En los últimos años los ataques de ransomware se han convertido en una de las mayores amenazas para organizaciones en todo el mundo. Este tipo de malware se infiltra en el sistema de la víctima y cifra sus archivos, exigiendo un rescate a cambio de la clave de descifrado y liberación de los mismos.
Pero, ¿cómo funcionan exactamente estos ataques y cómo pueden prevenirse? En este artículo, exploraremos la anatomía de un ataque de ransomware, desde su entrada en el sistema hasta el momento en que se exige el rescate, diferenciando claramente cada una de las etapas según el tiempo que las separa del momento de la infección.
Acceso inicial: el comienzo del ataque
La etapa de acceso inicial es el primer paso en un ataque de ransomware. En esta fase, los atacantes buscan una forma de entrar en el sistema de la víctima. Pueden hacerlo mediante diversas técnicas, como el phishing, la explotación de vulnerabilidades o el uso de contraseñas débiles.
En el caso del phishing los atacantes envían correos electrónicos maliciosos que parecen provenir de una fuente confiable, como una organización legítima o entidad gubernamental. Estos correos electrónicos a menudo contienen un archivo adjunto o un enlace que, cuando se abre o se hace clic, descarga el ransomware en el sistema de la víctima.
Lectura relacionada: Vulnerabilidades más utilizadas por grupos de ransomware para obtener acceso inicial
En segundo lugar, la explotación de vulnerabilidades implica encontrar una debilidad en el sistema de la víctima, como un software desactualizado o una configuración de red insegura, que permita a los atacantes ingresar al sistema sin ser detectados. Una vez que los atacantes han encontrado una vulnerabilidad, pueden usar herramientas automatizadas para escanear la red y buscar más sistemas vulnerables.
Finalmente, los atacantes también pueden usar contraseñas débiles para acceder al sistema de la víctima. A menudo, las personas utilizan contraseñas que son fáciles de adivinar, como "123456" o "contraseña". Los atacantes pueden probar estas contraseñas comunes o utilizar herramientas automatizadas para adivinar la contraseña correcta.
Tareas de reconocimiento. Las horas, días o semanas posteriores al acceso inicial
Durante la etapa de reconocimiento los atacantes intentan obtener información sobre la red y los sistemas de la víctima, y también buscan posibles vulnerabilidades que puedan explotar.
Los cibercriminales pueden usar una variedad de técnicas para recopilar información, como escaneos de puertos, análisis de tráfico de red, ingeniería social y otras técnicas. Esta información se utiliza para identificar los objetivos y las vulnerabilidades potenciales de la red.
Una vez que los atacantes han identificado los sistemas vulnerables comienzan la etapa de movimiento lateral. Esto implica moverse a través de la red comprometida; es decir, desde el sistema o dispositivo comprometido inicialmente hacia otros sistemas en la red. El objetivo es extender su control sobre la red y obtener acceso a información adicional.
Los atacantes pueden utilizar herramientas como el acceso remoto y la explotación de vulnerabilidades para obtener acceso a otros sistemas de la víctima. Una vez que han comprometido un sistema, pueden intentar usar las credenciales del mismo para moverse a través de la red y acceder a otros sistemas. En esta etapa, se pueden ver desplegadas herramientas como Metasploit o CobaltStrike para buscar otras vulnerabilidades en la red y explotarlas.
El movimiento lateral puede continuar hasta que los atacantes han obtenido acceso a los sistemas de alto valor que contienen información crítica, como datos financieros o de propiedad intelectual. Una vez conseguido esto, se procede a la etapa de exfiltración de la información.
En la etapa de exfiltración, los atacantes roban de manera efectiva los datos valiosos de la víctima antes de cifrarlos y exigir posteriormente el pago de un rescate para que puedan recuperarlos. La exfiltración de información se hace como medida adicional para presionar a la víctima para que pague el rescate, ya que los atacantes amenazan con hacer públicos los datos robados, algo que hemos reportado en numerosos casos donde grupos de ransomware han atacado a entidades gubernamentales y organizaciones privadas de América Latina.
Para llevar a cabo la etapa de exfiltración, los atacantes buscan datos valiosos, como información financiera, datos personales o información de propiedad intelectual sobre la base de nombres o tipos de archivo, carpetas que los contienen, etcétera. Algunas de las técnicas utilizadas para exfiltrar datos pueden incluir la creación de backdoors, el uso de herramientas de acceso remoto, la explotación de vulnerabilidades en la red o la utilización de malware del tipo infostealer que están diseñados para robar información sensible del equipo infectado. En algunos casos, los atacantes también utilizan el phishing como técnica para obtener credenciales de acceso de la víctima.
Luego de obtener la información, los atacantes la envían a un servidor remoto controlado por los mismos, pudiendo utilizarlos como una moneda de cambio para presionar a la víctima para que pague el rescate: Si la víctima se niega a pagar, los atacantes pueden amenazar con hacer públicos los datos, lo que podría resultar en una pérdida de reputación o incluso en sanciones legales.
