Vectores de infecci¨®n y distribuci¨®n
Ransomware es un tipo de malware que se usa para encriptar archivos inform¨¢ticos importantes o datos sensibles para rescate. Las infecciones ocurren cuando el malware de ransomware se descarga e instala en dispositivos de toda la red de una organizaci¨®n.
Ransomware puede obtener acceso al sistema objetivo de varias maneras. En 2023, los avances tecnol¨®gicos aumentaron. La inteligencia artificial y las plataformas de ransomware como servicio han optimizado la capacidad de los hackers para ejecutar ataques de ransomware. La ingenier¨ªa social, los ataques patrocinados por el estado y los ataques de personas con informaci¨®n privilegiada est¨¢n en aumento, pero la higiene deficiente del sistema y los correos electr¨®nicos de phishing siguen siendo los vectores de ataque m¨¢s comunes.
Los correos electr¨®nicos de phishing generalmente contienen un enlace a un sitio web comprometido o un archivo adjunto con malware incorporado. Cuando el usuario hace clic en el enlace o archivo adjunto, el malware se descarga y ejecuta en el sistema inform¨¢tico.
El protocolo de escritorio remoto (RDP) es otro vector de ataque de ransomware com¨²n porque es f¨¢cil de usar y puede darle a un atacante acceso de alto nivel si puede acceder a credenciales leg¨ªtimas. Los actores de amenazas pueden usar?una variedad de t¨¦cnicas, incluidos los ataques de fuerza bruta, el relleno de credenciales o la compra en la web oscura.
El acceso RDP comprometido comprado en la web oscura puede explotar una conexi¨®n RDP simplemente creando un script que busque el puerto predeterminado. Los hackers a menudo tienen acceso a las mismas herramientas que los profesionales de seguridad y pueden escanear toda la Internet en busca de un puerto abierto en menos de un minuto.?
El ex hacker Hector ¡°Sabu¡± Monsegur analiza el panorama actual de la ciberseguridad y los desaf¨ªos con Andrew Miller de Pure en este seminario web seg¨²n demanda.
Cifrado
Una vez que el ransomware se instala en el sistema objetivo, se encuentra en espera, recopilando datos en silencio e infectando tantos sistemas como sea posible. Luego, roba y/o encripta los archivos del sistema con los datos m¨¢s valiosos y sensibles de la empresa. Ransomware a menudo puede destruir copias de seguridad o robar datos como parte del ataque, por lo que es importante que sus copias de seguridad sean seguras e inmutables.
Ahora veamos m¨¢s de cerca algunos tipos y variantes de ransomware.
El ransomware criptogr¨¢fico encripta los archivos, descifrando el contenido y haci¨¦ndolos ilegibles. Se necesita una clave de descifrado para restaurar los archivos a un formato legible. Luego, los ciberdelincuentes emiten demandas de rescate, prometiendo descifrar los datos o liberar la clave de descifrado una vez que se cumplan las demandas.
El ransomware de casilleros no encripta los archivos, pero bloquea completamente a la v¨ªctima de su sistema o dispositivo. Los ciberdelincuentes luego exigen un rescate para desbloquear el dispositivo. En t¨¦rminos generales, es posible recuperarse o evitar un intento de ataque criptogr¨¢fico si hay una buena copia de seguridad disponible. Sin embargo, es m¨¢s dif¨ªcil y costoso recuperarse de un ataque de ransomware en un casillero. Incluso con datos de copia de seguridad, el dispositivo debe reemplazarse por completo.
El objetivo b¨¢sico de un ataque de ransomware es extorsionar el dinero, pero las organizaciones pueden negarse a pagar, especialmente cuando cuentan con un buen sistema de copia de seguridad y recuperaci¨®n. Por esta raz¨®n, los atacantes utilizan la doble extorsi¨®n, en la que los datos se encriptan y se extraen. Si la empresa se niega a pagar, los hackers amenazan con filtrar la informaci¨®n en l¨ªnea o venderla al mejor licitador.
Y empeora. Tan devastador como suena el ransomware de doble extorsi¨®n, los expertos en seguridad advierten de una amenaza mayor: . Los atacantes exigen dinero de terceros afectados, adem¨¢s de extraer datos y exigir rescates del objetivo inicial.
Por ¨²ltimo, el ransomware como servicio (RaaS) utiliza el modelo est¨¢ndar de software como servicio (SaaS ). Es un servicio basado en suscripci¨®n que les brinda a los suscriptores acceso a herramientas de ransomware desarrolladas previamente para lanzar ataques de ransomware. A los suscriptores se los denomina afiliados y ganan un porcentaje de cada pago de rescate.?
