Ciberseguridad
Ransomware

Así atacan las familias de 'ransomware' actuales

Un informe de Sophos pone de relieve que, ahora, este tipo de amenazas pasan desapercibidas frente a los controles de seguridad, aprovechándose de los procesos habitualmente fiables de las compañías.

Ransomware

 

Los ataques tipo ransomware vuelven a repuntar. Más dirigidos, sofisticados y con un objetivo más claro. El último informe de Sophos How ransomware attacks pone de relieve cómo estas amenazas intentan pasar desapercibidas frente a los controles de seguridad, aprovechándose de los procesos habitualmente fiables y, una vez dentro de la red, utilizan los sistemas internos para cifrar el mayor número posible de archivos y desactivar las copias de seguridad y los procesos de recuperación antes de que los equipos de TI puedan detectarlos.

El estudio asegura, también, que hay tres vías principales de distribución de ransomware. La primera, cryptoworm, se replica rápidamente en otros ordenadores para obtener un impacto mayor mediante ataques distribuidos ‘como servicio’ que se venden en la dark web, o mediante un ataque automatizado en el que se despliega el virus tras un análisis de las redes, en busca de sistemas con protección débil.

Por otra parte, se habla del ransomware con código cifrado y firmado. Algunos ataques utilizan certificados digitales legítimos, comprados o robados, para intentar convencer a los sistemas de seguridad de que el código es fiable y no necesita ser analizado.

Además, se ha experimentado un aumento de los privilegios mediante el uso de exploits disponibles fácilmente, como EternalBlue, para ampliar los derechos de acceso. Esto permite a los ciberatacantes instalar programas como herramientas de administración en remoto y visualizar, cambiar o borrar datos, crear nuevas cuentas con todos los derechos de usuario y desactivar el software de seguridad.

Los movimientos lateres y la búsqueda a través de la red de servidores de archivos y copias de seguridad también son tendencia mientras están bajo el radar con el fin de lograr el mayor impacto posible del ataque. En menos de una hora, los intrusos pueden crear un script para copiar y ejecutar el ransomware en los servidores y endpoints de una red.

También destacan los ataques remotos en los que los servidores de archivos, en sí mismos, no suelen ser el objeto de ataques de ransomware, sino que reciben el ataque a través de usuarios comprometidos que cifran sus ficheros. Sin embargo, en algunos de estos asaltos, el ataque se ejecuta generalmente en uno o más endpoints comprometidos, aprovechándose de una cuenta de usuario con privilegios para atacar documentos de forma remota, en ocasiones a través de protocolo de escritorio remoto o dirigiéndose a soluciones de gestión y monitorización remotas que suelen utilizar los proveedores de servicios gestionados para llevar la infraestructura TI de sus clientes y usuarios finales.

Por último, destaca el cifrado y cambio de nombre de archivos. Existen diferentes métodos para el cifrado de archivos, incluida la simple sobreescritura del documento, pero la mayoría van acompañados también del borrado de la copia de seguridad o del archivo original para dificultar el proceso de recuperación.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper