Información básica y cómo bajar el riesgo de un ataque.
¿Qué es un Ransomware?
Objetivo principal
Esencialmente, es una herramienta que permite la extorsión. Es un tipo de software malicioso (malware) que bloquea datos críticos, generalmente cifrándolos, hasta que la víctima paga una tarifa de rescate al atacante.
Despliegue de la infección
Identifica las unidades en un sistema infectado y comienza a cifrar los archivos dentro de cada unidad. El ransomware generalmente agrega una extensión a los archivos cifrados, como .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault o .petya, para mostrar que el los archivos se han cifrado: la extensión de archivo utilizada es única para el tipo de ransomware.
Una vez que el ransomware ha completado el cifrado de archivos, crea y muestra un archivo o archivos que contienen instrucciones sobre cómo la víctima puede pagar el rescate.
Vectores de ataque
Correos electrónicos
Las infecciones de ransomware pueden ocurrir cuando un usuario, sin saberlo, descarga el malware en su computadora abriendo un archivo adjunto de correo electrónico, haciendo clic en un anuncio, siguiendo un enlace o incluso visitando un sitio web que está incrustado con malware.
Protocolo RDP
El protocolo de escritorio remoto usa el puerto predeterminado 3389. Una vez que se encuentra un puerto expuesto, el actor de amenazas debe obtener las credenciales de inicio de sesión. Pueden hacerlo a través de cualquiera de los métodos típicos para obtener credenciales, como ingeniería social o, a menudo, ataques de fuerza bruta. Una vez dentro, pueden dejar puertas traseras para acceso futuro o implementar ransomware.
Samba
WannaCry infecta redes mediante el “exploit” EternalBlue y se aprovecha de la vulnerabilidad del protocolo Server Message Block.
Vulnerabilidades
La categoría “otros” incluye la capacidad de explotación de sistemas sin parches, como sitios web y servidores VPN. Cualquier sistema con acceso a Internet que no esté parcheado y protegido podría ser un vector de ataque.