ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 4 min de lectura

Qué es y cómo entender mejor el ransomware

Análisis profundo del ransomware, sus tendencias de extorsión múltiple, RaaS, y el Top 10 de técnicas ATT&CK para ransomware.

Si iniciamos este whitepaper diciendo “¡Hemos fallado! ¿Cambiemos la estrategia?”, probablemente usted como lector pensaría de qué estamos hablando. Los ataques cibernéticos caen en un contexto más amplio que lo que tradicionalmente se llama operaciones de información. Las operaciones de información y el uso integrado de las principales capacidades de guerra electrónica, psicológica, red informática, artimañas militares y operaciones de seguridad en coordinación con apoyo especial y habilidades relevantes para penetrar, detener, destruir o secuestrar decisiones humanas.

Para comenzar, entendamos el concepto de ransomware. Dentro de la gran variedad de distintos códigos maliciosos existentes que pueden ser considerados como amenazas (spyware, virus, worms, adware, etc.), sin duda alguna, uno de los más peligrosos y devastadores sería el ransomware. Un nombre particular compuesto por dos palabras: Ransom, en inglés “rescate”, y Ware, contracción de “software”; en este caso, un “software de secuestro electrónico”.

El ransomware es un programa malicioso diseñado para negar a un usuario u organización el acceso a los archivos de su propiedad. Al cifrar estos archivos y exigir el pago de un rescate por la clave de descifrado, los ciberatacantes colocan a las organizaciones en una posición en la que el pago del rescate es la forma más fácil y rápida de recuperar el acceso a sus archivos.

Desarrollo

Tendencia #1: Ransomware como Servicio (RaaS)

Objetivo: Expandir el alcance del ransomware a través de una plataforma rentable y fácil de usar.

Solución: Implementar soluciones de seguridad robustas y monitorear constantemente los últimos vectores de ataque en la Dark Web.

Riesgo crítico: La democratización del ransomware a través del RaaS puede conducir a un aumento exponencial en la frecuencia y diversidad de ataques.

Tendencia #2: Extorsión Múltiple

Objetivo: Maximizar los beneficios combinando múltiples tácticas de extorsión.

Solución: Adoptar estrategias de defensa en profundidad, educar a los empleados y mantener respaldos seguros.

1. Cifrado de Archivos - Extorsión Simple

Inicialmente, el ransomware restringía el acceso a los datos cifrando los archivos en las máquinas comprometidas y exigiendo un pago por la clave de descifrado.

2. Exfiltración de Datos - Doble Extorsión

Los grupos de ransomware exfiltran datos de las víctimas antes de cifrarlos y luego amenazan con filtrar o publicar los datos exfiltrados.

3. Ataque DDoS - Triple Extorsión

Los actores de amenazas comenzaron a amenazar a las organizaciones con ataques de denegación de servicio distribuido como medida de contraataque, combinando ataques DDoS, cifrado de datos y exfiltración de datos.

4. Contacto con Clientes - Cuádruple Extorsión

Los operadores de ransomware ahora contactan activamente a los clientes y partes interesadas de la organización víctima, ejerciendo una gran presión.

5. Contacto con Competidores - Quíntuple Extorsión

Los actores de amenazas aumentan el estrés de la víctima amenazando con vender los datos robados a competidores o inversores interesados en los secretos comerciales.

Tendencia #3: Brokers de Acceso Inicial (IAB)

Objetivo: Beneficiarse del acceso ilegítimo a las redes empresariales.

Solución: Monitorizar constantemente la actividad de la red y corregir proactivamente las vulnerabilidades.

Tendencia #4: Ataques dirigidos a infraestructuras críticas

Objetivo: Paralizar servicios esenciales y exponer vulnerabilidades nacionales.

Solución: Reforzar la seguridad cibernética en sectores vitales, llevar a cabo pruebas de penetración regularmente y colaborar a nivel intergubernamental.

Top 10 ATT&CK Techniques para ransomware

Analizando los principales 22 grupos de ransomware durante los últimos tres años, el Centro de Defensa Informada contra Amenazas creó una lista de las 10 técnicas principales de ATT&CK para ransomware.

1. T1486: Data Encrypted for Impact

Se cifran los datos de la víctima con el objetivo de impedir el acceso a esos datos y causar un impacto en sus operaciones.

2. T1490: Inhibit System Recovery

Se previene que el sistema se recupere para dificultar la restauración a un estado anterior.

3. T1027: Obfuscated Files or Information

Se utiliza ofuscación para esconder las verdaderas intenciones del código o los datos.

4. T1047: Windows Management Instrumentation

Se utiliza WMI para ejecutar comandos o consultas en sistemas remotos.

5. T1036: Masquerading

Uso de nombres de archivos o procesos similares a los legítimos para esconder la actividad maliciosa.

6. T1059: Command and Scripting Interpreter

Uso de intérpretes de comandos o scripts nativos del sistema para ejecutar acciones maliciosas.

7. T1562: Impair Defenses

Se desactivan o se comprometen las herramientas de defensa del sistema para facilitar el objetivo malicioso.

8. T1112: Modify Registry

Cambios en el registro de Windows para lograr persistencia, ocultarse o cambiar configuraciones del sistema.

9. T1204: User Execution

Engaños que inducen a los usuarios a ejecutar archivos o scripts maliciosos.

10. T1055: Process Injection

Se inyecta código en procesos en ejecución para evadir la detección y mantener la persistencia.

Consejos para Protegerse contra el Ransomware

  1. Respaldos regulares: Asegúrese de hacer copias de seguridad regulares de todos los datos esenciales y almacenarlas en lugares seguros y desconectados de la red principal.

  2. Educación y capacitación: Capacite a su personal regularmente sobre las últimas tácticas de phishing y otros vectores de ataque.

  3. Actualizaciones y parches: Mantenga todos los sistemas, aplicaciones y dispositivos actualizados.

  4. Filtrado de correos electrónicos: Implemente soluciones de filtrado de correos electrónicos para detectar y bloquear correos maliciosos.

  5. Estrategia de defensa en profundidad: Use múltiples capas de defensa, desde firewalls y soluciones de detección de intrusiones hasta software antivirus y herramientas de monitoreo de comportamiento.

  6. Plan de respuesta a incidentes: Tenga un plan establecido y ensayado sobre cómo responderá en caso de un ataque de ransomware.

  7. Limitar accesos: Utilice el principio de privilegio mínimo.

  8. Segmentación de red: Evite que los atacantes se muevan lateralmente dentro de la red.

  9. Monitorización constante: Implemente herramientas que monitoreen continuamente la red en busca de actividad sospechosa.

Referencias

  1. Picus Security. (2022). 3 Ransomware Trends You Need to Know in 2022: RaaS, Multiple Extortion, IABs.
  2. TechTarget. (2023). Ransomware Trends, Statistics and Facts in 2023.
  3. Forescout. (2022). 2022H1 Ransomware Trends.
  4. Cyber Defense Magazine. (2023). RSA Conference 2023 Special Edition.
  5. Securelist. (2022). New ransomware trends in 2022.
SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo