Sophos<\/a> (LSE: SOPH) l\u00edder global en seguridad para protecci\u00f3n de redes y endpoints, ha publicado el informe \u201cHow ransomware attacks<\/a>\u201d que explica c\u00f3mo act\u00faan los diferentes ataques de ransonware y qu\u00e9 efectos tienen en sus v\u00edctimas. Este documento, que complementa el \u201cInforme de Ciberamenazas 2020<\/a>\u201d publicado por Sophos, presenta un detallado an\u00e1lisis de 11 de las m\u00e1s frecuentes y persistentes familias de ransomware, incluyendo Ryuk, BitPaymer y MegaCortex.<\/p>\n La investigaci\u00f3n llevada a cabo por los SophosLabs<\/a> pone de relieve c\u00f3mo los ataques de ransomware intentan pasar desapercibidos frente a los controles de seguridad, aprovech\u00e1ndose de los procesos habitualmente fiables, y una vez dentro de la red, utilizan los sistemas internos para cifrar el mayor n\u00famero posible de archivos y desactivar las copias de seguridad y los procesos de recuperaci\u00f3n antes de que los equipos de TI puedan detectarlos.<\/p>\n Algunas de las herramientas y t\u00e9cnicas recogidas en el informe son:<\/p>\n Principales v\u00edas de distribuci\u00f3n de las familias de ransomware m\u00e1s importantes<\/strong>. El ransomware se distribuye normalmente de tres maneras: como cryptoworm,<\/em> replic\u00e1ndose r\u00e1pidamente en otros ordenadores para obtener un impacto mayor (por ejemplo, WannaCry), mediante ataques ransomware-as-a-service<\/em> (RaaS), vendidos en la dark web como un kit distribuible (Sodinokibi, por ejemplo), o mediante un ataque automatizado activo llevado a cabo por los atacantes, donde despliegan manualmente el ransomware tras una an\u00e1lisis automatizado de las redes, en busca de sistemas con protecci\u00f3n d\u00e9bil. Este tipo de ataques activos y automatizados son los m\u00e1s comunes detectados por Sophos entre todas las familias de ransomware recogidas en el informe.<\/p>\n Ransomware con c\u00f3digo cifrado y firmado<\/strong>. Algunos ataques de ransomware utilizan certificados digitales leg\u00edtimos, comprados o robados, para intentar convencer a los sistemas de seguridad de que el c\u00f3digo es fiable y no necesita ser analizado.<\/p>\n Aumento de los privilegios mediante el uso de exploits disponibles f\u00e1cilmente<\/strong>, como EternalBlue, para ampliar los derechos de acceso. Esto permite a los ciberatacantes instalar programas como herramientas de administraci\u00f3n en remoto (RATs, por sus siglas en ingl\u00e9s), y visualizar, cambiar o borrar datos, crear nuevas cuentas con todos los derechos de usuario, y desactivar el software de seguridad.<\/p>\n Movimientos laterales <\/strong>y b\u00fasqueda a trav\u00e9s de la red de servidores de archivos y copias de seguridad mientras est\u00e1n bajo el radar, con el fin de lograr el mayor impacto posible del ataque de ransomware. En menos de una hora, los ciberatacantes pueden crear un script para copiar y ejecutar el ransomware en los servidores y endpoints de una red. Para acelerar el ataque, el ransomware es capaz de priorizar su ataque sobre unidades compartidas donde incluso puede empezar por los documentos de menor tama\u00f1o y lanzar m\u00faltiples hilos en paralelo.<\/p>\n Ataques remotos<\/strong>. Los servidores de archivos, en s\u00ed mismos, no suelen ser el objeto de ataques de ransomware, sino que reciben el ataque a trav\u00e9s de usuarios comprometidos que cifran sus ficheros. Sin embargo, en algunos de estos asaltos, el ataque se ejecuta generalmente en uno o m\u00e1s enpoints comprometidos, aprovech\u00e1ndose de una cuenta de usuario con privilegios para atacar documentos de forma remota, en ocasiones a trav\u00e9s de protocolo de escritorio remoto (RDP, por sus siglas en ingl\u00e9s) o dirigi\u00e9ndose a soluciones de gesti\u00f3n y monitorizaci\u00f3n remotas (RMM), que suelen utilizar los MSP (proveedores de servicios gestionados) para gestionar la infraestructura de TI de sus clientes y\/o los sistemas de usuario final.<\/p>\n Cifrado y cambio de nombre de archivos.<\/strong> Existen diferentes m\u00e9todos para el cifrado de archivos, incluida la simple sobreescritura del documento, pero la mayor\u00eda van acompa\u00f1ados tambi\u00e9n del borrado de la copia de seguridad o del archivo original para dificultar el proceso de recuperaci\u00f3n.<\/p>\n El informe de Sophos explica c\u00f3mo estas y otras t\u00e9cnicas y herramientas son utilizadas por 11 familias de ransomware: WannaCry<\/a>, GandCrab, SamSam, Dharma, BitPaymer, Ryuk, LockerGoga, MegaCortex, RobbinHood, Matrix y Sodinokibi.<\/p>\n \u201cLos creadores de ransomware tienen un gran conocimiento de c\u00f3mo trabaja el software de seguridad y adaptan sus ataques en consecuencia. Todo est\u00e1 dise\u00f1ado para evitar la detecci\u00f3n mientras el malware cifra tantos documentos como pueda los m\u00e1s r\u00e1pido posible para hacer dif\u00edcil, si no imposible, recuperar los datos. En algunos casos, la parte principal del ataque ocurre de noche, cuando los equipos de TI est\u00e1n en sus casas durmiendo. Para cuando las v\u00edctimas descubren lo que est\u00e1 ocurriendo, ya es demasiado tarde. Es imprescindible contar con s\u00f3lidos controles de seguridad, sistemas de monitorizaci\u00f3n y de respuesta locales para cubrir todos los endpoints, redes y sistemas, y para instalar actualizaciones de software cada vez que se emitan\u201d declara Mark Loman, director de ingenier\u00eda de tecnolog\u00eda para la migraci\u00f3n de amenazas de Sophos, y autor del informe.<\/p>\n C\u00f3mo protegerte frente al ransomware:<\/p>\n Sophos mostrar\u00e1, entre otros muchos temas, las principales t\u00e9cnicas utilizadas en los ataques de ransomware en la quinta edici\u00f3n del Sophos Day 2019 <\/strong>que se celebrar\u00e1 el pr\u00f3ximo 26 de noviembre<\/strong> en el Museo Reina Sof\u00eda en Madrid<\/strong>. En este evento estar\u00e1n presentes t\u00e9cnicos expertos en ciberseguridad, nacionales e internacionales, para presentar en vivo las \u00faltimas tecnolog\u00edas en ciberseguridad incorporadas a Sophos y c\u00f3mo responder a los ciberataques m\u00e1s frecuentes y letales.<\/p>\n<\/p><\/div>\n\n
![](\"https:\/\/sophos.files.wordpress.com\/2019\/11\/ransomware.jpg\"\/)
<\/p>\n