Estos son los tres principales vectores de ataque del ransomware

Recomendados:  Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar 7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer Anatomía del ataque a una cuenta privilegiada Leer

Se estima que en 2020 se han realizado pagos por 370 millones de dólares en concepto de rescate por este tipo de ataques. Sin embargo, los daños ocasionados por el ransomware podrían alcanzar 20.000 millones de dólares. Es un dato que incluye la edición del Infoblox Quarterly Cyberthreat Intelligence Report, correspondiente a los meses de abril, mayo y junio de 2021.

La firma destaca que se ha convertido en “una actividad lucrativa y de bajo riesgo para los ciberdelincuentes” y que, como en otras áreas, los ciberdelincuentes también están utilizando los nuevos modelos de entrega de servicios de TI disponibles en el mercado. Muchas organizaciones criminales carecen de las habilidades para crear su propio ransomware y contratan este servicio en la red.

El informe recoge los principales métodos de propagación de este tipo de ataque:

- Páginas web maliciosas. Un sitio web malicioso utiliza técnicas de ingeniería social para hacer que los usuarios hagan click en un determinado enlace y descarguen ramsonware. Puede tratarse de una página web propia o de un sitio legítimo en el que los cibercriminales han conseguido implementar código malicioso para redirigir a los usuarios al sitio de descarga del malware. Algunos sitios web maliciosos albergan kits de explotación, que permiten a los atacantes escanear el equipo objetivo en busca de vulnerabilidades. Una vez encontradas, pueden ejecutar código sin que los usuarios hagan clic en nada. Los usuarios no se darán cuenta de su las máquinas están infectadas hasta que aparece una nota de rescate y solicita un pago a cambio para la clave o archivos de descifrado.

- Correo electrónico de spam. Los cibercriminales utilizan constantemente campañas de correo electrónico que emplean ingeniería social, tácticas como métodos de distribución de su malware, descargadores o enlaces maliciosos. Algunos ataques están altamente personalizados y dirigidos específicamente a un individuo u organización, una técnica conocida como spear-phishing, pero otros forman parte de campañas masivas. Como hemos señalado anteriormente, los correos electrónicos de suplantación de identidad buscan la participación de los usuarios para cargar software malicioso en su sistema y, potencialmente, en la red de una organización. Una vez que los atacantes tienen acceso al sistema, pueden utilizar o encontrar la información confidencial y obtener acceso al correo electrónico, a la red, los sistemas financieros u otros activos.

- Protocolo de escritorio remoto (RDP). Los equipos de TI conocen RDP como el protocolo de Microsoft que facilita las conexiones remotas a otras computadoras. Esta conexión generalmente ocurre a través del puerto TCP 3389. RDP proporciona acceso a la red a través de un canal cifrado y permite a los usuarios controlar de forma remota equipos con Microsoft Windows. Este protocolo es muy utilizado, sobre todo durante la pandemia, ya que permitía, por ejemplo, al equipo de TI, acceder a los equipos de trabajadores que estaban en sus casas para solucionar incidencias. Pero RDP se ha convertido en un vector de ataque muy eficaz y peligroso. Un estudio ha revelado que más de 10 millones de equipos conectados a red estaban configurados con el puerto 3389 abierto. Para un hacker es muy sencillo utilizar motores de búsqueda como Shodan para localizar dispositivos con este puerto abierto.

Los hackers pueden obtener acceso a los servidores RDP mediante el uso de contraseñas predeterminadas en los servidores que no se han actualizado o utilizar técnicas de fuerza bruta para entrar. Una vez dentro, obtienen privilegios de administrador, el control total de la máquina y cifrar archivos. También pueden aprovechar las vulnerabilidades en el cliente Microsoft RDP, Free RDP (un cliente RDP de código abierto en GitHub), o RDesktop (un cliente RDP de código abierto que es un cliente RDP predeterminado en Kali Linux).

- Tarjetas de memoria USB. Las memorias USB se han utilizado para distribuir muchos tipos de malware, incluido ransomware. Los malhechores dejan unidades USB en cafeterías, aeropuertos, buzones de correo u oficinas para que un usuario desprevenidos los recojan y usen. Al insertar la memoria en el ordenador, el ransomware se ejecuta, cifra los archivos del dispositivo y se propaga dentro de la red.