Estos son los métodos de ataque más comunes usados por los ciberdelincuentes

Hoy vamos a hablar sobre los principales métodos de ataque que los ciberdelincuentes llevan a cabo a través de ransomware. En la actualidad, el ransomware se ha convertido en una de las amenazas más preocupantes para empresas y usuarios particulares, ya que puede causar graves daños económicos y de privacidad. Es importante conocer los vectores de ataque más comunes utilizados por los ciberdelincuentes para estar preparados y evitar caer en sus trampas.

En este artículo, analizaremos los principales métodos de ataque del ransomware, desde los correos electrónicos de phishing hasta las vulnerabilidades en software desactualizado. Todo basándonos en el último informe de Coveware.

Estas son las técnicas de ‘ransomware’ más utilizadas por los atacantes

Impacto directo en el sistema

Cuando hablamos de técnicas de impacto nos referimos a las que tienen como objetivo interrumpir cualquier tipo de proceso u operación en los equipos de forma directa, como puede ser la destrucción o manipulación de datos.

Cifrado de archivosForma más común. En Protégeme te contamos cómo recuperar archivos cifrados por ransomware
Detención del sevicioDeshabilitan los servicios relacionados con la detección o la replicación de copias de seguridad
Destrucción de datosMediante el uso de SDelete o CCleaner
Secuestro de recursosEs muy común encontrar software de minería de criptomonedas en los entornos de las empresas afectadas

Movimiento Lateral

Otros métodos de ataque de ransomware son los llamados de Movimiento lateral. Las dos formas más observadas son:

A través del acceso remotoUsando VNC (como TightVNC) para permitir el acceso remoto o bien SMB/Windows Admin Shares
Saltando de un punto o dispositivo a otroCon herramientas tipo PSexec infectan malware de forma masiva en varios equipos

Descubriendo la red interna de su objetivo

Muchos responsables de estas amenazas utilizan técnicas de descubrimiento para conocer más a fondo la red interna de un objetivo. Estas técnicas les ayudan a navegar por la red para lograr sus objetivos.

Escaneo de IP’sPara identificar qué hosts de red están disponibles
Verificando procesosCon Process Explorer o Process Hacker, que permiten a los atacantes verificar los procesos activos y matarlos
Identificando el nombre de usuario de un sistemaCon el uso del comando ‘whoami’
Recopilando información del dominioCon scripts personalizados o herramientas como AdFind para moverse lateralmente
Descifrando conexiones de redes del sistemaCon herramientas tipo Bloodhound
Información del sistemaGeneralmente implica el uso de PSinfo, que proporciona información como la construcción del kernel, el propietario y la capacidad del procesador
Información de la cuentaLos atacantes usan Sharphound para recopilar información de dominio.

Tomar el control absoluto de forma remota

Consiste en técnicas que los atacantes pueden usar para comunicarse con sistemas bajo su control dentro de una red víctima, intentando imitar el tráfico normal esperado para evitar ser detectados.

Software de acceso remotoLas herramientas comunes actualmente son AnyDesk, TeamViewer, LogMeIn y TightVNC
Herramientas de accesoInstalando herramientas externas en el punto final de acceso para proliferar aún más su movimiento dentro de una red
ProxyDirigir el tráfico de la red a un servidor intermediario para evitar conexiones directas a la infraestructura de comando y control del actor de amenazas. 

Acceso con credenciales

Las técnicas de Acceso con Credenciales involucran robo o acceso malicioso y control de credenciales como nombres de cuenta y contraseñas. Las técnicas utilizadas para obtener credenciales incluyen el registro de teclas o el volcado de credenciales.

Fuerza brutaEjecutando scripts o programas que intentarán acceder a la autenticación probando millones de combinaciones de nombre de usuario y contraseña hasta que una funcione
Obteniendo usuario y contraseña del sistema operativoLa herramienta más popular utilizada por los atacantes es Mimikatz, independientemente del grupo con el que puedan estar asociados

¿Cómo evitan los atacantes ser detectados?

Los atacantes utilizan técnicas para evitar ser detectados durante sus actos. Las más utilizadas son la desinstalación/desactivación del software de seguridad o la ofuscación/cifrado de datos y secuencias de comandos.

Los atacantes también aprovechan y abusan de los procesos confiables para ocultar y enmascarar su malware.

Eliminación del indicador en el hostEl registro de eventos del sistema es útil para identificar las instalaciones de servicios, por lo que si se borra, se puede perder la evidencia de cualquier herramienta que se esté utilizando o de la detención de los servicios
Inyección de procesoCuando un actor inyecta su malware en un proceso legítimo de Windows para tratar de evitar la detección
Impair DefensesDesinstalación o eliminación del antivirus

Sectores más afectados por el ataque de ransomware actualmente

Según el informe publicado por Coveware, existe una rotación notable en cuanto a los sectores más afectados por ransomware.

El sector de Servicios Profesionales (pequeños bufetes de abogados o servicios financieros), ha sido históricamente la más afectada. Principalmente, por el volumen total de firmas de servicios profesionales y la proporción de estas que son realmente vulnerables.

Históricamente, las empresas de servicios profesionales han compuesto ~20% de los ataques. Sin embargo, el informe muestra que esa presentación se redujo al 10%. Se atribuye el cambio a los atacantes que apuntan a empresas medianas un poco más grandes donde la probabilidad de un gran rescate es mayor, en comparación con una empresa de servicios profesionales muy pequeña.

Javi Rosagro
Estaremos encantados de escuchar lo que piensas

Deje una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Protegeme
Logo