El ransomware se ha convertido en un problema muy serio para las empresas de todo el mundo, dado que este tipo de ciberdelito afecta a todo tipo de organizaciones, desde pymes y startups hasta multinacionales, y está presente en todas las industrias. Es evidente que este tipo de ataque nos afecta a todos.
Por este motivo, el ransomware ha sido y es un tema recurrente para los especialistas en ciberseguridad. Sin embargo, a pesar de todos los esfuerzos, este tipo de ciberataque se ha adaptado a la era digital y ha evolucionado a la par que la tecnología, lo que complica la prevención y desemboca en unas consecuencias difíciles de gestionar.
Según el Foro Económico Mundial, los ataques de malware y ransomware aumentaron un 358 % y un 435 % respectivamente en 2020 [1]. Además, sigue habiendo mucha confusión en torno al ransomware, y eso que se trata de un tipo de ataque cada vez más frecuente en el panorama de la ciberseguridad. Hay muchas empresas que no conocen la naturaleza de un ataque de ransomware ni entienden su forma de actuar.
En este artículo especializado, vamos a explorar los aspectos técnicos que representan el pilar de un ataque de ransomware y analizaremos cómo las empresas modernas pueden reducir las amenazas y reaccionar a incidentes de ransomware de forma rápida y eficaz.
El ransomware, que empezó siendo una forma de ataque aislada que solo afectaba a las multinacionales, ha ido evolucionando hasta convertirse en una amenaza para la ciberseguridad de todas las empresas e industrias. El ciberdelincuente buscará cualquier lugar donde se generen datos para aprovechar las situaciones de vulnerabilidad de los activos y la información principal y, a menudo, crear unos efectos devastadores.
La llegada de los primeros ordenadores personales supuso el nacimiento del ransomware y de la práctica de robar datos o información para pedir un rescate económico. A partir de ahí, la evolución de los sistemas informáticos y las redes ha propiciado que las oportunidades de ataque y, por ende, las recompensas, hayan aumentado considerablemente. Si a todo esto sumamos que el ecosistema de la ciberdelincuencia cambia a un ritmo sin precedentes, nos encontramos en una era en la que las empresas son más vulnerables que nunca.
No cabe duda de que, hoy en día, el ransomware es una de las ciberamenazas más graves para las organizaciones, independientemente de su tamaño. En 2022, los ataques de ransomware aumentaron un 13 % más que la suma de los cinco años anteriores [2]. Asimismo, se estima que el ransomware formó parte de alrededor del 70 % de las filtraciones de datos por ataques de malware en 2022 [2].
Esta evolución ha hecho que los ataques de ransomware se conviertan en un servicio. Aunque parezca irónico, los actores maliciosos se han inspirado en los modelos de negocio de las empresas para crear un servicio de ransomware profesional.
El ransomware como servicio (RaaS) nació en la era de la transformación digital y copia el modelo del software como servicio (SaaS) para ofrecer servicios que ataquen a organizaciones de cualquier sector y en cualquier rincón del mundo. El RaaS suele quedarse con gran parte del dinero del rescate como cobro del servicio especializado para acceder a los datos más vulnerables de una empresa. Algunos atacantes prefieren ceder su software de ransomware a proveedores externos, mientras que otros se encargan personalmente de todo el ataque.
Pero hay un rayo de luz entre tanta oscuridad, ya que, gracias al aumento de los métodos sofisticados de defensa frente a ransomware que ofrecen diferentes expertos en ciberseguridad, como los proveedores de servicios de MDR, el impacto del RaaS es cada vez menor.
Para comprender cómo actúan los ciberdelincuentes, es muy útil simplificar todos esos aspectos tan complejos que rodean a un ataque de ransomware. Teniendo esto presente, los tres pilares de los ataques de ransomware son:
Los ciberdelincuentes usan los siguientes métodos para acceder al sistema de una empresa:
Muchos de los ataques de ransomware modernos se producen a través del RDP, un protocolo de comunicaciones que permite el acceso de los administradores informáticos a los sistemas. El uso de los RDP se ha extendido desde la pandemia a raíz del considerable aumento del trabajo a distancia. Los actores maliciosos han aprovechado esta oportunidad, y el 40 % de los ataques de ransomware se producen mediante RDP [2]. Las pymes y startups son las más vulnerables a este tipo de ransomware, ya que los atacantes aprovechan cualquier resquicio en aplicaciones sin parches o contraseñas de usuario débiles.
