Ataques avanzados de ransomware – SI CERT
SI-CERT, el CSIRT nacional de Eslovenia, ha estado manejando informes de ataques de ransomware de forma regular desde abril de 2012. Hasta 2019, las víctimas de los ataques eran seleccionadas al azar como parte de una campaña de gran volumen destinada a propagar el virus. Sin embargo, desde 2019 los ataques han sido más selectivos. En la mayoría de los casos, el vector de infección es un correo electrónico malicioso que contiene un archivo adjunto o un vínculo malicioso, o un ataque a través de un protocolo de escritorio remoto que no está suficientemente protegido. No obstante, los ciberdelincuentes también pueden aprovechar nuevas vulnerabilidades para obtener acceso no autorizado a las redes objetivo.
El curso del ataque
En un ataque dirigido, los ciberatacantes primero seleccionan objetivos que consideran que tienen la capacidad de pagar un rescate mayor. Si la infección tiene éxito a través del correo electrónico (generalmente con un troyano personalizado) o encuentran un servicio disponible públicamente que permite el acceso a la red de la empresa, instalan un kit de herramientas de administración remota (RAT) en el sistema comprometido. Luego lo utilizan para monitorear la estructura de la red y, utilizando varias herramientas de intrusión, obtienen datos de autenticación y acceso a otros sistemas de la red. En el entorno Windows, su objetivo principal es el controlador de dominio. Al analizar la información obtenida, evalúan el valor de los datos y, en base a ello, determinan el importe del rescate, que en algunos casos puede superar los 100.000 euros. Si la búsqueda del sistema les proporciona bases de datos que tienen un alto valor comercial para la empresa o contienen datos personales, los roban. Además, intentan encontrar copias de seguridad del sistema y (si es posible) disponer su destrucción. En el último paso, descargan y ejecutan el ransomware en tantos sistemas como sea posible. El virus cifra los datos y en consecuencia paraliza o impide el funcionamiento de la empresa. Los perpetradores exigen un rescate para descifrar los datos y pueden amenazar con publicar datos confidenciales si encuentran alguno.
Vectores de ataque de ransomware
Intrusión a través de un protocolo de escritorio remoto inadecuado u otra vulnerabilidad
En un entorno empresarial, los servicios de Escritorio remoto se utilizan con mayor frecuencia para acceder a la infraestructura del servidor. Una protección insuficiente o inadecuada del protocolo de escritorio remoto permite a los ciberdelincuentes acceder e instalar malware.
La razón más común para una intrusión exitosa es el uso de contraseñas débiles, que pueden identificarse mediante fuerza bruta y ataque de diccionario, o el uso de las mismas contraseñas para diferentes servicios (reciclaje de contraseñas). Los datos de autenticación mal utilizados también se comercializan en mercados ilegales que normalmente se encuentran en la web oscura. Un gran número de los casos examinados mostraron que los atacantes realizaban actividades los fines de semana, cuando era menos probable que los detectaran.
En caso de una instalación retrasada o incorrecta de los parches, la vulnerabilidad del servicio puede facilitar aún más el acceso no autorizado a la infraestructura por parte de los ciberdelincuentes. Los ejemplos incluyen la vulnerabilidad BlueKeep en Windows RDP y la CVE-2020-0688 Vulnerabilidad en el servidor Microsoft Exchange. Ambas vulnerabilidades permiten a los perpetradores ejecutar cualquier código de forma remota (RCE, Remote Code Execution).
Ataques por correo electrónico
Las infecciones con un virus troyano como el ladrón de información y el troyano de acceso remoto (RAT) también pueden provocar infecciones con ransomware.
La mayoría de las veces se difunden por correo electrónico. El contenido del mensaje intenta persuadir al destinatario para que abra el archivo adjunto o haga clic en el enlace para descargar el malware en su sistema. En algunos casos, la infección puede originarse en el ordenador infectado de un socio comercial como respuesta a correspondencia anterior.
- El troyano que roba información recupera contraseñas almacenadas de navegadores web instalados, clientes de correo electrónico, clientes FTP, etc. Algunos de ellos también instalan un registrador de teclas en el sistema, que registra las entradas en el teclado (por ejemplo, contraseñas ingresadas), pero también pueden contener un componente para descargar archivos de la web (descargador). Basándose en esta funcionalidad, los ciberatacantes pueden transmitir y ejecutar el ransomware en un sistema comprometido.
- El troyano de acceso remoto crea una puerta trasera para el acceso remoto a la computadora de la víctima, lo que permite al atacante acceder al sistema comprometido. Después de escanear toda la red, verificar las opciones de acceso a todos los servidores, computadoras y medios de red y externos disponibles, los perpetradores instalan y ejecutan el virus de extorsión.
Otros métodos de distribución de ransomware
En ataques más avanzados, en los que los ciberdelincuentes apuntan a un objetivo específico, las intrusiones iniciales en el sistema también pueden ser el resultado de otras técnicas de piratería, como:
- Descarga no autorizada, que se produce cuando la víctima visita (“conduce”) y abre una página web en el navegador en la que el atacante ha instalado previamente un código malicioso adicional. Esto infecta la computadora de la víctima a través de una vulnerabilidad en un navegador u otro software;
- Watering Hole Attack, que es una versión de un ataque de descarga no autorizada destinado a un perfil de usuario específico. Los atacantes eligen un sitio (como un fabricante de equipos militares o un proveedor de soluciones de hardware y software para sistemas de energía) que estos usuarios visitan regularmente. Al comprometer el sitio elegido, el troyano puede infectar a sus visitantes;
- memorias USB y otros periféricos infectados;
- intrusión a través de una red WiFi insuficientemente protegida;
- acceso físico a uno de los sistemas de la red.
Mejores prácticas para mantener sus datos seguros
La defensa de la ciberseguridad contra el ransomware incluye medidas técnicas como el uso de antivirus, firewall, filtros en servidores, conexiones VPN, sistemas de prevención y control de intrusiones, así como educación periódica de los usuarios o empleados. Sin embargo, nunca se puede asumir una protección del 100% en el ámbito de la seguridad de la información, por lo que la mejor protección contra el ransomware es una copia de seguridad adecuada, es decir, una copia de los datos y recursos críticos almacenados fuera de la red en uno o varios dispositivos separados, y análisis periódicos de las copias de seguridad. en busca de infección y ejecutar simulacros de recuperación de datos.
Para proteger la red local, recomendamos la introducción de sistemas de detección de intrusiones en la red (NIDS) y sistemas de detección de intrusiones en el host. La implementación del sistema SIEM (Security Information and Event Management) permite el seguimiento de actividades y análisis de registros y eventos en la red. Es preferible que el diseño de la red esté dividido en áreas (servidores de acceso público, red interna) con restricciones en el intercambio de datos entre ellas.
También recomendamos desarrollar un plan de acción estratégico en caso de un ataque a la infraestructura de información de la empresa (Plan de Recuperación de Desastres). Esto debería incluir un conjunto de procedimientos y tareas para los grupos, individuos y contratistas externos involucrados en la resolución de la situación. Al mismo tiempo, es de suma importancia crear un escenario para verificar y agregar pasos de acción/actualizar planes de acción.
Además de todo lo anterior, también es necesario definir detalladamente la política de conexión de los propios dispositivos de los usuarios y el uso de medios externos de los empleados (por ejemplo, memorias USB) en el Sistema de Información de la empresa u organización.