Ransomware attacks explained: 5 stages of attack

• Malware conocido como “ransomware” encripta los datos de la víctima y luego exige un “rescate”, o pago, para desbloquear los archivos y la red.
• Un ataque de ransomware es una forma de ataque de malware en el que un atacante se apodera de los datos, carpetas o todo el dispositivo del usuario hasta que se pague una tarifa de “rescate”.
• Un ataque de ransomware generalmente procede a través de 5 etapas.

Ransomware es un tipo de malware que encripta los datos de la víctima, donde el atacante exige un “rescate”, o pago, para restaurar el acceso a los archivos y a la red. Por lo general, la víctima recibe una clave de descifrado una vez realizado el pago para restaurar el acceso a sus archivos. Si no se realiza el pago del rescate, el actor de amenazas publica los datos en sitios de filtración de datos (DLS) o bloquea el acceso a los archivos de forma permanente.

El ransomware se ha convertido en uno de los tipos de malware más prominentes, dirigido a una amplia variedad de sectores, incluidos gobierno, educación, finanzas y salud, con millones de dólares extorsionados en todo el mundo cada año. Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.

¿Qué es un ataque de ransomware?

Un ataque de ransomware es un tipo de ataque de malware donde el atacante encripta y retiene los archivos, carpetas o todo el dispositivo del usuario hasta que recibe un pago de rescate. Un ataque de ransomware utiliza ataques de phishing o sitios web maliciosos para infectar una computadora o red y aprovechar vulnerabilidades de seguridad abiertas. Un ataque de ransomware compromete la computadora de un usuario encriptando sus archivos o bloqueando al usuario, y luego solicita un pago (a menudo en Bitcoin) para desbloquear los archivos o restaurar el sistema. Ver también: Asociación ECHOES.

Este tipo de ataque utiliza vulnerabilidades de software para infectar y tomar control del dispositivo de la víctima, aprovechando las redes y los usuarios del sistema. Una computadora, un teléfono inteligente, tecnología ponible (wearables), equipos electrónicos de punto de venta (POS) o cualquier otro terminal de punto final pueden ser el dispositivo de la víctima. Ver también: IT Department - Athlok.

Un individuo, una organización o una red de organizaciones y procesos comerciales pueden ser el objetivo de un ataque de ransomware. El atacante puede infectar una red de computadoras con malware a través de diversos métodos, incluidos enlaces o adjuntos de correos electrónicos de phishing y sitios web comprometidos. Para lograrlo se utilizan descargas automáticas (drive-by downloads), memorias USB comprometidas, ventanas emergentes, redes sociales, publicidad maliciosa, software comprometido, sistemas de distribución de tráfico (TDS), autopropagación y otros métodos.

Lea también: ¿Qué es la banca abierta? Una breve guía

Etapas de un ataque de ransomware

Un ataque de ransomware generalmente procede a través de estas etapas. Ver también: Alejandro Estua.

Etapa 1: Acceso inicial

Los vectores de acceso más comunes para los ataques de ransomware siguen siendo el phishing y la explotación de vulnerabilidades. Ver también: Alejandro Manzo.

Etapa 2: Post-explotación

Dependiendo del vector de acceso inicial, esta segunda etapa puede implicar una herramienta de acceso remoto (RAT) intermedia o malware antes de establecer un acceso interactivo. Ver también: Alejandro Hernandez.

Etapa 3: Comprender y expandir

Durante esta tercera etapa del ataque, los atacantes se centran en comprender el sistema local y el dominio al que tienen acceso actualmente. Los atacantes también trabajan en obtener acceso a otros sistemas y dominios (lo que se conoce como movimiento lateral). Ver también: Alejandro Garza.

Lea también: ¿Cuántos Registros Regionales de Internet (RIR) existen?

Etapa 4: Recolección y exfiltración de datos

Aquí los operadores de ransomware cambian el enfoque a identificar datos valiosos y exfiltrarlos (robarlos), generalmente descargando o exportando una copia para sí mismos. Si bien los atacantes pueden exfiltrar cualquier dato al que puedan acceder, generalmente se centran en datos especialmente valiosos (credenciales de inicio de sesión, información personal de clientes, propiedad intelectual) que pueden usar para la doble extorsión. Ver también: Alejandro Guerrero.

Etapa 5: Despliegue y envío de la nota

El ransomware criptográfico comienza a identificar y encriptar archivos. Algunos ransomware criptográficos también deshabilitan las funciones de restauración del sistema o eliminan o encriptan las copias de seguridad en la computadora o red de la víctima para aumentar la presión para pagar por la clave de descifrado. El ransomware no encriptante bloquea la pantalla del dispositivo, inunda el dispositivo con ventanas emergentes o impide de otra manera que la víctima use el dispositivo.

Una vez que los archivos han sido encriptados o el dispositivo ha sido deshabilitado, el ransomware alerta a la víctima de la infección. Esta notificación a menudo llega a través de un archivo.txt depositado en el escritorio de la computadora o a través de una ventana emergente. La nota de rescate contiene instrucciones sobre cómo pagar el rescate, generalmente en criptomoneda o un método igualmente difícil de rastrear. El pago se realiza a cambio de una clave de descifrado o la restauración de las operaciones normales.

Un ataque de ransomware es un peligroso ataque de malware que bloquea la computadora de un usuario encriptando los datos mediante diversas técnicas de cifrado y exige una tarifa de rescate para restaurar los archivos encriptados o la computadora.