Ransomware Kill Chain
Parte 1: ¿Por qué Ransomware no es un ciberataque típico?
En general, la mayoría de los ataques cibernéticos están ocultos. El malware utilizado en estas formas de ataque se introduce de forma discreta en el sistema objetivo. Normalmente, el robo de datos tampoco es detectado. Esto es especialmente cierto si los sistemas no están suficientemente protegidos. Sin embargo, la situación es completamente diferente con ransomware:
La principal diferencia entre un ciberataque ordinario basado en malware y un ataque de ransomware es que ransomware entra en contacto directo con el usuario del sistema afectado. Este enfoque de los ciberdelincuentes también parece comprensible cuando se considera que el autor ya ha tomado el control del sistema de destino. En este momento, es cuando ofrece a la víctima acceso a los datos capturados sólo pagando un rescate.
Además, los ataques de ransomware son automatizados. Una vez que el cibercriminal ha puesto en marcha el proceso, no se necesitan más comandos para poner en peligro el sistema objetivo. Se puede observar que las empresas se están convirtiendo cada vez más en el centro de los ataques de ransomware. Y aunque esta forma de ciberataque no es nueva, los acontecimientos recientes muestran que un gran número de empresas no pueden resistir un ataque de ransomware. A menudo, los responsables de seguridad corporativa se enfrentan al reto de la detección temprana.
Por esta razón, tiene sentido considerar ransomware como una forma de ataque atípica con el fin de obtener una mejor comprensión y tomar las medidas apropiadas.
Ransomware Kill Chain
Si uno busca en Internet información sobre el tema de ransomware, se encuentra con artículos después de una investigación intensiva que se repiten constantemente en términos de contenido y que conducen a poco conocimiento nuevo.
Pero eso no es todo: aquí nos gustaría mostrarte la anatomía de un ataque de ransomware a lo largo de Ransomware Kill Chain. Tras los devastadores ataques de rescate de los últimos años, varios expertos en seguridad de las principales empresas de seguridad de TI han desarrollado el modelo Cyber Kill Chain, que puede adaptarse a muchos escenarios de ataque. La consideración a lo largo de Ransomware Kill Chain es particularmente importante para contrarrestar esta forma de ataque de manera selectiva.
La estructura básica de un ataque de ransomware
1. Selección de un cebo adecuado
Como se ha observado a menudo en el pasado, los correos electrónicos de phishing se han utilizado como cebo. La mayoría de ellos estaban infectados con archivos adjuntos o enlaces a sitios web maliciosos.
Una vez en la bandeja de entrada, el destinatario estaba a un clic de distancia de la infección. Además de abrir un archivo adjunto malicioso, como un archivo PDF, DOC o XLS infectado, también es posible realizar una descarga desde el disco duro.
2. Instalación del malware en el sistema de destino
Básicamente, cabe mencionar que el cibercriminal se enfrenta a toda una serie de víctimas potenciales. Al abrir el archivo malicioso, el perpetrador también ha superado este obstáculo. Se realiza la instalación en el sistema correspondiente. Debe mencionarse que la instalación puede tener lugar independientemente de la activación del ransomware. De este modo, el ataque de ransomware puede prepararse en una fase temprana, pero, por ejemplo, sólo puede iniciarse realmente en un momento posterior. Esto se refiere a un período de unas pocas semanas a varios meses.
3. Recuperación del código de encriptación
Una vez finalizada la instalación del malware, se recupera una clave para encriptar los datos. Esto significa que la clave se mantiene en un servidor y es la única manera de que la víctima recupere el acceso a sus propios archivos después de pagar un rescate. Sin embargo, no hay garantía de ello.
4. Realización del proceso de encriptación
En el siguiente paso, el ransomware pasa a su tarea principal. Comienza el proceso de encriptación. Los archivos individuales de un sistema o incluso de varios sistemas dentro de la red de una empresa pueden ser encriptados. Este proceso niega al usuario el acceso a sus datos. Está bloqueado fuera de su propio sistema. A partir de este momento, el sistema es inutilizable para el usuario.
5. Demanda de rescate
Ahora aparece un aviso correspondiente en la pantalla de la persona afectada. Para ello, el fondo de escritorio se sustituye simplemente por una imagen con una solicitud de pago y otras instrucciones. Tan pronto como este proceso se complete, los atacantes sólo tienen que esperar a que la víctima respectiva haga el pago del rescate.
Vincular la demanda de rescate a un plazo es un método probado y comprobado que utilizan los ciberdelincuentes para aumentar la presión sobre los afectados. El pago se realiza a menudo a través de Bitcoins. Se trata de una moneda on-line que está siendo criticada cada vez más por su falta de transparencia. Porque la funcionalidad de Bitcoins así como de monedas criptográficas similares contribuye a largo plazo al hecho de que los receptores del dinero sólo pueden hacerse en raras ocasiones. Si los propietarios de los sistemas no han realizado un pago en el plazo previsto, la demanda de rescate aumenta o se inicia la eliminación de archivos.
No es raro que las víctimas confíen en sus datos. Esto se aplica en particular a las empresas que tienen que acceder diariamente a los datos de los clientes (dirección, facturas, datos del proyecto, etc.). Los ataques de ransomware a menudo causan daños inmensos e incluso llevan a algunas empresas a la quiebra. De hecho, si los expertos y las autoridades investigadoras desaconsejan un pago, la decisión de pagar un rescate es humanamente comprensible para la mayoría de las empresas. Se encuentran en una situación de emergencia después de un ataque de rescate.
Los ciberdelincuentes saben cómo explotar esta circunstancia por sí mismos. Sólo esperan que las víctimas paguen el rescate y luego les proporcionan un enlace a la propia clave o a un programa de descifrado. Sin embargo, esto se hace de forma voluntaria, es decir, sin garantías.
¿Ya conoces Advanced Threat Protection?
Descubre cómo puedes proteger tu negocio de Ransomware como Wanna Cry, Jaff o Bad Rabbit haciendo clic en el siguiente enlace.