¿Cómo se comporta un ataque de Ransomware, como identificarlo y cómo actuar ante este?

¿Cómo se comporta un ataque de Ransomware, como identificarlo y cómo actuar ante este?

    • Home
    • Sin categoría
    • ¿Cómo se comporta un ataque de Ransomware, como identificarlo y cómo actuar ante este?

¿Cómo se comporta un ataque de Ransomware, como identificarlo y cómo actuar ante este?

El Ransomware es considerado como uno de los malware más peligrosos y costosos tanto para usuarios como para organizaciones. Aunque este término es muy reconocido, muchas personas aún desconocen cómo funciona exactamente y como protegerse adecuadamente ante este tipo de malware.

El Ransomware está diseñado para cifrar o encriptar archivos de sistemas informáticos haciéndolos inutilizables e incluso puede dañar el funcionamiento de los equipos informáticos, además el peligro no sólo está en el cifrado, sino; en que puede propagarse a otros sistemas, y en muchos casos tienen la capacidad exfiltrar (robar, secuestrar) información incluso antes de dejarla inservible. Lo anterior puede tener consecuencias tanto operativas como legales, ya que la exfiltración de datos personales o confidenciales puede violar regulaciones de protección de datos personales, exponer al objetivo a sanciones severas ante la ley, clientes, pérdida de confianza y perjudicar la imagen del afectado.

 

FORMAS MÁS FRECUENTES DE INFECCIÓN POR RANSOMWARE

Las Principales causas de infección suelen ser:

  • Falta de políticas de seguridad o su incumplimiento: No tener normas o protocolos claros para el manejo de la información y acceso a sistemas pude dejar vulnerable a un usuario u organización.
  • Software Antivirus o Antimalware desactivado o desactualizado: Inexistente, deshabilitado, desactualizado o en mal funcionamiento, pueden facilitar la consecución de objetivos de un Ransomware o a un atacante.
  • Cuentas comprometidas: Cuentas de usuario, privilegiadas, de administrador o de servicio, son un punto crítico de entrada.
  • Puertos USB habilitados para dispositivos extraíbles: El uso de estos medios extraíbles sin restricción, facilitan el ingreso de malware en los equipos (incluido el Ransomware) y también permite que se guarden copias del malware en estos medios para propagarse a equipos fuera de la red.
  • Navegación por sitios inseguros o sospechosos: Son una vía común para propagar malware y distribuir Ransomware.

 

FASES DE UN ATAQUE DE RANSOMWARE

A continuación, se describen las principales fases por las que pasa un ataque de Ransomware, aunque no todos los ataques son idénticos, estas fases suelen ser las más comunes.

  1. Reconocimiento externo

El atacante realiza un análisis externo a la red para identificar cualquier vulnerabilidad, debilidad o punto de entrada para ingresar a la red del objetivo. Por lo general explotan fallos conocidos en software que está desactivado, mal configurado, sin protecciones básicas e incluso con fallas en la autenticación.

En esta fase según lo que identifique el atacante, determinará los primeros ataques puede llegar a efectuar (no sólo Ransomware).

  1. Infiltración

Una vez detectada una vulnerabilidad, el atacante gana acceso a un sistema en la red objetivo. Este acceso inicial puede ser a través de un exploit, phishing o credenciales comprometidas.

  1. Reconocimiento interno

Una vez dentro de la red, el atacante explora otras posibles debilidades internas. Los atacantes buscan cuentas con privilegios elevados, datos sensibles y otros sistemas vulnerables a los que puedan extender su acceso.

Suelen existir más vulnerabilidades internas que externas y menos controles.

El atacante buscará equipos, unidades de red, directorios y ficheros en la red para encontrar contraseñas sin cifrar, datos confidenciales e información muy importante.

  1. Desactivación de defensas

El atacante puede intentar desactivar los sistemas de defensa, como antivirus o firewalls, y ejecutar código malicioso para ganar acceso a cuentas privilegiadas. Esto incluye la eliminación de registros o la desactivación de protecciones de seguridad, descargar porciones de la memoria RAM para analizar información y ejecutar código para en un principio tratar de obtener cuentas privilegiadas o elevar privilegios.

  1. Persistencia

El atacante intenta asegurar de tener acceso continuo al sistema, incluso después de un reinicio. Puede instalar herramientas de acceso remoto o backdoors (puertas traseras).

Siempre que pueda, no sólo buscará acceso sino también que el equipo vuelva a re infectarse, infectar a otros, y distribuir copias del Ransomware.

  1. Exfiltración

En algunos casos, antes de cifrar los archivos, los atacantes roban información sensible, como credenciales de acceso o datos confidenciales, para usar como rehén en el rescate o para fines de espionaje. Esto depende de que tanto tiempo el atacante logre mantenerse dentro de la red, y para no despertar sospechas suelen controlar el volumen de tráfico conforme al tiempo que estimen disponer.

  1. Cifrado

Finalmente, el Ransomware cifra los archivos de todos los dispositivos y unidades accesibles. Esto hace que los archivos sean ilegibles sin la clave de descifrado, la cual se ofrece como pago del rescate.

  1. Nota de rescate o secuestro

Tras completar el cifrado, el Ransomware deja una nota de rescate archivo de texto, un fondo de pantalla y/o una ventana emergente en la pantalla de la víctima, indicando que los archivos han sido cifrados y exigiendo así un rescate para su recuperación.

