Revise y revoque periódicamente los derechos de acceso innecesarios.

• Implemente la segmentación de la red. Aísle los sistemas y datos críticos para limitar el movimiento lateral del ransomware dentro de la red.

• Desarrolle y pruebe un plan de respuesta y recuperación ante incidentes. Asegúrese de que describe los pasos a seguir en caso de un ataque de ransomware. Esto incluye aislar los sistemas infectados, notificar a las autoridades correspondientes y restaurar las operaciones a partir de las copias de seguridad.

• Utilice una solución de seguridad en la que pueda confiar, respaldada por tecnología galardonada y 30 años de experiencia en la gestión de riesgos para algunas de las organizaciones más grandes en los sectores más complejos del mundo.