Ransomware

¿Cómo funciona el ransomware?

‍

El ransomware comienza por obtener una infección inicial en el sistema de un individuo o empleado en el trabajo. Hay dos formas comunes para que el ransomware infecte un dispositivo: a través de correos electrónicos o URL maliciosos.

Correos electrónicos maliciosos, a menudo llamados suplantación de identidad o correos electrónicos malspam, a menudo contienen un archivo adjunto infectado. Los archivos adjuntos tienen nombres intrigantes o urgentes para animar a los usuarios a abrirlos, a menudo relacionados con impuestos, facturas falsas, seguimiento de paquetes falsos o eventos actuales.

A veces, las URL maliciosas se utilizan en los correos electrónicos para atraer a los usuarios a hacer clic con el fin de entregar ataques basados en la web con descargas de acceso directo o publicidad maliciosa.

Veamos cómo funciona una versión temprana de ransomware, CryptoWall, una vez que gana presencia en un punto final. Con la computadora portátil infectada, CryptoWall corrompe explorer.exe, la parte de Windows con el menú de inicio, barra de tareas, escritorio y administrador de archivos, y la reinicia. Luego elimina las copias ocultas, instala malware, deshabilita los servicios, etc. Establecerá persistencia, por lo que reiniciar el dispositivo no se librará de él.

Luego CryptoWall se comunica con su servidor de comando y control para obtener la clave de cifrado para bloquear archivos. Con la clave, todos los archivos se cifran en el sistema local, al igual que cualquier archivo accesible en unidades de red conectadas. Debido a cómo funciona el ransomware, la única manera de recuperar el acceso a ellos es con la clave de cifrado obtenida al pagar el rescate al grupo detrás de CryptoWall.

¿Quiénes son los perpetradores?

Los ataques avanzados de ransomware pueden provenir de autores que toman las variaciones de ransomware existentes y las modifican lo suficiente como para que se apruebe malware escáneres. Sin embargo, los atacantes de ransomware no siempre son codificadores. Algunos malos actores compran software de malware a los autores y pagan al desarrollador un porcentaje de las ganancias. Esto se conoce como ransomware como servicio (RaaS). Estos criminales son difíciles de rastrear en la era de la criptomoneda anónima.

¿Por qué se está propagando el ransomware?

Incidentes de ransomware reportados aumentó 62% en 2021 en comparación con 2020. Los ataques de ransomware están aumentando rápidamente por varias razones.

En la era de RaaS, los atacantes no necesitan ser codificadores técnicos. Esto amplía el grupo de personas que tienen las herramientas para convertirse en ciberdelincuentes. También hay muchas plataformas de código abierto y de arrastrar y soltar que tienen la capacidad de crear variantes de ransomware.

Además, más usuarios están trabajando desde casa y posiblemente en computadoras que no son de la empresa. Esto abre la puerta a correos electrónicos de phishing y descargas maliciosas.

Ejemplos de ataques de ransomware

Para prevenir de manera proactiva el ransomware, es importante que las organizaciones comprendan las tácticas y características de los ataques comunes de ransomware.

WannaCry

WannaCry es un ransomware que se propaga por sí solo. El ataque aprovechó el exploit EternalBlue, desarrollado por la NSA, utilizado para comprometer máquinas, cargar malware y propagarse a otras máquinas. Específicamente, aprovechó una vulnerabilidad en Microsoft Server Message Block (SMB) utilizada para tareas como compartir archivos entre equipos Windows. EternalBlue luego instalaría DoublePulsar para ejecutar código malicioso en un sistema infectado.

Microsoft había lanzado parches en el momento del ataque. Sin embargo, muchas organizaciones objetivo no habían parcheado estos sistemas más antiguos hasta el final de su vida útil.

Dada su capacidad de propagación, se estima que ha infectado a más de 200 mil sistemas a nivel mundial.

No Petya

Con el mundo aún trepando por WannaCry, NotPetya hizo una aparición a finales de junio de 2017, y se convirtió en el ataque más devastador que el mundo había visto hasta la fecha.

