¿Cómo se propaga el ransomware? Los 10 métodos de infección más habituales

Métodos de infección de ransomware

A medida que los operadores de ransomware continúan evolucionando sus tácticas, es importante conocer los vectores de ataque más utilizados para que puedas defender tu organización con eficacia.

El ransomware se propaga de diferentes formas, pero los 10 métodos de infección más habituales incluyen:

1. Ingeniería social (phishing)
2. Publicidad maliciosa
3. Ataques sin archivos
4. Protocolo de escritorio remoto
5. MSP y RMM
6. Descargas drive-by
7. Software pirateado
8. Propagación en la red
9. Ofuscación de malware
10. Ransomware como servicio

1. Correos electrónicos de phishing que utilizan ingeniería social

Cuando se trata de ataques de ransomware, la tecnología y la naturaleza humana son dos caras de la misma moneda. En uno de los casos observados por CrowdStrike, el ciberdelincuente suplantó la dirección de correo electrónico de un CEO y utilizó ingeniería social para realizar ataques de phishing e invitar a los empleados a hacer clic en un enlace de un mensaje falso procedente del ejecutivo.

Para que el ataque tuviera éxito, fue necesario investigar metódicamente el equipo directivo de la empresa, sus empleados y el sector. El aumento de los ataques de caza mayor está dando más presencia a la ingeniería social en los ataques de phishing. Las redes sociales también desempeñan un papel importante, no solo porque permiten a los agresores descubrir información sobre sus posibles víctimas, sino también como vía para desplegar malware.

2. Publicidad maliciosa y kits de exploits

La publicidad maliciosa y los kits de exploits pueden utilizarse en conjunto para propagar ransomware que permita a los ciberdelincuentes crear "ventanas emergentes que avisan de troyanos" o anuncios que contienen código malicioso oculto. Si los usuarios hacen clic en uno de ellos, son redirigidos de forma encubierta a la página de destino del kit de exploits. Aquí, un componente del kit analiza la máquina discretamente en busca de vulnerabilidades que el ciberdelincuente pueda aprovechar después.

Si el kit cumple su objetivo, envía un ransomware con carga útil para infectar el host. Los kits de exploits son populares entre las organizaciones de ciberdelincuentes por estar automatizados. Además, los exploits son una eficaz técnica sin archivos, ya que pueden inyectarse directamente en la memoria sin escribir nada en el disco, lo que los hace imposibles de detectar para el software antivirus tradicional.

Los kits de exploits también proliferan entre los ciberdelincuentes menos sofisticados porque para desplegarlos no hacen falta muchos conocimientos técnicos. Con una modesta inversión en la web oscura, prácticamente cualquiera puede entrar en el negocio del rescate online.

3. Ataques sin archivos

Las técnicas de ransomware sin archivos están en aumento. Son ataques en los que la táctica inicial no consiste en escribir un archivo ejecutable en el disco. El ransomware sin archivos utiliza herramientas preinstaladas del sistema operativo, como PowerShell o WMI, que permiten al ciberdelincuente realizar tareas sin necesidad de instalar un archivo malicioso en el sistema comprometido. Esta técnica es popular porque los ataques sin archivos pueden eludir la mayoría de las soluciones antivirus tradicionales.

4. Protocolo de escritorio remoto

El protocolo de escritorio remoto (RDP) permite a los usuarios conectarse a un ordenador desde cualquier parte del mundo mediante un canal seguro y fiable. Aunque en general esta herramienta es segura y ofrece a la plantilla muchas ventajas como una mayor productividad y flexibilidad, también tiene vulnerabilidades de seguridad que cualquier ciberdelincuente puede aprovechar.

Los ciberdelincuentes emplean los análisis de puertos para buscar puertos vulnerables en Internet. Después, utilizan ataques de fuerza bruta u otras técnicas de robo de credenciales para obtener acceso. Una vez que están dentro, pueden hacer lo que quieran, como dejar una "puerta trasera" para acceder más adelante.

5. MSP y RMM

Los proveedores de servicios gestionados (MSP) ofrecen a las organizaciones servicios para ayudarles con tareas de tecnología de la información. Sin embargo, los ciberdelincuentes pueden aprovechar las vulnerabilidades de los MSP y su software de supervisión y gestión remotas (RMM) para ocasionar una brecha de datos. Supone un gran problema porque no solo están en riesgo los datos privados de la organización, sino también todos los datos de sus clientes.

6. Descargas drive-by

Un ataque drive-by, a veces llamado "descarga drive-by", es un ataque de malware que aprovecha las vulnerabilidades de diferentes navegadores web, plugins o aplicaciones para lanzar el ataque. Se inicia sin necesidad de ninguna acción humana, por lo que solo hace falta que un empleado navegue por un sitio web infectado sin saberlo. Una vez iniciado el ataque, el hacker puede secuestrar el dispositivo, espiar la actividad del usuario o robar datos e información personal.