 

CONSEJOS CLAVE

Prevención:

  • Política de contraseñas seguras: Utiliza contraseñas complejas y únicas para cada cuenta, especialmente para cuentas privilegiadas.
  • Cambio periódico de contraseñas: Implementa un periodo regular para cambiar contraseñas, especialmente en cuentas de acceso crítico sin olvidar cuentas de usuario, de administrador y de servicio.
  • Autenticación multifactor (MFA): Habilita MFA siempre que sea posible para añadir una capa adicional de seguridad.
  • Concienciación sobre phishing: Realiza campañas continuas para educar a los usuarios sobre los riesgos del phishing y cómo detectarlo. El Ransomware puede obtener la información inicial del ataque o ingresar directamente al sistema por medio de un phishing exitoso.
  • Mantenimiento y actualizaciones regulares: Mantén el sistema operativo, el software de aplicaciones y las herramientas de seguridad siempre actualizadas para mitigar vulnerabilidades conocidas.
  • Análisis de vulnerabilidades y pentesting: Realiza pruebas de penetración y análisis de vulnerabilidades de manera periódica para identificar puntos débiles en los sistemas que componen la red.
  • Inteligencia de amenazas: Implementa sistemas o controles de inteligencia de amenazas para identificar comportamientos sospechosos o patrones de ataque conocidos.
  • Segmentación de red: La separación de distintas subredes mediante Firewalls, VLANs y otras herramientas de segmentación de red consiguen ralentizar y, en los mejores casos, limitar la propagación del Ransomware dentro de la infraestructura.
  • Principios de privilegios mínimos: Configurar los niveles de acceso mínimos y estrictamente necesarios (ZeroTrust) para cada usuario y servicio dificulta o evita los intentos de movimientos laterales del Ransomware.
  • Protecciones contra macros y scripting: La mayoría de los Ransomware hacen uso de las macros de Office o ejecutan scripts con herramientas comunes del sistema, como Bash, POSIX shell, PowerShell, etc. Desactivar o restringir su uso puede ser crucial para evitar la infección inicial.
  • Cumplimiento Normativo: hoy en día existen múltiples marcos de cumplimiento, o regulaciones de seguridad de la información que tratan de estandarizar medidas de seguridad para minimizar impactos debido, entre otros, a este tipo de ataque.

Detección:

  • Monitoreo de tráfico de red: Presta atención al tráfico de salida, especialmente hacia servidores de almacenamiento o sitios web sospechosos que puedan estar asociados con el ataque.
  • Alertas por desactivación de antivirus y sistemas de protección: Configura alertas para cualquier intento de desactivación de los sistemas de protección.
  • Monitorización de comportamiento inusual: Vigila cualquier actividad inesperada, como la ejecución de comandos no autorizados, el cifrado masivo de archivos y uso de aplicaciones como PSEXEC.
  • Uso de herramientas avanzadas de detección de malware: Utiliza software de detección avanzado que identifique comportamientos típicos de Ransomware, como cambios en la extensión de los archivos o intentos de cifrado.
  • Centralización y correlación de eventos: Poseer una herramienta (SIEM) es útil para centralizar, correlacionar y analizar los eventos/logs en un mismo sitio, de forma que así sea más fácil detectar fallos, patrones, amenazas o ataques en curso.

Recuperación:

  • Playbooks de respuesta: Desarrolla y mantiene un plan de respuesta a incidentes que incluya procedimientos específicos para ataques de Ransomware. Adicionalmente a la mitigación técnica, hay que considerar la necesidad de mitigación legal y reputacional de la empresa, de manera que permita responder ¿Cómo se va a comunicar? ¿Hay que hacer frente a una multa? ¿Cómo se determina la responsabilidad?, entre otras.
  • Copias de seguridad: Mantén copias de seguridad en ubicaciones físicas o en la nube fuera de las redes comprometidas para asegurar que puedas restaurar los datos sin pagar el rescate.
  • Almacenamiento en la nube: Fomenta el uso de plataformas como OneDrive corporativo o para el almacenamiento seguro de archivos importantes.

 

Consideraciones finales:

  • Nunca pagues el rescate: Pagar el rescate no garantiza que recuperarás los archivos y solo fomenta el ciclo de ataque. Además, puedes quedar marcado como un objetivo fácil para futuros ataques, promueve este ciber delito, no son económicos, y no hay garantía de que obtengas el descifrador.
  • Verifica la existencia de puertas traseras: Después de un ataque, es crucial comprobar si los atacantes han dejado acceso persistente al sistema.
  • Ciberseguros: Contratar un ciberseguro puede ayudar a mitigar impactos reputacionales y financieros, generalmente estos vienen acompañados de apoyo jurídico, legal, forenses, formaciones, entre otros. Grandes empresas suelen exigir a sus socios que tengan ciberseguros y un gobierno de seguridad.
  • Evaluación forense: Realiza un análisis forense para comprender cómo ocurrió la infección, identificar al «paciente cero», hasta donde pudo llegar el ataque, y tomar medidas preventivas más específicas. Esto puede iniciarse desde que se identifica que hay un ataque en curso o posterior, con mayor recomendación cuando se ha detectado el Ransomware para tomar acciones tempranas.
  • Equipo de seguridad: Cuenta con un equipo de seguridad propio o externo, capaz de aconsejar o liderar crisis de este tipo y de implementar marcos y controles de seguridad.
  • Equipo de crisis: Cuenta con un líder y equipo de crisis para poder coordinar las diferentes acciones para cualquier escenario que afecte la seguridad o continuidad de las operaciones (incluidas crisis por Ransomware).

 

En Áudea Seguridad de la Información, contamos con un equipo altamente cualificado y con experiencia en la protección contra Ransomware. Te ayudamos a implementar estrategias de prevención, detección, protección y respuesta ante cualquier amenaza cibernética.

 

 

Luis Alexander Oviedo Regueros, GRC Expert Consultant

Juan Tárrega, GRC Head Manager

Equipo Áudea

«

Leave Comment