Facebook Linkedin Twitter Instagram Youtube Telegram

Sophos muestra cómo atacan a sus víctimas las familias de ransomware más frecuentes y persistentes

  • El informe recoge las herramientas y técnicas utilizadas por las 11 familias de ransomware principales, entre las que se incluye WannaCry, SamSam RobbinHood, Ryuk y MegaCortex entre otros
  • La automatización y los ataques activos son los métodos más comunes vistos entre las principales familias de ransomware analizadas en este documento
  • Estas técnicas de ataque, entre otras, serán presentadas por la compañía en el Sophos Day 2019 que tendrá lugar el 26 de noviembre en el Museo Reina Sofía de Madrid y que reunirá a númerosos expertos en ciberseguridad

La investigación llevada a cabo por los SophosLabs pone de relieve cómo los ataques de ransomware intentan pasar desapercibidos frente a los controles de seguridad, aprovechándose de los procesos habitualmente fiables, y una vez dentro de la red, utilizan los sistemas internos para cifrar el mayor número posible de archivos y desactivar las copias de seguridad y los procesos de recuperación antes de que los equipos de TI puedan detectarlos.

Algunas de las herramientas y técnicas recogidas en el informe son:

Principales vías de distribución de las familias de ransomware más importantes. El ransomware se distribuye normalmente de tres maneras: como cryptoworm, replicándose rápidamente en otros ordenadores para obtener un impacto mayor (por ejemplo, WannaCry), mediante ataques ransomware-as-a-service (RaaS), vendidos en la dark web como un kit distribuible (Sodinokibi, por ejemplo), o mediante un ataque automatizado activo llevado a cabo por los atacantes, donde despliegan manualmente el ransomware tras una análisis automatizado de las redes, en busca de sistemas con protección débil. Este tipo de ataques activos y automatizados son los más comunes detectados por Sophos entre todas las familias de ransomware recogidas en el informe.

Ransomware con código cifrado y firmado. Algunos ataques de ransomware utilizan certificados digitales legítimos, comprados o robados, para intentar convencer a los sistemas de seguridad de que el código es fiable y no necesita ser analizado.

Aumento de los privilegios mediante el uso de exploits disponibles fácilmente, como EternalBlue, para ampliar los derechos de acceso. Esto permite a los ciberatacantes instalar programas como herramientas de administración en remoto (RATs, por sus siglas en inglés), y visualizar, cambiar o borrar datos, crear nuevas cuentas con todos los derechos de usuario, y desactivar el software de seguridad.

Movimientos laterales y búsqueda a través de la red de servidores de archivos y copias de seguridad mientras están bajo el radar, con el fin de lograr el mayor impacto posible del ataque de ransomware. En menos de una hora, los ciberatacantes pueden crear un script para copiar y ejecutar el ransomware en los servidores y endpoints de una red. Para acelerar el ataque, el ransomware es capaz de priorizar su ataque sobre unidades compartidas donde incluso puede empezar por los documentos de menor tamaño y lanzar múltiples hilos en paralelo.

Ataques remotos. Los servidores de archivos, en sí mismos, no suelen ser el objeto de ataques de ransomware, sino que reciben el ataque a través de usuarios comprometidos que cifran sus ficheros. Sin embargo, en algunos de estos asaltos, el ataque se ejecuta generalmente en uno o más enpoints comprometidos, aprovechándose de una cuenta de usuario con privilegios para atacar documentos de forma remota, en ocasiones a través de protocolo de escritorio remoto (RDP, por sus siglas en inglés) o dirigiéndose a soluciones de gestión y monitorización remotas (RMM), que suelen utilizar los MSP (proveedores de servicios gestionados) para gestionar la infraestructura de TI de sus clientes y/o los sistemas de usuario final.

Cifrado y cambio de nombre de archivos. Existen diferentes métodos para el cifrado de archivos, incluida la simple sobreescritura del documento, pero la mayoría van acompañados también del borrado de la copia de seguridad o del archivo original para dificultar el proceso de recuperación.

El informe de Sophos explica cómo estas y otras técnicas y herramientas son utilizadas por 11 familias de ransomware: WannaCry, GandCrab, SamSam, Dharma, BitPaymer, Ryuk, LockerGoga, MegaCortex, RobbinHood, Matrix y Sodinokibi.

“Los creadores de ransomware tienen un gran conocimiento de cómo trabaja el software de seguridad y adaptan sus ataques en consecuencia. Todo está diseñado para evitar la detección mientras el malware cifra tantos documentos como pueda los más rápido posible para hacer difícil, si no imposible, recuperar los datos. En algunos casos, la parte principal del ataque ocurre de noche, cuando los equipos de TI están en sus casas durmiendo. Para cuando las víctimas descubren lo que está ocurriendo, ya es demasiado tarde. Es imprescindible contar con sólidos controles de seguridad, sistemas de monitorización y de respuesta locales para cubrir todos los endpoints, redes y sistemas, y para instalar actualizaciones de software cada vez que se emitan” declara Mark Loman, director de ingeniería de tecnología para la migración de amenazas de Sophos, y autor del informe.

Cómo protegerte frente al ransomware

  • Comprobar que se dispone de un inventario completo de todos los dispositivos conectados a la red y que, cualquier software de seguridad que utilicen está actualizado.
  • Instalar siempre las últimas actualizaciones de seguridad, tan pronto como sea posible, en todos los dispositivos de la red.
  • Verificar que todos los ordenadores cuentan con parches frente al exploit EternalBlue, usado por WannaCry, siguiendo estas instrucciones: How to Verify if a Machine is vulnerable to EternalBlue – MS17-010
  • Mantener copias de seguridad regulares de los datos más importantes y actuales en un dispositivo de almacenamiento sin conexión, esta es la mejor manera de evitar tener que pagar un rescate si se sufre un ataque de ransomware.
  • Los administradores deben habilitar la autenticación multifactor en todos los sistemas de gestión que lo permiten, para prevenir que los ciberatacantes desactiven los productos de seguridad durante un ataque.
  •  No existe una solución milagrosa para la seguridad, pero un modelo de seguridad por capas es la mejor opción para todo tipo de empresas.
  • Por ejemplo, Intercept X de Sophos emplea un completo enfoque de defensa exhaustiva a la protección para endpoints, combinando múltiples técnicas next-gen para ofrecer detección de malware, protección contra exploits y la detección y respuesta para endpoints (EDR) integradas.
Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.