Hace unos años, los ataques iban dirigidos a cualquier usuario. Ahora, el ransomware tiene capacidad para cifrar los recursos de las redes corporativas, multiplicando así su poder y alcance.

Check Point, proveedor especializado en ciberseguridad, alerta de la rápida transformación del ransomware en los últimos años. Antes, los ciberdelincuentes lanzaban correos electrónicos de phishing a millones de direcciones, ahora su trabajo se centra en mejorar la arquitectura del malware para aumentar su precisión y las técnicas para acceder a las botnets.

También ha cambiado el objetivo de estas campañas, antes iban dirigidas a cualquier usuario y, ahora, el ransomware tiene capacidad para cifrar los recursos de las redes corporativas, multiplicando así su poder y alcance. Conseguir cifrar el servidor de archivos de una organización causa más daño a la empresa que el cifrado de un dispositivo personal, ya sea móvil, USB…

Aumenta la precisión en los ataques

A medida que aumenta el conocimiento sobre las victimas potenciales, especialmente en el entorno corporativo, se ha producido también una evolución del ransomware hacia ataques más sofisticados y masivos, en los que varios archivos se infectan de manera simultánea. En este sentido, investigaciones recientes descubrieron que los delincuentes estaban utilizando el Protocolo de Escritorio Remoto, un protocolo diseñado por Microsoft que ofrecía a los usuarios una interfaz gráfica de un sistema remoto, con el fin de afianzarse en el entorno de la víctima.

Una vez que los cibercriminales establecen una punta de entrada, pueden implementar herramientas para encontrar y explotar relaciones usuario/grupo/administrador mal configuradas. Las configuraciones de Active Directory mal establecidas son una de las más utilizadas por los hackers, ya que les permiten acceder a los permisos de administrador del dominio. Una vez comprometida la cuenta del administrador, pueden realizar un reconocimiento en la red para identificar los activos más críticos y cifrarlos.

Ya no envían correos electrónicos masivos, sino que saben exactamente dónde apuntan, e infectan activos críticos de manera simultánea.

La siguiente etapa del ransomware: uso de botnets

Una botnet es una red constituida por un gran número de equipos informáticos que han sido «secuestrados» mediante el uso de malware, de forma que sus recursos pueden ser utilizados por un tercero. Al contar con el control de cientos o miles de equipos, una botnet puede utilizarse para enviar ransomware de forma masiva. A día de hoy, se consideran una de las mayores amenazas de Internet.

La táctica de usar el Protocolo de Escritorio Remoto como punta de entrada inicial y el uso de botnets para desplegar ransomware son comunes en las organizaciones cibercriminales. Sin embargo, en casos recientes como el ransomware Ryuk accedían a él a través de VPN.

Normalmente el vector de ataque es un correo electrónico de phishing con documentos maliciosos. Los expertos de Check Point señalan que las tácticas de implementación de ransomware han sufrido una completa evolución y que la tendencia de iniciar los ataques mediante phishing seguirá creciendo.

Con el tiempo se utilizarán otros bots, pero el hecho de que éstos sean un método sencillo y efectivo para desplegar malware los convierte en una opción muy atractiva para los ciberdelincuentes.