É«¿Ø´«Ã½

A medida que los ciberdelincuentes de hoy en d¨ªa se vuelven m¨¢s sofisticados, disponen de m¨¢s formas de ransomware y m¨¢s vectores a trav¨¦s de los cuales pueden realizar ataques a las organizaciones que nunca. Incluso a medida que las empresas desarrollan contramedidas m¨¢s eficaces, los delincuentes ajustan las t¨¢cticas y las herramientas para eludir sus esfuerzos.?

Pero aunque los ataques de ransomware pueden parecer un poco misteriosos, suelen seguir la misma estructura b¨¢sica. Una vez que comprenda c¨®mo funcionan estos ataques, puede preparar una estrategia de mitigaci¨®n m¨¢s integral que, con suerte, impedir¨¢ o disminuir¨¢ los efectos de un ataque.

A continuaci¨®n puede encontrar informaci¨®n m¨¢s completa sobre la anatom¨ªa de un ataque de ransomware, incluida la forma en que el atacante obtiene acceso e infecta un sistema.?

Vectores de infecci¨®n y distribuci¨®n

El ransomware es un tipo de programa malicioso que se utiliza para cifrar archivos inform¨¢ticos importantes o datos confidenciales a cambio de un rescate. Las infecciones se producen cuando el programa malicioso ransomware se descarga e instala en los dispositivos de la red de una organizaci¨®n.?

El ransomware puede obtener acceso al sistema de destino de varias maneras. La manera m¨¢s com¨²n es mediante correos electr¨®nicos de suplantaci¨®n de identidad que contienen un enlace a un sitio web comprometido o un archivo adjunto con programa malicioso incrustado. Cuando el usuario hace clic en el enlace o archivo adjunto, el programa malicioso se descarga y ejecuta en el sistema inform¨¢tico.?

El Protocolo de escritorio remoto (RDP) es otro vector de ataque de ransomware com¨²n porque es f¨¢cil de usar y puede otorgar acceso de alto nivel a un atacante. De hecho, en 2020, el RDP fue el vector de ataque inicial en?la mitad de todos los casos de ransomware informados.?

El acceso a RDP comprometido se puede comprar en la web oscura, y encontrar una conexi¨®n RDP expuesta es solo cuesti¨®n de crear un script que busque el puerto predeterminado. Los piratas inform¨¢ticos suelen tener acceso a las mismas herramientas que los profesionales de la seguridad y pueden escanear todo Internet en busca de un puerto abierto en menos de un minuto.?

Otros vectores de distribuci¨®n, como el ransomware WannaCry, intentan infectar los sistemas directamente. WannaCry infecta los ordenadores que ejecutan el sistema operativo Microsoft Windows y cifra los archivos en el disco duro del ordenador. Luego exige el pago de un rescate en Bitcoins. WannaCry, lanzado por primera vez en 2017, todav¨ªa est¨¢ activo y ha afectado a m¨¢s de 100 000 organizaciones de todo el mundo.

.?

Cifrado

Una vez que el ransomware se instala en el sistema de destino, espera, recopila datos en silencio e infecta tantos sistemas como puede. Luego roba o cifra los archivos del sistema con los datos m¨¢s valiosos y confidenciales de la empresa. El ransomware a veces puede destruir las copias de seguridad o robar datos como parte del ataque, pero el objetivo principal generalmente es cifrar tantos archivos o sistemas como sea posible para que la organizaci¨®n quede inoperativa.

El ransomware se presenta en varios tipos y variantes, que incluyen los criptogr¨¢ficos, bloqueadores, de extorsi¨®n y el ransomware como servicio (RaaS).

El ransomware criptogr¨¢fico cifra archivos, codificando el contenido y haci¨¦ndolos ilegibles. Se necesita una clave de descifrado para restaurar los archivos a un formato legible. Luego, los ciberdelincuentes emiten demandas de rescate, prometiendo descifrar los datos o liberar la clave de descifrado una vez que se cumplan sus exigencias.

El ransomware bloqueador no cifra los archivos, pero bloquea completamente a la v¨ªctima fuera de su sistema o dispositivo. Luego, los ciberdelincuentes exigen un rescate para desbloquear el dispositivo. En t¨¦rminos generales, es posible recuperarse o evitar un intento de criptoataque si se dispone de una buena copia de seguridad. Sin embargo, recuperarse de un ataque de ransomware de bloqueo es m¨¢s dif¨ªcil y caro. Incluso con copias de seguridad de los datos, el dispositivo debe reemplazarse por completo.

El objetivo b¨¢sico de un ataque de ransomware es extorsionar dinero. Sin embargo, las organizaciones pueden negarse a pagar, especialmente si cuentan con un buen sistema de copia de seguridad y recuperaci¨®n. Por esta raz¨®n, los atacantes han comenzado a utilizar una nueva t¨¦cnica recientemente llamada doble extorsi¨®n, en la que los datos se cifran y se roban. Si la empresa se niega a pagar, los piratas inform¨¢ticos amenazan con filtrar la informaci¨®n en l¨ªnea o venderla al mejor postor.

