<img height="1" width="1" alt="" style="display:none" src="https://www.facebook.com/tr?ev=6016380644279&amp;cd[value]=0.00&amp;cd[currency]=USD&amp;noscript=1">
Header topo - Blog LAC
TD SYNNEX
  • Quiero conocer los cursos
  • Quiero conocer los cursos
  • Quiero conocer los cursos
  • Quiero conocer los cursos.

6 etapas de la anatomía de un ataque ransomware

Publicado en 16-ene-2018 5:00:00

Conozca cómo funcionan estos ataques y por qué es tan difícil rastrear a los delincuentes.

 

6 etapas de la anatomía de un ataque ransomware

En el primer semestre de 2017 los ataques ransomware fueron un tema frecuente debido al gran impacto de las invasiones de diversos malwares. Es una modalidad de crimen virtual que gana popularidad día con día, ya que este tipo de pago pago no puede ser rastreado, además la deep web ofrece diversos paquetes de Ransomware como Servicio (RaaS).

 

Aunque esta técnica no es nueva, dado que los primeros malwares fueron creados alrededor de 1990, pocas personas realmente entienden cómo actúan, cómo los delincuentes eligen a sus víctimas e invaden y secuestran sus datos.

 

En los niveles básicos, el proceso de un ransomware es: el cibercriminal invade una computadora y copia los datos a un servidor externo protegido mediante cifrado, dejando inaccesibles los archivos de la víctima. Estos archivos aparecen en la computadora, pero no pueden abrirse. En ese momento, el delincuente exige un rescate para poder enviar el código que desbloqueará los archivos.

 

Si no paga el rescate, la víctima pierde el acceso a los archivos y su confidencialidad, haciendo posible que toda la información sea publicada. Afecta a cualquier persona, empresas de diferentes tamaños, de diversas áreas y hasta los propios consumidores.

 

Para entender mejor cómo funcionan les mostramos abajo la anatomía de una invasión de ransomware en 6 pasos.

 

PASO 1 - Distribución

 

La forma más común de diseminación de malwares es a través del phishing. Por lo general, dentro del área de la ingeniería social, donde el delincuente busca identificar páginas o cualquier información que pueda conducir a la víctima a acceder al enlace fraudulento, al adjunto de correo electrónico o a un archivo descargable que contiene el virus.

 

No sólo sucede por correo electrónico, hay muchos anuncios en sitios web, aplicaciones y software para descargar y, en casos extremos, pen drives que los delincuentes dejan en lugares estratégicos o los llevan a las empresas con alguna excusa para que alguien los abra.

 

Aunque ya sea muy bien conocida por todos, esta técnica es eficiente, pues utiliza como anzuelo la curiosidad y la credulidad de las personas. Una de cada cuatro personas abre mensajes de phishing, siendo que una de cada diez, además de abrir, todavía accede a los enlaces, adjuntos y archivos infectados presentes.

 

PASO 2 - Infección

 

A partir de este momento en que se accede al archivo o al enlace infectado, el código que lleva el malware se inserta en la computadora, dando inicio a procesos obligados para completar las actividades maliciosas. Este es el paso que varía en función al malware ejecutado, el cual puede producirse en el momento de actualizar o apagar la máquina, al abrir un programa específico en la computadora o en cualquier otra circunstancia.

 

Es a partir de esta acción que el código entra en actividad, desactivando copias y sistemas de reparación y recuperación de errores, programas de defensa y otros.

Resuelve tus problemas de amenazas en Internet.

PASO 3 - Comunicación

 

Una vez activo, el malware comienza a comunicarse con los servidores de clave de cifrado, obteniendo la clave pública que permite que los datos de la víctima sean encriptados. Es en estos servidores donde se almacenan los códigos para cambiar los archivos. Ellos empiezan a trabajar desde el momento en que se conecta el malware.

 

PASO 4 - Búsqueda de archivos

 

El ransomware realiza una exploración sistemática en la computadora de la víctima buscando archivos de sistema específicos, que sean importantes para el usuario y que no se puedan replicar fácilmente, como es el caso de los archivos con extensión .jpg, .docx, .xlsx, .pptx y .pdf.

 

PASO 5 - Cifrado

 

Es en esta etapa que se lleva a cabo el proceso de mover y renombrar los archivos identificados en el paso anterior, mezclando la información para que el sistema de la computadora del usuario ya no pueda proporcionarle acceso al usuario, siendo ahora necesario desencriptarlos para poder recuperarlos.

 

PASO 6 - Pedido de rescate

 

En general, primero aparece un aviso en la pantalla de la computadora infectada. Es por este medio que el hacker avisa que ha secuestrado los datos y que sólo los devolverá si el usuario realiza el pago de un rescate. Después que se realiza el pago, el cybercriminal le envía a la víctima la clave de cifrado que desbloqueará la computadora.

 

¿Pero, por qué los cibercriminales que realizan los ataques ransomware no son apresados?

 

Hay dos razones principales que impiden que los hackers sean castigados e identificados: el IP utilizado en el ataque y el modo de pago elegido.

 

Enmascarado IP: Los hackers responsables de ataques ransomware son capaces de cambiar su IP, o sea, su ubicación, confundiendo a las autoridades y haciendo casi imposible ubicar dónde se originan los mensajes que están pidiendo el rescate.

 

Forma de pago: Los rescates de ataques ransomware se solicitan en bitcoins, que es una moneda virtual, dificultando así el rastreo del destinatario del pago.

 

Es por la aparente sencillez de la anatomía de los ataques y por la gran dificultad para encontrar y castigar a los delincuentes que cada empresa y usuario deben permanecer atentos a la seguridad de sus redes.

 

 

Fuentes:

http://epoca.globo.com/tecnologia/experiencias-digitais/noticia/2017/06/tecnologia-por-tras-de-mais-um-mega-ataque-cibernetico-global.html

http://www.securityreport.com.br/overview/mercado/como-funciona-um-ataque-de-ransomware/

 



Categorias: Seguridad