Modalidades de Ataque
1. Automatizado
Los ataques de ransomware, en su mayoría, suelen estar automatizados, propagándose de manera rápida dentro de una red.
Etapas de propagación en el proceso de ataque
En la primera etapa, emplean una variedad de técnicas para obtener acceso:
Envían correos electrónicos que contienen documentos maliciosos.
Aprovechan debilidades en el software.
Explotan equipos vulnerables.
Comprometen identidades.
En una segunda etapa, buscan credenciales de administrador u otras cuentas con acceso privilegiado.
En una tercera etapa es el movimiento lateral para descubrir puntos finales.
En una cuarta etapa el compromiso de los endpoint.
Técnicas comunes utilizadas en ataques de ransomware basados en MITRE ATT&CK.
Dentro de esta modalidad se puede distinguir:
Ransomware as a Service (RaaS), que sigue un modelo de negocio SaaS (Software as a Service)* en el cual las personas desarrolladoras de ransomware proporcionan herramientas para iniciar campañas de ataque. Esto implica contratar la creación de malware como un servicio o participar a través de un programa de afiliados, distribuyendo una familia de ransomware a cambio de un porcentaje de las ganancias.
Este servicio es ofrecido por grupos de ciberdelincuentes que desarrollan este tipo de códigos maliciosos y es promovido en foros clandestinos en los que buscan reclutar personas, que son quienes contratan el servicio. Esas personas tienen acceso a una infraestructura robusta y bien desarrollada con códigos maliciosos diseñados para evadir las defensas sin necesidad de tener conocimientos de programación.
Asimismo, quienes adquieren el servicio tienen acceso a un panel de control donde podrán establecer los montos que solicitarán a cada víctima por el rescate, así como el mensaje de rescate, entre otros detalles.
*SaaS (Software as a Service) es un modelo de distribución de software a través de la nube, donde los usuarios acceden a la aplicación mediante una suscripción periódica, sin necesidad de instalaciones locales. La responsabilidad de mantenimiento recae en el proveedor de servicios en la nube.
2. Dirigido por atacantes
El ransomware dirigido por atacantes se incrementó debido a que las soluciones de seguridad actuales han mejorado en técnicas de bloqueo de phishing o malware automatizado.
Este tipo de ataque se apoya en las mismas técnicas que el ransomware automatizado para realizar la etapa de reconocimiento por quien ataca, pero se diferencia en que utiliza otros métodos para las etapas de acceso y movimiento lateral desde una posición privilegiada.
Empleando cuentas comprometidas mediante ataques de phishing o malware, se obtienen credenciales adicionales que facilitan el desplazamiento lateral dentro de la red.
Dentro de la red se buscan credenciales administrativas así como también, acceso a equipos de almacenamiento o respaldo para eliminar copias de seguridad y dejar a la organización sin acceso a las herramientas de recuperación de sus sistemas.