¿Tienes dudas? ¡Escríbenos!
SUSCRÍBETE
Robin Vega
Robin Vega

Manager Operaciones de Ciberseguridad en Nacional Monte de Piedad, responsable del SOC & CSIRT, cuenta con experiencia en Auditoria de ciberseguridad, gestión de riesgos, seguridad de la información, Red Team, Blue Team y Gestión de la Seguridad Informática.

Esta amenaza se ha convertido en una de las herramientas más redituables de los ciberdelincuentes, por lo tanto, una de las más peligrosas a las que nos enfrentamos como individuos y organizaciones. Para el usuario en el hogar podría representar la perdida completa de su información personal y para una organización podría representar perdidas que pueden rondar millones de dólares, incluso su perdida reputacional por la pérdida de datos de sus clientes.

El Instituto Nacional de Ciberseguridad de España (INCIBE) define al “Ransomware como un tipo de malware que toma por completo el control del equipo bloqueando o cifrando la información del usuario para, a continuación, pedir dinero a cambio de liberar o descifrar los ficheros del dispositivo”.

El objetivo de este malware como lo establece la definición es encriptar la información de la computadora de la víctima, volviéndola inaccesible. Tras el pago del rescate, aunque no siempre la víctima puede recibir la clave para desencriptar la información; en el caso de que el usuario o la organización utilicen métodos de respaldo para restaurar su sistema, muchas veces los cibercriminales deciden entonces hacer publica toda la información que obtuvieron cuando comprometieron los sistemas.

Así que vamos a conocer un poco sobre las etapas para efectuar este ataque hacia las organizaciones:

Pensemos como un atacante:

¿Qué necesito primero para hacer un ataque?, claro la respuesta es: tener un objetivo claro, redituable y relativamente sencillo. Por lo tanto, la primera etapa es:

1. Exploración: consiste en busca y recolectar información pública en internet para fijar un objetivo claro para el ataca, de esta manera con la información recolectada durante esta exploración efectuar un ataque a la organización como “phishing, explotar vulnerabilidades o simplemente aprovechar credenciales obtenidas sobre la red a comprometer”.

Acertamos en el ataque y ahora tenemos acceso a la red de la organización, ¿Cuál sería el siguiente paso?:

2. Colocación en la red: el atacante necesita el acceso en la red interna a libre demanda por lo tanto buscara por todos los medios ser persistente en la red, creando puertas traseras “back door “, para comunicarse siempre con la red interna desde cualquier punto externo. Actividad conocida comúnmente como APTAdvance Persistent Threat”.

Ahora que el atacante tiene un enlace persistente a la red comprometida, es momento de realizar la siguiente etapa:

3. Recolección de información y Escalabilidad: dentro de la red interna, los atacantes ahora recolectaran información de credenciales de los sistemas, así mismo generar una elevación de privilegios para poder moverse sin restricción dentro de la red. En esta etapa con los privilegios ganados ahora puede crear mas usuarios en cada uno de los sistemas para sus propios fines.

El atacante ahora tiene privilegios altos sobre la infraestructura, por lo tanto, el siguiente paso será realizar:

4. Movimientos Laterales: ahora intentara moverse dentro de la red interna a través de la interconexión de los sistemas, de esta manera colocara el malware en todo aquello que pueda obtener acceso y concentrarse en donde localice la información con mayor valor.

Llegamos a la etapa:

5. Persistencia en la red: como ya lo explicamos en la etapa 2, es necesario mantener la persistencia en los sistemas por lo tanto con los movimientos laterales se concentrarán en obtener acceso a recursos que permitan crear usuarios con privilegios de administrador y acceder a cualquier recurso de red, estos pueden ser Directorio Activo o bóvedas de contraseñas.

El atacante buscara destruir o comprometer cualquier forma de restauración de la información que secuestrara por lo tanto entrara en la siguiente etapa:

6. Eliminación de copias de seguridad o archivos de respaldo: necesita asegurarse que la compañía afectada no pueda recuperar el acceso a sus sistemas, configuraciones o información, por lo tanto, se concentrara en destruir las copias de seguridad a las que tengan acceso.

Ahora es momento de concluir el ataque, llegamos a la etapa de:

7. Activación de Ransomware: aquí se cifrar toda la información de los sistemas consecutivamente, los atacantes dejan una nota de contacto que solicita realizar un pago para recuperar el acceso a la información. Un ejemplo es el mensaje del Ransomware Makop.

Pero ¿Cómo detenerlo?:

Ahora ya sabemos la forma como operan normalmente los criminales, que es y como funciona un Ransomware, pero ahora necesitamos saber como poder implementar controles para protegernos de este ataque.

Te invitamos a leer la segunda parte de este blog: ¡Cómo protegerte de un ataque de ransomware!

Lee también:
Como crear un programa de concientización
Protección avanzada de eficacia probada en el endpoint
Protección avanzada de eficacia probada para Firewall
Aislamiento y limpieza de amenazas con Seguridad Sincronizada

Visitas: 167

ARTICULOS RELACIONADOS

¿Sabes cómo funciona el Phishing?

El phishing es un método que los ciber delincuentes utilizan para engañar y conseguir que se revele información personal.

Seguir leyendo keyboard_arrow_right
Oct 2021 Visitas: 63

Pasos para un correcto análisis de vulnerabilidades

Tu empresa puede estar comprometida ¿Qué pasaría si tu empresa es comprometida por ciberdelincuentes?

Seguir leyendo keyboard_arrow_right
Oct 2021 Visitas: 48

¿Tu empresa sobreviviría a un ataque informático en el mundo real?

Es importante conocer y entender como es que los atacantes pueden explotar los sistemas.

Seguir leyendo keyboard_arrow_right
Sep 2021 Visitas: 60

SUSCRÍBETE

attach_money