NotPetya parecía ser ransomware a primera vista, pero resultó ser un malware de limpiaparabrisas diseñado solo para destruir, con cifrado irreversible. El ataque comenzó por malos actores comprometiendo el software ucraniano de contabilidad fiscal llamado MeDoc. MeDoc tenía cientos de miles de clientes, principalmente en Europa, que utilizaban el software para hacer negocios en Ucrania. Al igual que todo el software, MeDoc presentó una actualización comprometida sin saberlo para los clientes, quienes confiaban implícitamente en esta actualización del proveedor. Este fue un ataque a la cadena de suministro, explotando la confianza entre proveedores de software y clientes, que aprovechó una pieza de software comprometida, MeDoc, como una cabeza de playa en los sistemas. El ataque se lanzó entonces con una versión actualizada del ransomware Petya, denominado NotPetya.

El ataque se extendió lateralmente usando EternalBlue y EternalRomance para sistemas sin parches o credenciales robadas a través de técnicas de recolección de contraseñas para permitir que el uso de herramientas como PSExec y WMI se extienda a más sistemas. Los daños globales totales vinculados a NotPetya, ahora visto como un arma cibernética geopolítica, se han estimado en el rango de $10 mil millones de dólares.

Doble extorsión

¿Qué tiene que ver Lady Gaga con las nuevas técnicas de ataque de ransomware?

Su papel desprevenido en la doble extorsión.

Los ataques de ransomware se han vuelto aún más asquerentes, ya que algunos ataques ahora pueden agregar extorsión adicional. Primero, los atacantes se afianzarán, encontrarán datos confidenciales y los filtrarán a sus propios servidores. Con los datos confidenciales robados, los atacantes luego proceden a cifrar los sistemas. No solo los sistemas están bloqueados, sino que la información confidencial puede filtrarse públicamente a menos que las víctimas paguen, lo que equivale a una presión adicional para que las organizaciones paguen los rescatos.

Recientemente, los atacantes atacaron un bufete de abogados de entretenimiento, robando datos relacionados con clientes de alto perfil como Lady Gaga, Bruce Springsteen y Christina Aguilera. Inicialmente dieron a conocer contratos relacionados con Lady Gaga como prueba de su posesión de información sensible.

El grupo detrás del ataque amenazó con dar a conocer más datos de celebridades si el bufete de abogados se negó a pagar la orden de rescate, que alcanzó unos 42 millones de dólares.

El impacto del ransomware en el negocio

El ransomware tiene un impacto masivo en la productividad del negocio. Los atacantes chantajearán a las empresas amenazando con liberar datos confidenciales si la compañía no paga el rescate rápidamente. En 2016, el ransomware SamSam le dio al mundo una desagradable sorpresa cuando dio a conocer una nueva capacidad temible: movimiento lateral incorporado o autopropagación. ¿Por qué? Los atacantes pueden dirigirse de manera efectiva a redes empresariales completas para cifrar grandes cantidades de datos de misión crítica y, a su vez, exigir mayores pagos de rescate. En el caso de SamSam, los atacantes encontraron su camino a través de la explotación de una vulnerabilidad de servidor anticuada. Una vez dentro, SamSam se movió lateralmente buscando sistemas conectados a la red adicionales para encriptarlos.

¿Cómo se propaga el ransomware?

El ransomware que es capaz de propagarse por sí solo ha generado una atención considerable, sin embargo, muchos ataques de ransomware recientes parecen ser más metódicos y controlados por los atacantes.

Estos ataques no se mueven tan rápido como el ransomware con movimiento lateral incorporado, pero son igual de devastadores debido al largo tiempo de permanencia para la vigilancia de un entorno. Los municipios de Estados Unidos han reportado una ola de ataques en los últimos años, y muchos más probablemente no fueron reportados en absoluto. En la mayoría de los casos, los atacantes atacan entornos durante semanas antes del cifrado de ransomware.

Estos ataques se afianzan, a través de phishing o de fuerza bruta servicios mal configurados como Remote Desktop Protocol (RDP), que se utiliza para el acceso remoto a Windows. Una vez dentro, los ataques son metódicos, intentando el movimiento lateral de igual a igual a través de puertos abiertos, por ejemplo, explotando RDP o WMI, para llegar idealmente a un controlador de dominio.

La recolección de credenciales, también presente en NotPetya, también se utiliza para moverse lateralmente. Herramientas como Mimikatz facilitan esto, permitiendo la escalada de privilegios, por lo que los atacantes tienen mayores niveles de permiso en la red.

De cualquier manera, los atacantes a menudo llegan a los controladores de dominio, lo que los convierte en un administrador de TI en la empresa a la que están atacando.

En este punto, “viven de la tierra”, utilizando marcos de administración de TI existentes como PSExec, utilizado para ejecutar procesos en otros sistemas, o PowerShell, utilizado para automatizar tareas de administración del sistema operativo, para colocar archivos maliciosos en los sistemas.

Cómo prevenir ataques de ransomware

¿Cómo puedes protegerte? Es un desafío ver que muchos ataques utilizan malware recién creado o viven fuera de la tierra para evadir en gran medida la detección. Existen algunas prácticas recomendadas para reducir el riesgo de ataques importantes de ransomware.

Estas son algunas de las principales formas de reducir el riesgo de ransomware, según US-CERT:

• Segmente sus computadoras portátiles y redes para asegurarse de que la primera computadora portátil infectada sea también la última para que los ataques no puedan ir más allá del sistema inicial.
• Parche todos los sistemas regularmente para evitar que las aplicaciones vulnerables y los sistemas operativos sean objeto de ataques.
• Utilice herramientas efectivas de seguridad de correo electrónico y punto final para evitar que tantos correos electrónicos de phishing lleguen a las bandejas de entrada o que la actividad maliciosa asociada con el ransomware llegue al punto final y encripte archivos.
• Capacite a los usuarios para que abran los archivos adjuntos de correo electrónico con cuidado y tenga cuidado con los archivos adjuntos de correo electrónico de remitentes desconocidos.
• Realice backups de los sistemas con frecuencia y almacene los backups por separado para poder hacer restore a estados anteriores si es necesario, con backups a los que no se puede acceder desde una red.

Respondiendo a los ataques de ransomware

Si sospecha que su dispositivo ha sido infectado con malware, hay algunos pasos que debe seguir para evitar daños mayores. Primero, desconecte el dispositivo infectado de la red y otros dispositivos lo más rápido posible. Esto detendrá la propagación del ransomware de un dispositivo a otro. Las empresas pueden evitar que el malware se propague rápidamente mediante el uso Segmentación de confianza cero, incluyendo microsegmentación, para aislar las cargas de trabajo entre sí.

El siguiente paso es ponerse en contacto con las autoridades. La infección de dispositivos con ransomware es contra la ley. También pueden tener herramientas que le ayudarán a recuperar sus archivos.

Si ha realizado una copia de seguridad de sus archivos en una ubicación diferente, podrá recuperar sus archivos. Esta es una de las muchas razones por las que las copias de seguridad regulares de archivos son cruciales. Si no tiene copias de seguridad, busque en línea para tratar de encontrar una clave de descifrado de ransomware. Desafortunadamente, si no puede encontrar la clave correcta, es posible que tenga que aceptar que sus archivos se han ido.

¿Debo pagar el rescate?

Nunca pague el rescate para recuperar sus archivos. No hay garantía de que realmente te den la clave de descifrado, y estarás financiando actividades delictivas. Pagar también te hará un objetivo recurrente. Ahora que los delincuentes saben que pueden obtener dinero de ti, seguirán infectando tus dispositivos en el futuro.

Ser capaz de identificar malware potencial en correos electrónicos de phishing y URL maliciosas podría evitar que sus archivos sean destruidos. Después de leer este artículo, puedes responder la próxima vez que alguien te pregunte: “¿Qué es el ransomware?” También estás preparado para prevenir ataques y conocer los pasos a seguir si tus dispositivos están infectados.

Más información

Descubra cómo la Segmentación de Confianza Cero contiene ransomware y detiene la propagación a proteger cargas de trabajo y dispositivos.