El método más utilizado antes de que el aumento del trabajo en remoto disparara los ataques de ransomware mediante RDP era el e-mail. De hecho, este método sigue representando el 35 % de todos los ataques de ransomware [2], en su mayoría a través de campañas de e-mail de phishing y, aunque las empresas cada vez están más protegidas frente a los trucos que emplean los ciberdelincuentes en sus ataques de phishing, sus tácticas, técnicas y procedimientos cada vez son más sofisticados.
Según Verizon, las aplicaciones web son el mayor vector de ataque de los ciberdelincuentes, ya que el 70 % de los delitos se producen a través de este medio [2]. Este dato demuestra la importancia de proteger tus aplicaciones web para protegerte frente a ataques de ransomware y de otros tipos de malware.
Vamos a analizar las diferentes etapas de un ataque de ransomware, desde la planificación inicial hasta el rescate y las posibles repercusiones.
El primer paso consiste en explorar y conocer mejor a la víctima a través de varias técnicas que permitan obtener información de forma activa o pasiva para planificar el ataque de ransomware.
Los ciberdelincuentes emplean herramientas sofisticadas para conocer mejor la infraestructura de la empresa e identificar vulnerabilidades para obtener acceso, aumentar el alcance del ataque o establecer las exigencias del rescate.
El atacante recaba información de la víctima como, por ejemplo, datos de configuración o de administración del host, datos de la red, como el DNS, los nombres de los dominios y las direcciones de IP o información de identidad personal como los nombres e e-mails de los empleados.
Sin embargo, los atacantes pueden ir un paso más allá en su exploración y buscar datos personales de una parte interesada con un gran peso (un director general, por ejemplo) en sus redes sociales para utilizarlos en su campaña de phishing.
En esta etapa se emplean una serie de técnicas de ataque para penetrar en el sistema, como, por ejemplo:
El acceso inicial a través de e-mails de phishing es muy común, ya que sortea los métodos de protección y aprovecha el error humano. Las empresas que hayan llevado a cabo una investigación exhaustiva pueden manipular a las personas con información que parezca auténtica, un método conocido como ingeniería social.
Una de las técnicas de phishing más habituales es comprar un dominio similar al de la empresa y crear una dirección de e-mail muy parecida a la del director general. A continuación, el atacante envía un e-mail haciéndose pasar por el director general en el que adjunta un PDF para descargar (con los objetivos trimestrales, por ejemplo) o incluye un enlace al que los empleados deben acceder. Cuando alguien descarga el archivo o pulsa en el enlace, se ejecuta un código malicioso en los sistemas de la víctima para que el ciberdelincuente pueda conseguir el acceso.
Las campañas de phishing personalizadas para acceder a los sistemas siguen siendo la mayor preocupación de las empresas, ya que, aunque invierten en tecnología e implementan controles de seguridad eficaces, los atacantes buscan aprovechar el error humano.
Otro método habitual que siguen los atacantes de ransomware para penetrar en los sistemas de las pymes es aprovechar servicios remotos como RDP y VPN con permisos de administrador para acceder a la red interna desde el exterior. Las puertas de enlace de servicios remotos controlan la conexión y autenticación externa y no suelen estar lo suficientemente protegidas.
Los atacantes pueden usar las credenciales que hayan obtenido mediante otros métodos para acceder al sistema a través de una cuenta real, aumentar los privilegios y penetrar en zonas de la red con acceso restringido. Esta estrategia es más difícil de detectar, ya que los actores maliciosos utilizan credenciales válidas.
Cuando el atacante de ransomware consigue penetrar, su siguiente objetivo es recopilar toda la información posible sobre el sistema. Explora, analiza y navega por la infraestructura para conocer bien la red de la víctima antes de pasar a la acción. En esta etapa de exploración, el actor malicioso intenta afianzar su posición en el sistema más allá del acceso inicial para asegurarse de no perder la conexión.
