En 3 de cada 4 incidentes de ransomware las cargas no se ejecutan al momento

  • Endpoint

Los métodos más extendidos para infiltrarse en las redes de sus víctimas son RDP y phishing. Dado que los operadores de ransomware despliegan sus cargas una media de tres días después, las organizaciones tendrían tiempo suficiente para defenderse si usan mitigaciones apropiadas.

El ransomware se ejecuta una media de tres días después de que se infiltra en la red de una organización en la gran mayoría de los ataques, si bien el despliegue posterior al compromiso se podría demorar hasta 299 días en algunos de los incidentes analizados por investigadores de FireEye entre 2017 y 2019.

Recomendados: 

Informe IT Trends: 2020, el año de la consolidación digital Leer

Ciberseguridad en 2020, ¿qué podemos esperar? Registro

Tendencias TI 2020, visionando el futuro. Webinar ondemand.

En el 75% de todos los incidentes de ransomware, los atacantes retrasarán el cifrado de los sistemas de sus víctimas y usarán ese tiempo para robar las credenciales de administrador de dominio que luego pueden usar para distribuir las cargas útiles de ransomware en todo el entorno comprometido. Más recientemente, los operadores de ransomware también comenzaron a recolectar y exfiltrar los datos de sus víctimas, y luego los usaron como recurso para hacerles pagar los rescates bajo la amenaza de filtrar la información robada.

Mientras que, en la mayoría de los incidentes analizados, los investigadores observaron que la actividad maliciosa posterior al compromiso era extensa y podría llevar semanas, los operadores de ransomware detrás de GandCrab y GlobeImposter fueron mucho más rápidos ejecutando las cargas inmediatamente después de la infiltración inicial.

Dado que los operadores de ransomware despliegan sus cargas útiles al menos tres días después en el 75% de todos los incidentes de ransomware investigados por FireEye, las organizaciones tendrían tiempo suficiente para defenderse si usan mitigaciones apropiadas. "Este patrón sugiere que, para muchas organizaciones, si las infecciones iniciales se detectan, se contienen y se remedian rápidamente, el daño significativo y el coste asociado con una infección de ransomware podrían evitarse", dice el informe.

Durante algunos de los ataques frustrados con éxito, las investigaciones posteriores dieron como resultado el descubrimiento de cargas de ransomware que ya se habían eliminado, pero no se habían ejecutado en algunos de los sistemas de las víctimas.

Para infiltrarse en las redes de sus víctimas, los grupos de ransomware tienen varios métodos de infección iniciales, entre los que destacan RDP (LockerGoga), correos electrónicos de phishing con enlaces maliciosos o archivos adjuntos (Ryuk) y descargas de malware drive-by (Bitpaymer y DoppelPaymer). " RDP se observó con mayor frecuencia en 2017 y disminuyó en 2018 y 2019", apunta el informe. "Estos vectores demuestran que el ransomware puede entrar en los entornos de las víctimas por una variedad de medios, no todos los cuales requieren la interacción del usuario".