Notas y demandas de rescate
Una vez que el ransomware se ha implementado con ¨¦xito en la red objetivo, se realizan demandas de rescate. Los hackers alertan a la v¨ªctima de que ha ocurrido un ataque y detallan el rescate necesario para revertir el ataque. Las demandas de rescate se muestran en las pantallas de la computadora o se dejan en una nota en el directorio con los archivos cifrados.
Las solicitudes de rescate generalmente contienen detalles del monto del rescate, el m¨¦todo de pago requerido y la fecha l¨ªmite de pago, as¨ª como la promesa de devolver el acceso a los archivos cifrados una vez que se haya pagado el rescate. Si se ha producido la exfiltraci¨®n de datos, el hacker tambi¨¦n puede acordar no exponer datos adicionales y mostrar evidencia de que los datos han sido destruidos. Por lo general, el pago se solicita en criptomoneda (p. ej., Bitcoin o Monero).
Sin embargo, incluso si se paga un rescate, no hay garant¨ªa de que el atacante restaurar¨¢ los datos o cumplir¨¢ con las promesas. Pueden conservar una copia de los datos robados para usarla en una fecha posterior. Es posible que las claves de descifrado no funcionen por completo, dejen algunos datos cifrados o que contengan malware adicional no detectado que el atacante pueda usar en el futuro.
La negociaci¨®n: ?Pagar o no pagar?
La decisi¨®n de pagar o no una demanda de rescate puede ser complicada y depender de varios factores:
- ?Qu¨¦ tan significativo es el impacto de la violaci¨®n en las operaciones comerciales?
- ?Los empleados no trabajar¨¢n? ?Cu¨¢ntos y durante cu¨¢nto tiempo?
- ?Qu¨¦ tan grande es el riesgo de exposici¨®n de datos?
Para ver m¨¢s de cerca las ventajas y desventajas de pagar y no pagar, lea la publicaci¨®n del blog ¡°?¡±.
Si su sistema de copia de seguridad y recuperaci¨®n no se ha visto afectado por el ransomware, es posible que pueda evitar pagar el rescate por completo (seg¨²n el tipo de ransomware que lo afecte). Pero si pagar el rescate es realmente su ¨²nica opci¨®n, es una buena idea contratar a un equipo de respuesta a incidentes experimentado para que lo ayude con las negociaciones y facilite el pago.?
Las secuelas: Restauraci¨®n y recuperaci¨®n
El tiempo de inactividad promedio despu¨¦s de un ataque de ransomware es de . Si paga el rescate, puede tomar varios d¨ªas adicionales recibir la clave de descifrado e invertir el cifrado.
Tenga en cuenta que algunas variantes de ransomware identifican y destruyen las copias de seguridad en la red comprometida. Si las copias de seguridad se han destruido o cifrado, el proceso de recuperaci¨®n puede volverse m¨¢s complicado. Pero incluso si las copias de seguridad son utilizables, la recuperaci¨®n a¨²n podr¨ªa ser un proceso largo, dependiendo del tipo de sistema de copia de seguridad y recuperaci¨®n que tenga implementado.
Ya sea que pague el rescate o intente recuperar los datos usted mismo, planifique que todo el proceso de recuperaci¨®n tarde varios d¨ªas. Tambi¨¦n planifique alg¨²n grado de p¨¦rdida financiera, ya sea en forma de pagos de rescate, costos de respuesta a incidentes o p¨¦rdida de ingresos debido al tiempo de inactividad.
Vea c¨®mo el proceso de recuperaci¨®n podr¨ªa variar entre dos organizaciones hipot¨¦ticas con diferentes capacidades de recuperaci¨®n en el art¨ªculo ¡°¡±
Prep¨¢rese para responder ante un ataque
Un ataque de ransomware es un riesgo para el que no puede estar preparado. Puede pensar que est¨¢ haciendo todo lo correcto para mantenerse seguro, pero confiar en las arquitecturas de copia de seguridad heredadas no lo proteger¨¢ de los ataques modernos.
?La mejor manera de responder a un ataque? Solo las soluciones modernas, como las snapshots SafeMode deÉ«¿Ø´«Ã½ ? y FlashBlade//S conrestauraci¨®n r¨¢pida, que ofrece un rendimiento de recuperaci¨®n de petabytes a escala, pueden llevar su estrategia de seguridad al siguiente nivel.
![Icono de rayos de tormenta](/content/dam/purestorage/online-assets/icons/lightning.svg.imgo.svg"/){kind=icon}
![](/content/dam/purestorage/knowledge/life-cycle-ransomware-attacks.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/promo-hacker-guide-ransomware-c.png.imgo.png")
![](/content/dam/purestorage/online-assets/graphics/visionary-voices-resources.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/cyber-resilience-resource-3a.jpg.imgo.jpg")
![](/content/dam/purestorage/homepage23/resources-events/future-of-storage-ebook.jpg.imgo.jpg")
![](/content/dam/purestorage/online-assets/graphics/gartner-card.svg.imgo.svg")