7. Software pirateado

Existe una gran cantidad de software pirateado y, a veces, es difícil diferenciarlo del software legítimo. Es bien sabido que el ransomware se propaga por el software pirateado, y es mucho más fácil ser víctima de una descarga drive-by o publicidad maliciosa si navegamos por un sitio web que alberga software pirateado.

Una de las principales vulnerabilidades al usar software pirateado es que no se realizan automáticamente actualizaciones periódicas, o directamente no se pueden instalar, lo que ocasiona que haya zonas de seguridad sin parches y esto aumenta el riesgo de exploits de día cero.

8. Propagación en la red mediante movimiento lateral

Las primeras variantes de ransomware no tenían capacidades de propagación en la red como tienen las variantes más recientes. Se limitaban a atacar los dispositivos infectados exclusivamente. Hoy en día, las variantes de ransomware son cada vez más complejas y cuentan con mecanismos de autopropagación que permiten el movimiento lateral a otros dispositivos conectados a la red.

9. Ofuscación de malware en el proceso de compilación

En 2020, CrowdStrike Intelligence observó a Wizard Spider y Mummy Spider implementar herramientas de protección de software de código abierto en sus procesos de compilación de malware. El uso de técnicas de ofuscación en el malware no es una novedad, pero la inclusión de herramientas de código abierto en procesos de compilación es novedosa y sirve a los adversarios avanzados para buscar procesos de desarrollo ágiles. Dada la complejidad del código abierto, la adopción de esta táctica puede estar limitada a grupos de amenaza menos sofisticados.

10. Ransomware como servicio (RaaS) e intermediarios de acceso

Los ciberdelincuentes siempre están buscando maneras de optimizar sus operaciones y generar más beneficios, de ahí que se hayan inspirado en el modelo SaaS (software como servicio) para crear un modelo RaaS (ransomware como servicio). Los proveedores de RaaS ofrecen todos los componentes de ataque de ransomware necesarios para lanzar campañas de ransomware, desde código malicioso hasta paneles de resultados. Algunos incluso crean un departamento de servicio al cliente para poner el ransomware al alcance de delincuentes sin conocimientos técnicos. Además, el coste de suscripción suele estar cubierto con una parte de las ganancias de la campaña, lo que lo convierte en un modelo rentable para los ciberdelincuentes. Un ejemplo de este tipo es el famoso RaaS Carbon Spider. Carbon Spider intensificó sus esfuerzos en la caza mayor en agosto de 2020 al utilizar su propio ransomware, DarkSide, y en noviembre de ese mismo año, amplió su alcance en la caza mayor estableciendo un programa de afiliación de RaaS para DarkSide. Este programa permite que otros actores de amenazas utilicen el ransomware DarkSide pagando una parte a Carbon Spider.

Los intermediarios de acceso son ciberdelincuentes que obtienen acceso al backend de diversas organizaciones (empresas y organismos públicos) y venden este acceso en foros de carácter delictivo o a través de canales privados. Los compradores ahorran tiempo con objetivos identificados de antemano y acceso autorizado y así pueden incrementar el número de víctimas, agilizar la implementación y aumentar el potencial de monetización. El uso de intermediarios de acceso se ha vuelto cada vez más habitual entre los ciberdelincuentes de caza mayor y los aspirantes a operador de ransomware. CrowdStrike Intelligence ha detectado algunos intermediarios de acceso relacionados con miembros de grupos de RaaS.

Protección contra ransomware

Las copias de seguridad son una buena defensa, pero también es preciso protegerlas, ya que a menudo son lo primero que los ciberdelincuentes bloquean o intentan destruir en un entorno. Una medida de precaución estándar consiste en garantizar que las copias de seguridad estén protegidas y sean accesibles por separado aun cuando el entorno haya sido comprometido. En septiembre de 2020, la Cyber and Infrastructure Security Agency (CISA) y el Multi-State Information Sharing and Analysis Center (MSISAC) del Departamento de Seguridad Nacional de los Estados Unidos publicaron conjuntamente una guía de protección contra ransomware que resume las medidas de ciberseguridad adicionales que las organizaciones deben adoptar para comprender y afrontar la amenaza del ransomware. La guía aconseja cómo protegerse del ransomware, prepararse para un incidente potencial y recuperarse de un ataque, e indica dónde buscar ayuda. Incluye recomendaciones prácticas, entre ellas mantener los sistemas revisados y actualizados, formar a los usuarios finales, y crear y poner en marcha un plan de respuesta a incidentes.

Soluciones contra ransomware

Los ataques de ransomware son perjudiciales para las operaciones empresariales y la privacidad de los datos. Según el tamaño de la organización, los paquetes de productos Falcon Go, Falcon Pro o Falcon Enterprise de CrowdStrike ayudan a defender la superficie de ataque de la empresa, como endpoints e identidad, datos y cargas de trabajo en la nube.