- El malware conocido como "ransomware" encripta los datos de la víctima y luego exige un "rescate", o pago, de la víctima para desbloquear los archivos y la red.
- Un ataque de ransomware es una forma de ataque de malware en el que un atacante se apodera de los datos, carpetas o todo el dispositivo del usuario hasta que se pague una tarifa de "rescate".
- Un ataque de ransomware suele desarrollarse en 5 etapas.
Ransomwarees un tipo de malware que encripta los datos de la víctima, donde el atacante exige un "rescate", o pago, para restaurar el acceso a los archivos y la red. Normalmente, la víctima recibe una clave de descifrado una vez realizado el pago para restaurar el acceso a sus archivos. Si no se realiza el pago del rescate, el actor de la amenaza publica los datos en sitios de filtración de datos (DLS) o bloquea el acceso a los archivos de forma permanente.
El ransomware se ha convertido en uno de los tipos de malware más destacados, dirigido a una amplia variedad de sectores, incluidos el gubernamental, educativo, financiero y sanitario, con millones de dólares extorsionados en todo el mundo cada año.
¿Qué es un ataque de ransomware?
Un ataque de ransomware es un tipo de ataque de malware en el que el atacante encripta y retiene los archivos, carpetas o todo el dispositivo del usuario hasta que recibe un pago de rescate. Un ataque de ransomware utiliza ataques de phishing o sitios web maliciosos para infectar una computadora o red y aprovechar las vulnerabilidades de seguridad abiertas. Un ataque de ransomware compromete la computadora del usuario encriptando los archivos o bloqueando al usuario, y luego solicita un pago (a menudo en Bitcoin) para desbloquear los archivos o restaurar el sistema.
Este tipo de ataque utiliza vulnerabilidades de software para infectar y tomar el control del dispositivo de la víctima, aprovechando las redes del sistema y los usuarios. Una computadora, un teléfono inteligente, tecnología portátil, equipos electrónicos de punto de venta (POS) o cualquier otro terminal de punto final podría ser el dispositivo de la víctima.
Un individuo, una organización o una red de organizaciones y procesos empresariales pueden ser el objetivo de un ataque de ransomware. El atacante puede infectar una red de computadoras con malware mediante una variedad de métodos, incluidos enlaces o archivos adjuntos de correos electrónicos de phishing y sitios web comprometidos. Descargas automáticas, memorias USB comprometidas, ventanas emergentes, redes sociales, publicidad maliciosa, software comprometido,sistemas de distribución de tráfico (TDS), autopropagación y otros métodos se utilizan para lograr esto.
Lea también:¿Qué es la banca abierta? Una breve guía
Etapas de un ataque de ransomware
Un ataque de ransomware suele desarrollarse a través de estas etapas.
Etapa 1: Acceso inicial
Los vectores de acceso más comunes para los ataques de ransomware siguen siendo el phishing y la explotación de vulnerabilidades.
Etapa 2: Post-explotación
Dependiendo del vector de acceso inicial, esta segunda etapa puede implicar una herramienta de acceso remoto (RAT) intermediaria o malware antes de establecer un acceso interactivo.
Etapa 3: Comprender y expandir
Durante esta tercera etapa del ataque, los atacantes se centran en comprender el sistema local y el dominio al que tienen acceso actualmente. Los atacantes también trabajan para obtener acceso a otros sistemas y dominios (lo que se denomina movimiento lateral).
Lea también:¿Cuántos Registros Regionales de Internet (RIR) existen?
Etapa 4: Recopilación y exfiltración de datos
Aquí los operadores de ransomware cambian el enfoque a identificar datos valiosos y exfiltrarlos (robarlos), generalmente descargándolos o exportando una copia para sí mismos. Si bien los atacantes podrían exfiltrar cualquiera de los datos a los que pueden acceder, generalmente se centran en datos especialmente valiosos (credenciales de inicio de sesión, información personal de los clientes, propiedad intelectual) que pueden utilizar para la doble extorsión.
Etapa 5: Despliegue y envío de la nota
El criptoransomware comienza a identificar y encriptar archivos. Algunos criptoransomware también deshabilitan las funciones de restauración del sistema o eliminan o encriptan las copias de seguridad en la computadora o red de la víctima para aumentar la presión para pagar por la clave de descifrado. El ransomware no encriptante bloquea la pantalla del dispositivo, inunda el dispositivo con ventanas emergentes o impide de otra manera que la víctima use el dispositivo.
Una vez que los archivos han sido encriptados o el dispositivo ha sido deshabilitado, el ransomware alerta a la víctima de la infección. Esta notificación a menudo se presenta a través de un archivo.txt depositado en el escritorio de la computadora o mediante una ventana emergente. La nota de rescate contiene instrucciones sobre cómo pagar el rescate, generalmente en criptomoneda o un método similar no rastreable. El pago es a cambio de una clave de descifrado o la restauración de las operaciones normales.
Un ataque de ransomware es un peligroso ataque de malware que bloquea la computadora del usuario encriptando los datos mediante diversas técnicas de encriptación y exige una tarifa de rescate para restaurar los archivos encriptados o la computadora.

