El ransomware es una de las muchas amenazas que hay presentes en la red. Como sabemos, los piratas informáticos utilizan este tipo de ataque para cifrar los sistemas y archivos de los usuarios. Posteriormente a cambio van a pedir un rescate económico. Es esta la forma que tienen de lucrarse. Es cierto que existen muchas herramientas y métodos que podemos utilizar para protegernos, pero también los piratas informáticos perfeccionan sus ataques. En este artículo vamos a hablar de qué etapas utilizan los ciberdelincuentes para el ransomware.
Qué etapas utilizan para atacar con ransomware
Nos hacemos eco de un informe realizado por Cybereason. Han creado un honeypot, un cebo, para atraer a los ciberdelincuentes y de esta forma analizar qué métodos utilizan para llevar a cabo sus ataques de ransoware en diferentes etapas.
Algunos ataques se producen durante un período de tiempo a medida que intentan afectar los recursos adicionales dentro de una organización. Usando un honeypot, los investigadores de seguridad han podido atraer a múltiples delincuentes usando ransomware y seguir cada etapa de un ataque.
En la primera etapa, los atacantes obtuvieron acceso inicial al explotar las interfaces de administración remota de acceso público. Dichas interfaces suelen estar diseñadas por operadores de red para dar al personal de soporte técnico la capacidad de conectarse de forma remota a la red. Para invadir la red, los atacantes pudieron forzar la contraseña de la cuenta del administrador e iniciar sesión de forma remota. Después de eso, los delincuentes cargaron y ejecutaron un script de PowerShell para crear una puerta trasera para que los ciberdelincuentes pudieran usar y abusar de la cuenta de administrador sin ser detectados.
En la segunda etapa, los piratas informáticos cargaron más herramientas de ataque a través de PowerShell. Uno de ellos fue Mimikatz, una herramienta de código abierto utilizada para robar credenciales de usuario. Las credenciales robadas se usaron en un intento de moverse lateralmente a través de la red hacia los controladores de dominio. Sin embargo, el intento falló ya que ninguna de las cuentas comprometidas tenía permiso para acceder a los controladores de dominio.
Posteriormente vino la etapa tres. En este paso el ataque continuó intentando moverse lateralmente aprovechando un escáner de red para descubrir puntos finales adicionales.
Por último, en la cuarta etapa, el ransomware se lanzó en todos los puntos finales comprometidos.
Diferentes etapas para abarcar más
Este estudio demuestra que los piratas informáticos llevan a cabo diferentes etapas para intentar alcanzar más sistemas. El objetivo es infectar con ransomware la mayor cantidad de equipos.
Como hemos mencionado el ransomware es una de las amenazas más peligrosas que hay en la red. Es esencial que los usuarios tomen medidas para prevenir este tipo de ataques. Más allá de posibles herramientas de seguridad que utilicemos, será esencial tener actualizados los equipos. A veces surgen vulnerabilidades que pueden ser aprovechadas por los piratas informáticos para atacar. Pero además de ello el sentido común es muy importante. En muchas ocasiones el ransomware llega a través de un simple correo electrónico con archivos adjuntos maliciosos.
