Las 7 etapas del ciclo de vida del ransomware
El ransomware ha crecido de forma constante desde que Popp introdujo el troyano AIDS en 1989. Antes del uso de enlaces web o archivos adjuntos en correos electrónicos, esta primera versión se transportaba mediante disquetes. Si bien los métodos de entrega han cambiado, el comportamiento una vez iniciado el proceso muestra una combinación de consistencia y variabilidad.
Analicemos las distintas etapas del ciclo de vida del ransomware para comprender mejor cómo golpean los atacantes, y cómo los defensores pueden resistir mejor.
1. Selección de objetivos y reconocimiento
Un grupo de ransomware, como un ladrón de bancos, necesita un objetivo que pueda pagar. Los atacantes recopilarán datos públicos, incluyendo búsquedas que revelen quién es el propietario y el administrador del sitio web objetivo, para determinar si este es autogestionado o si ha subcontratado su administración a un proveedor de nube u otra entidad. El atacante también podría intentar recopilar información sobre el personal clave del sitio, a veces incluso intentando generar confianza con ellos en redes sociales. Cuando existe confianza, el objetivo podría ser más vulnerable al malware distribuido a través de un enlace o un correo electrónico.
Para las organizaciones víctimas, ser seleccionadas está fuera de su control. Lo mejor que puede hacer una empresa para evitar este destino es reforzar sus defensas para convertirse en un objetivo menos atractivo. Esto se logra preparando a los usuarios y los sistemas. Algunas medidas defensivas comunes incluyen la formación de usuarios, la aplicación de parches y prácticas generales de ciberseguridad.
2. Distribución e infección de malware
El phishing, los enlaces sucios en sitios web maliciosos y el spam en redes sociales son métodos bien conocidos de distribución de malware. Estos métodos persisten porque, a pesar de la concienciación de los usuarios, funcionan. Un usuario objetivo puede tener prisa, estar sobrecargado mentalmente, intentar ayudar o simplemente sentir curiosidad. Sea cual sea el motivo, cae en la trampa. Al hacer clic, el enlace o archivo adjunto ejecuta el malware y la infiltración comienza.
Otro método para invocar ransomware es el spam en redes sociales. Este enfoque se basa, en parte, en el clicbait. Un video o enlace parece demasiado atractivo para que los objetivos lo resistan y, por curiosidad o porque parece provenir de un remitente confiable, hacen clic.
El robo de credenciales de usuario también puede contribuir a la propagación de ransomware. Si los ciberdelincuentes obtienen credenciales de inicio de sesión con antelación mediante un esquema de phishing o un enlace malicioso, pueden introducir ransomware a través de un usuario de confianza.
Los investigadores también observan el creciente uso de la explotación de servicios como vector de ataque. En lugar de crear y utilizar software propagador, los atacantes a veces explotan vulnerabilidades conocidas en aplicaciones públicas. Los atacantes podrían considerar esta vía más prometedora ahora que los usuarios están mejor capacitados para evitar enlaces sospechosos.
Los proveedores de seguridad observan que los atacantes atacan cada vez más herramientas legítimas, como funciones del sistema operativo o software. La explotación de servicios de escritorio remoto es un ejemplo de esta táctica. Al mimetizarse con el tráfico legítimo, los atacantes pueden ocultarse mejor a simple vista. Además, estos ataques más sigilosos a veces pueden evadir el software de detección tradicional, que se basa en la detección de nuevos procesos sospechosos o la apertura de nuevos puertos.
3. Comando y control
La etapa de comando y control sigue siendo un elemento central en la cadena de eliminación del ransomware.
Una vez que infecta con éxito un dispositivo objetivo, el malware suele comenzar a comunicarse con lo que se conoce como servidor de comando y control, o servidor C&C. Bajo el control de los actores de amenazas, este servidor externo se encarga de enviar claves de cifrado al dispositivo objetivo. También puede descargar malware adicional y software de sondeo de red.
4. Exploración y movimiento lateral
En esta fase, los atacantes buscan maneras de penetrar más profundamente en los sistemas de TI de una organización, a menudo mediante el uso indebido de credenciales de empleados o cuentas de administrador. Si lo consiguen, pueden causar mucho más daño y robar datos valiosos. Esta capacidad de explorar los sistemas sin ser detectados se conoce como movimiento lateral.
Este movimiento ahora está mejorado por la IA, que puede investigar y responder en el host en lugar de tener que comunicarse con un servidor de control externo.
El movimiento lateral permite a los atacantes de ransomware maximizar la infiltración antes de cifrar. Si se utiliza una vulnerabilidad de día cero, los atacantes podrían infiltrarse en múltiples sitios sin ser detectados, propagando así el ataque y maximizando la rentabilidad potencial. Los entornos en la nube siguen siendo objetivos atractivos porque potencialmente proporcionan a los atacantes acceso a numerosos sitios, así como al hipervisor, una capa que está fuera del alcance de algunas herramientas de seguridad.
Microsoft y otros han observado muchos casos de grupos de ransomware que utilizan movimiento lateral para elevar el acceso y manipular configuraciones dentro de los productos de seguridad de un objetivo, dándoles así aún mayor libertad para moverse sin activar las alarmas.
5. Exfiltración y cifrado
Una vez encontrados, los datos se copian y luego se extraen.
La exfiltración es a menudo el momento en el que el software de seguridad detecta por primera vez que algo anda mal.
Esta es también la etapa de un ataque de ransomware, en la que los atacantes podrían cifrar los datos que han robado. El cifrado es una táctica clásica del ransomware criptográfico. Los actores maliciosos ofrecen claves de descifrado a cambio del pago de un rescate.
Recientemente, algunos atacantes han decidido omitir este paso. En su “Informe de Amenazas” de 2024, Symantec afirmó haber observado un aumento en los ataques sin cifrado. Realizar exfiltraciones sin cifrado reduce significativamente el tiempo que los atacantes dedican a una operación de ransomware. En cambio, los grupos de ransomware utilizan fragmentos de datos para convencer a las organizaciones objetivo de que poseen conjuntos de datos completos.
6. Extorsión
En este punto, los objetivos del ransomware generalmente ven un mensaje que incluye parte o toda la siguiente información:
- Notificación de infección.
- La cantidad de dinero que exigen los delincuentes a cambio de la clave de descifrado.
- Instrucciones para enviar el pago.
Un temporizador de cuenta regresiva para indicar cuánto tiempo esperarán los atacantes a que se pague un rescate antes de tomar permanentemente los datos robados o aumentar el monto del rescate.
Si los ciberdelincuentes subieron archivos a un servidor de C&C, también podrían amenazar con publicar los datos mediante una táctica conocida como ransomware de doble extorsión. El ransomware de triple extorsión implica un tercer elemento, como un ataque DDoS o la extorsión paralela a los clientes o socios de la organización objetivo.
(computerweekly.es)
Les estaremos informando con mucho más detalle, en el marco del informe especial: “Soluciones y productos de infraestructura para edificios y ciudades inteligentes (Sistemas BIM y BMS), POL (Passive Optical LAN). Seguridad integrada, video vigilancia y control de acceso. Casos de uso y aplicabilidad de cada solución y producto, incluyendo la colaboración digital (relacionado a realidad virtual sistema BIM) (Gemelos digitales). Buenas prácticas ambientales.», que estamos preparando para nuestra edición 215 y publicaremos en el mes de agosto.
Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.