Lectura recomendada: Ransomware Hive atacó a más de 1300 compañías en el mundo
Finalmente, y ya alejándose de los momentos silenciosos o poco visibles a simple vista del ataque, los cibercriminales continúan con la etapa de deployment, también conocida como despliegue. En ella, los atacantes implementan y ejecutan el ransomware en la red de la víctima, cifrando los archivos. Particularmente, el código malicioso ejecutado comienza a cifrar los archivos de la víctima cambiando la extensión de los archivos, lo que impide el acceso a los mismos a menos que se pague el rescate. Los atacantes suelen dejar una nota de rescate en el sistema comprometido que contiene instrucciones detalladas sobre cómo pagar el rescate y recuperar el acceso a los archivos.
Además del cifrado de archivos, algunos tipos de ransomware también pueden llevar a cabo otras acciones maliciosas, como la eliminación de copias de seguridad o de logs y la propagación del malware a otros sistemas.
Extorsión: en los días, semanas o meses siguientes
Finalmente, nos encontramos con las acciones que realizan los cibercriminales para obtener un rédito económico de su ataque: La etapa de extorsión.
Para proporcionar la clave de descifrado que permita a la víctima recuperar los archivos cifrados los atacantes exigen el pago de un rescate en alguna criptomoneda. Pero esta no es la única medida de presión, ya que también suelen utilizar otras tácticas, como amenazar a la víctima con la publicación de la información robada en sitios que utilizan los grupos de ransomware donde incluyen el nombre de la víctima y detalles adicionales de la información. La misma puede estar disponible para su descarga o compra.
La publicación de archivos robados en sitios de filtraciones es una táctica que comenzó a observarse a fines de 2019 y que en 2020 fue adoptada por otros grupos de ransomware. El objetivo: presionar a la víctima y que pague el rescate. Los atacantes roban datos sensibles, como información financiera, datos personales o información de propiedad intelectual, y luego los publican en sitios web de filtraciones. Esto puede tener un impacto negativo en la reputación de la víctima u organización afectada, y puede llevar a sanciones legales. Los atacantes suelen amenazar con publicar esta información si observan que la víctima no está dispuesta a pagar el rescate, lo que puede hacer que la víctima cambie de opinión.
La venta de información robada es otra táctica utilizada por los atacantes para obtener beneficios económicos de su ataque. Si la víctima no paga el rescate, los atacantes pueden ofrecer la información robada para la venta a otros ciberdelincuentes en el mercado clandestino. Esta información puede ser utilizada para llevar a cabo más ataques o para el robo de identidad. Por otra parte, la información puede ser adquirida por compradores anónimos, lo que dificulta la identificación de los responsables de los ataques.
Recomendaciones
Algunos consejos para evitar un ataque de ransomware —o detenerlo en caso de que esté desarrollando— son:
- Mantener el software actualizado: Es importante que las organizaciones y usuarios mantengan actualizado el software de sus sistemas operativos y aplicaciones, ya que las actualizaciones pueden incluir parches de seguridad que corrijan vulnerabilidades que pueden ser aprovechadas por cibercriminales.
- Usar soluciones de seguridad confiables: Es fundamental tener instalado software antivirus, firewall y otras soluciones de seguridad confiables para protegerse contra el ransomware y otros ataques de malware.
- Realizar copias de seguridad (backup) de forma regular: Tanto usuarios hogareños como organizaciones deben realizar copias de seguridad de forma regular de todos sus datos y sistemas críticos. Es importante almacenar las copias de seguridad en un lugar seguro y fuera del equipo del cual se realizó la copia, así se mantiene lejos del alcance de los ciberdelincuentes.
- Educar a las personas: En el caso de las organizaciones, quienes las integran deben ser conscientes de los riesgos de ser afectado por un ransomware o por alguna otra amenaza informática. Las organizaciones deben proporcionar formación y educación a quienes trabajan internamente para sepan cómo reconocer correos electrónicos de phishing y otras técnicas utilizadas por los ciberdelincuentes para distribuir ransomware.
- Implementar políticas de seguridad sólidas: Las organizaciones deben implementar políticas de seguridad sólidas, incluyendo el uso de contraseñas seguras y la limitación del acceso a datos y sistemas críticos.
- Establecer un plan de respuesta a incidentes: Las organizaciones deben tener un plan de respuesta a incidentes en su lugar para estar preparados en caso de un ataque de ransomware. El plan debe incluir los pasos a seguir para minimizar los daños y recuperar los datos de forma segura y rápida.
- Verificar la procedencia de los archivos adjuntos y enlaces: Tanto colaboradores de organizaciones como usuarios hogareños deben verificar la procedencia de los archivos adjuntos y enlaces antes de abrirlos o hacer clic en ellos, ya que pueden ser utilizados por los ciberdelincuentes para distribuir el ransomware.