El ciberdelincuente busca una lista con las cuentas locales, de dominio, de e-mail y de la nube que haya en el sistema o en el entorno informático para determinar cuáles son más apropiadas para moverse lateralmente por el sistema.
El atacante busca descubrir recursos como instancias y máquinas virtuales en una infraestructura como servicio (IaaS) en el entorno de nube.
La información que se obtiene a partir de los archivos y directorios ayuda a planificar el tipo de ransomware y su alcance.
El atacante empieza a ejecutar código por todo el sistema cuando termina la etapa de exploración.
El ciberdelincuente emplea varias técnicas para integrar el ransomware en la infraestructura mediante intérpretes de comando para ejecutar órdenes, guiones o binarios, aprovechar las vulnerabilidades de las aplicaciones o instalar un contenedor en el sistema para ejecutar código malicioso y penetrar en las defensas.
Los atacantes hacen todo lo posible por mantenerse en el sistema y protegerse frente a mecanismos de defensa que podrían denegarles el acceso. Para ello, realizan una serie de cambios en el acceso y la configuración del sistema.
Una de las tácticas principales de un ataque de ransomware para expandirse por el sistema es el movimiento lateral. Los cibercriminales instalan herramientas específicas para navegar por la red y penetrar más lejos sin ser detectados.
Otra de las tácticas muy usadas en los ataques de ransomware es la de buscar formas de acceder a permisos de un mayor nivel jerárquico dentro de un sistema, de tal forma que los atacantes puedan acceder a los activos más valiosos en lugar de solo navegar por el sistema para su exploración.
Cuando el ciberdelincuente consigue establecerse en el sistema, el siguiente paso es el de intentar extraer los datos para extorsionar a la víctima.
El atacante emplea una serie de herramientas de automatización para recopilar los datos internos del sistema o la red, como, por ejemplo, API, servicios de ETL (extracción, transformación y carga) o interfaces de líneas de comandos en entornos en la nube.
La exfiltración es la fase en la que el atacante roba los datos del sistema, que suelen comprimirse en paquetes sencillos de extraer o encriptados para evitar que las víctimas puedan acceder a ellos.
Además de robar los datos del sistema o la red de la víctima, el atacante utiliza técnicas para modificar o destruir datos y causar el mayor impacto posible. Esta etapa es fundamental para conseguir el rescate y es el eje central a la hora de exigir dinero y confiar en que la víctima acabará pagando. Las técnicas de impacto son las siguientes:
El atacante cifra los datos en el sistema para interrumpir las operaciones, causar una situación de pánico en la empresa y pedir una cuantiosa suma de dinero a cambio de una clave de descifrado.
El atacante también puede destruir o amenazar con destruir datos importantes del sistema o la red con una serie de técnicas de borrado que sobrescriben los archivos e imposibilitan su recuperación.
El atacante altera o amenaza con destruir los datos para dañar la reputación de la empresa.
Los ataques de denegación de servicios (DoS) pueden emplearse para reducir la capacidad de los recursos de la red saturando el ancho de banda de la víctima.
La etapa final del ataque es la petición de un rescate junto con las consecuencias del ataque de ransomware.
La petición de rescate tiene lugar cuando el ataque de ransomware consigue cifrar los archivos o exfiltrar la información y establece el pago total y otros detalles relacionados. El atacante también puede exigir un pago adicional por no filtrar información confidencial (doble extorsión) y hasta extorsionar a los clientes una vez ha robado sus datos (triple extorsión).
El pago del rescate ya supone un duro golpe para la víctima, pero se estima que el tiempo de inactividad y el daño en la reputación que causa un ataque de ransomware multiplica por 10 o 15 esa cantidad [3].
Una buena estrategia de defensa frente a ataques de ransomware se apoya en tres pilares: las personas, los procesos y la tecnología.
Si una empresa no cuenta con la tecnología adecuada, los ataques de ransomware podrán superar las defensas de un sistema con bastante facilidad. Además, es necesario implementar una serie de procesos eficaces para garantizar que las vulnerabilidades del sistema sean las mínimas. Por último, es fundamental contar con personal experto para protegerse de los ciberdelincuentes.
A continuación se muestran los aspectos más importantes que se deben considerar a la hora de adoptar una estrategia de defensa frente a ataques de ransomware.