Y es a¨²n peor. Tan devastador como suena el ransomware de doble extorsi¨®n, los expertos en seguridad?: ransomware de triple extorsi¨®n. Los atacantes exigen dinero a los terceros afectados, adem¨¢s de extraer datos y pedir rescate al objetivo inicial.?

Por ¨²ltimo, el ransomware como servicio (RaaS) utiliza el modelo est¨¢ndar de software como servicio (SaaS). Es un servicio basado en suscripci¨®n que brinda a los suscriptores acceso a herramientas de ransomware desarrolladas previamente para lanzar ataques de ransomware. Los suscriptores se conocen como afiliados y ganan un porcentaje de cada pago de rescate.

Notas de rescate y demandas

Una vez que el ransomware se ha implementado con ¨¦xito en la red de destino, hacer saber sus exigencias para el rescate. Los piratas inform¨¢ticos alertan a la v¨ªctima de que se ha producido un ataque y detallan el rescate necesario para revertir el ataque. Las exigencias para el rescate se muestran en las pantallas de los ordenadores o se dejan en una nota en el directorio con los archivos cifrados.?

Las solicitudes de rescate generalmente contienen detalles sobre el importe del rescate, el m¨¦todo de pago requerido y la fecha l¨ªmite para el pago, as¨ª como la promesa de devolver el acceso a los archivos cifrados una vez que se haya pagado el rescate. Si se ha producido la filtraci¨®n de datos, el pirata inform¨¢tico tambi¨¦n puede aceptar no exponer datos adicionales y mostrar evidencia de que los datos han sido destruidos. El pago generalmente se solicita en criptomoneda (por ejemplo, Bitcoin o Monero).

Sin embargo, incluso si se paga un rescate, no se tiene la garant¨ªa de que el atacante restaurar¨¢ los datos o cumplir¨¢ sus promesas. Pueden conservar una copia de los datos robados para utilizarlos en una fecha posterior. Es posible que las claves de descifrado no funcionen por completo, dejando algunos datos cifrados, o pueden contener programa malicioso adicional no detectado que el atacante puede usar en el futuro.

La negociaci¨®n: ?pagar o no pagar?

La decisi¨®n de pagar o no una demanda de rescate puede ser complicada y depende de varios factores:

• ?C¨®mo de importante es el impacto de la brecha en las operaciones comerciales?
• ?Estar¨¢n los empleados sin trabajo? ?Cu¨¢ntos de ellos y durante cu¨¢nto tiempo?
• ?C¨®mo es de grande el riesgo de exposici¨®n de datos?

Para ver m¨¢s de cerca los pros y los contras de pagar y no pagar, lea la publicaci¨®n de blog?

Si su sistema de copia de seguridad y recuperaci¨®n no se ha visto afectado por el ransomware, es posible que pueda evitar pagar el rescate por completo (seg¨²n el tipo de ransomware que le haya afectado). Pero si pagar el rescate es realmente su ¨²nica opci¨®n, es una buena idea contratar a un equipo de respuesta a incidentes con experiencia para ayudar con las negociaciones y facilitar el pago.

Las consecuencias: restauraci¨®n y recuperaci¨®n

El tiempo de inactividad medio tras un ataque de ransomware es de?. Si paga el rescate, es posible que tarde varios d¨ªas m¨¢s en recibir la clave de descifrado y revertir el cifrado.?

Tenga en cuenta que algunas variantes de ransomware identifican y destruyen las copias de seguridad en la red comprometida. Si las copias de seguridad se han destruido o cifrado, el proceso de recuperaci¨®n puede volverse m¨¢s complicado. Pero incluso si se pueden utilizar las copias de seguridad, la recuperaci¨®n a¨²n podr¨ªa ser un proceso largo, seg¨²n el tipo de sistema de copia de seguridad y recuperaci¨®n del que disponga.

Tanto si paga el rescate como si intenta recuperar los datos usted mismo, tenga planificado que todo el proceso de recuperaci¨®n puede tardar varios d¨ªas. Planifique tambi¨¦n alg¨²n grado de p¨¦rdida financiera, ya sea en forma de pagos de rescate, costes de respuesta a incidentes o p¨¦rdida de ingresos debido al tiempo de inactividad.

Vea c¨®mo podr¨ªa variar el proceso de recuperaci¨®n entre dos organizaciones hipot¨¦ticas con diferentes capacidades de recuperaci¨®n en el art¨ªculo?

Est¨¦ preparado para responder a un ataque

Un ataque de ransomware es un riesgo para el que no puede permitirse el lujo de no estar preparado. Puede pensar que est¨¢ haciendo todo lo correcto para mantenerse seguro, pero confiar en arquitecturas de copia de seguridad heredadas no le proteger¨¢ de los ataques modernos.?

?La mejor manera de responder a un ataque? Solo las soluciones modernas como É«¿Ø´«Ã½??FlashBlade? con?instant¨¢neas SafeMode??y?Rapid Restore?, que ofrece un rendimiento de recuperaci¨®n de datos de hasta 270 TB/hora, pueden llevar su estrategia de seguridad al siguiente nivel.