3 key steps of a ransomware attack

• El ransomware es un tipo de virus informático, también llamado software malicioso o malware, que bloquea tu computadora y envía una alerta exigiendo un pago por la devolución de tus datos.
• Un ataque de ransomware puede seguir los mismos 3 pasos principales: vectores de infección y distribución, cifrado de datos y demanda de rescate.
• Sin embargo, diferentes ransomware pueden incluir diferentes implementaciones o pasos adicionales.

Los delitos cibernéticos han ido en aumento durante años y no muestran signos de desaceleración. Mientras que los ciberataques solían centrarse en grandes empresas, ahora todos —desde pequeños empresarios hasta empleados del gobierno local e individuos— deben estar alerta. Ver también: El registro de miembros desaparecido de AfriNIC.

Uno de los tipos más comunes de ciberataque es el ransomware. El ransomware puede bloquear los datos de su computadora y mantenerlos como rehenes hasta que pague un rescate al atacante. Estos ataques pueden ser devastadores si no está preparado adecuadamente. Ver también: Desaparición del registro de miembros de AfriNIC.

¿Qué es el ransomware?

El ransomware es un tipo de malware que cifra archivos de forma reversible en su computadora. Si bien muchas personas y empresas cifran sus archivos de forma rutinaria por seguridad, el ransomware es problemático porque el atacante —no el propietario de la computadora— tiene la clave de descifrado. Esto significa que los usuarios no pueden acceder a sus archivos a menos que el hacker los descifre.

En un ataque de ransomware típico, el hacker ofrecerá descifrar sus archivos por un precio. Este es el rescate del ataque, y puede ir desde cientos de dólares para un individuo hasta millones para una gran corporación. Ver también: Alejandro Fernandez.

Algunos ransomware eliminarán sus archivos después de que pase un tiempo específico y predeterminado, lo que presiona a las víctimas para que paguen rápidamente. En otros ataques de ransomware, el atacante también robará copias de sus datos y amenazará con publicarlos si se niega a pagar. Este tipo de ataque de ransomware puede ser particularmente problemático para grandes empresas y agencias gubernamentales que almacenan datos confidenciales. Ver también: Aldo Garcia.

Lea también: ¿Cuántos Registros Regionales de Internet (RIR) existen?

¿Cómo funciona un ataque de ransomware?

Para tener éxito, el ransomware necesita acceder a un sistema objetivo, cifrar los archivos allí y exigir un rescate a la víctima. Ver también: Alcymer Vieira.

Si bien los detalles de implementación varían de una variante de ransomware a otra, todos comparten los mismos tres pasos principales. Ver también: Alcides Cremonezi.

1. Vectores de infección y distribución

El ransomware, como cualquier malware, puede acceder a los sistemas de una organización de varias maneras diferentes. Sin embargo, los operadores de ransomware tienden a preferir algunos vectores de infección específicos. Ver también: Alberto Anaya.

Phishing: Este es el tipo más popular de ingeniería social y sigue siendo el principal vector de ataque para todo tipo de malware. Los atacantes insertan enlaces y archivos adjuntos maliciosos en correos electrónicos que parecen legítimos para engañar a los usuarios y hacer que instalen malware sin saberlo. El smishing, vishing, spear phishing y los ataques de abrevadero (watering hole) son todas formas de phishing y estafas de ingeniería social que los atacantes utilizan para engañar a las personas para que inicien la instalación de malware. Ver también: Albert Kis.

Abuso de RDP y credenciales: Esto implica el uso de ataques de fuerza bruta o de relleno de credenciales, o la compra de credenciales en la web oscura, para iniciar sesión en sistemas como usuarios legítimos y luego infectar la red con malware. RDP, un favorito de los atacantes, es un protocolo que permite a los administradores acceder a servidores y escritorios desde prácticamente cualquier lugar y permite a los usuarios acceder de forma remota a sus escritorios. Sin embargo, las implementaciones de RDP mal aseguradas son un punto de entrada común para el ransomware.

Vulnerabilidades de software: Estas también son un objetivo frecuente de las infecciones de ransomware. Los atacantes se infiltran en los sistemas de las víctimas atacando software no parcheado o desactualizado. Uno de los mayores incidentes de ransomware de la historia, WannaCry, está vinculado al exploit EternalBlue, una vulnerabilidad en versiones no parcheadas del protocolo Server Message Block (SMB) de Windows.

Lea también: ¿Qué hay que entender sobre las direcciones IPv6 de APNIC?

2. Cifrado de datos

Una vez que el ransomware ha accedido a un sistema, puede comenzar a cifrar sus archivos. Dado que la funcionalidad de cifrado está integrada en un sistema operativo, esto simplemente implica acceder a los archivos, cifrarlos con una clave controlada por el atacante y reemplazar los originales con las versiones cifradas. La mayoría de las variantes de ransomware son cuidadosas en la selección de archivos a cifrar para garantizar la estabilidad del sistema. Algunas variantes también tomarán medidas para eliminar copias de seguridad y copias instantáneas de archivos para dificultar la recuperación sin la clave de descifrado.

3. Demanda de rescate

Una vez que se completa el cifrado de archivos, el ransomware está listo para hacer una demanda de rescate. Diferentes variantes de ransomware implementan esto de numerosas maneras, pero no es raro que el fondo de pantalla se cambie a una nota de rescate o que se coloquen archivos de texto en cada directorio cifrado que contengan la nota de rescate. Por lo general, estas notas exigen una cantidad determinada de criptomoneda a cambio de acceder a los archivos de la víctima.

Si se paga el rescate, el operador del ransomware proporcionará una copia de la clave privada utilizada para proteger la clave de cifrado simétrico o una copia de la propia clave de cifrado simétrico. Esta información se puede introducir en un programa de descifrado (también proporcionado por el ciberdelincuente) que se puede utilizar para revertir el cifrado y restaurar el acceso a los archivos del usuario.

Si bien estos 3 pasos principales existen en todas las variantes de ransomware, diferentes ransomware pueden incluir diferentes implementaciones o pasos adicionales. Por ejemplo, variantes de ransomware como Maze realizan escaneo de archivos, información de registro y robo de datos antes del cifrado de datos, y el ransomware WannaCry busca otros dispositivos vulnerables para infectar y cifrar.