Es importante que los empleados tengan los conocimientos necesarios para reconocer un ataque de phishing, sobre todo en empresas más grandes que cuentan con métodos de defensa, ya que es la principal ruta de acceso de los atacantes.
Los equipos pueden beneficiarse de la formación de expertos en ciberseguridad, como los proveedores de MDR, para mejorar sus conocimientos sobre este aspecto, aumentar la concienciación e instaurar buenos hábitos en ciberseguridad.
Mantener el software actualizado es fundamental para reducir al máximo los puntos débiles de tu infraestructura. Un sistema que no actualice sus aplicaciones será vulnerable, por lo que los ciberdelincuentes aprovecharán esa debilidad para atacar mediante herramientas y tecnologías muy sofisticadas.
Las vulnerabilidades de los sistemas en la nube son más difíciles de explotar, y existen muchas técnicas para mantener la infraestructura de seguridad en la nube bien protegida. Además, el almacenamiento en la nube permite hacer copias de seguridad y restaurar los datos.
Las empresas que adoptan estrategias de confianza cero tienen un mayor control y una visibilidad total de su infraestructura. Asimismo, permite que los líderes en seguridad diseñen un mecanismo de acceso privilegiado que limite el número de usuarios y controle sus acciones en la red. El modelo de confianza cero también exige la autenticación y verificación de todos los usuarios y dispositivos en cada acceso.
Las cuentas privilegiadas son una fuente de información crítica para los ciberdelincuentes, por lo que es necesario aumentar su seguridad. Las soluciones de gestión de accesos privilegiados (PAM) ayudan a proteger al máximo las cuentas privilegiadas para asegurar los activos más importantes de la empresa.
Para proteger el directorio activo es necesario eliminar los dominios que puedan levantar sospechas, incluso si la empresa considera que son seguros. Para ello, hay que implementar un mecanismo avanzado de auditoría que asegure que las actividades de los dominios se lleven a cabo según una serie de protocolos de ciberseguridad.
El atacante de ransomware tendrá menos margen si se cuenta con una copia de seguridad de los datos que ha cifrado o robado, y se deben tener varias copias de seguridad en caso de que alguna quede dañada. Existen varias formas de hacer copias de seguridad, aunque se recomienda la siguiente combinación:
Limita la capacidad que tiene el atacante de navegar por la red cuando ha conseguido penetrar mediante protocolos como el bloque de mensajes del servidor (SMB), la llamada a procedimiento remoto (RPC) y el protocolo de escritorio remoto (RDP).
Un sistema o infraestructura está formado por un gran número de procesos que deben diseñarse con atención para reducir la superficie de ataque y prevenir el acceso. Es necesario que las empresas se esfuercen por reducir las vulnerabilidades y las posibilidades de ataque de ransomware mediante diferentes métodos, desde sistemas de gestión de parches hasta software de seguridad avanzado para el e-mail.
En caso de que se produzca un ataque, cada miembro del equipo y colaborador externo debe conocer al detalle la estrategia de respuesta a seguir. Los expertos en MDR pueden crear un plan de respuesta que se ajuste a los requisitos de una empresa.
Para minimizar las amenazas de ataques de ransomware es fundamental contar con servicios de Managed Detection and Response (MDR). Los servicios de MDR de Ackcent combinan el personal experto con tecnología innovadora para ofrecer una protección integral a tu empresa frente a ataques de ransomware las 24 horas, los 365 días del año.
Los servicios de MDR minimizan y reducen las amenazas de ataques de ransomware apoyándose en cuatro pilares básicos: preparación, protección, detección y respuesta. Ayudamos a las empresas de diferentes sectores a combatir los ataques de ransomware modernos con una gran preparación basada en estrategias y planes sólidos frente a este tipo de ataques, con una protección de la infraestructura mediante los métodos y herramientas adecuados, con un sistema de detección que se apoya en herramientas y tecnología de última generación y con una respuesta a incidentes a través de un personal con una gran experiencia.
Contacta con nosotros hoy mismo para obtener más información sobre los servicios especializados en protección de ciberseguridad de Ackcent.
Referencias
Obtenga recursos en su buzón de forma gratuita