Estas son las principales puertas de entrada que usa el ransomware para infectar a sus víctimas

Al hablar de ransomware, probablemente a muchos les venga a la cabeza algunos de los ciberataques mediáticos acontecidos durante los últimos meses y que han afectado a grandes empresas, organismos gubernamentales e incluso hospitales.

Esta amenaza se ha ganado a pulso estar en la primera posición de las más temidas por empresas de todos los tamaños, organismos oficiales y hasta gobiernos, por lo que resulta fundamental saber cuáles son las puertas de entrada que utiliza para acceder a las redes corporativas, robar información confidencial (si procede) y cifrarla para dejarla inaccesible.

Acceso mediante RDP

La posibilidad de acceder remotamente a un puesto de trabajo ubicado en una red corporativa es una funcionalidad que ha ayudado a empleados de muchas empresas a seguir trabajando de forma más o menos habitual, a pesar de los confinamientos y la promoción del teletrabajo que se ha realizado desde el inicio de la pandemia.

En el caso de que las empresas habiliten esta conexión remota, esta se realiza mediante una autenticación simple que pregunta por un usuario y una contraseña, aunque se puede fortalecer aplicando sistemas de autenticación multifactor.

El problema es que muchos de estos accesos mediante el protocolo RDP están configurados usando el puerto por defecto 3389 y se pueden identificar usando buscadores específicos como Shodan. Existen millones de máquinas que permiten este acceso remoto y esto supone millones de oportunidades para los delincuentes de acceder a una red corporativa.

Para acceder a estas redes corporativas mediante RDP los delincuentes pueden, por ejemplo, comprar credenciales que se hayan visto comprometidas previamente. Esto es algo que hacen varios tipos de ciberdelincuentes, no solo los que se dedican a robar información y cifrar los datos con un ransomware.

Sin embargo, el método más habitual para acceder mediante RDP a los equipos de una red siguen siendo los ataques de fuerza bruta. Una vez identificados aquellos que únicamente solicitan una autenticación simple mediante usuario y contraseña, es fácil para un atacante probar varias combinaciones de usuarios y contraseñas utilizando diccionarios de credenciales o incluso probando de forma aleatoria. Para comprobar el impacto que han tenido estos ataques desde el inicio de la pandemia podemos tomar como referencia las detecciones observadas por la telemetría de ESET, con un importante crecimiento en la primera mitad de 2021.

Con este elevado número de ataques produciéndose todos los días y afectando a empresas y organizaciones de todos los sectores y tamaños, es importante adoptar medidas que bloqueen o al menos mitiguen este tipo de incidentes. Para ello, resulta indispensable tener constancia de cuántos dispositivos tienen acceso mediante RDP a los dispositivos dentro de la red corporativa.

Una vez identificados todos estos dispositivos es importante eliminar este acceso remoto a todos aquellos que no sean indispensables y realizar el acceso de aquellos que sí necesiten conectarse mediante una VPN, siempre que sea posible.

Email como vector de ataque

Que el correo electrónico sea uno de los vectores de ataque más antiguos usados por los delincuentes no significa que se utilice poco. Al contrario, en pleno 2021 sigue siendo la puerta de entrada preferida para propagar una gran variedad de amenazas, entre las que se encuentra el ransomware.

Los delincuentes que utilizan el email para propagar esta amenaza normalmente emplean algún tipo de documento adjunto con macros maliciosas incrustadas o enlaces para comprometer el sistema con un malware de primera fase. Este malware de primera fase suele estar compuesto por alguna variante de alguna botnet como puedan ser Trickbot, Qbot o Dridex.

Una vez este malware ha conseguido infectar el sistema, los delincuentes comienzan a realizar movimientos laterales en búsqueda de aquellas máquinas más interesantes, como pueden ser los controladores del dominio. Desde esas máquinas les resulta más fácil tratar de desactivar las soluciones de seguridad que serían capaces de detectar el payload final, en este caso el ransomware. También es posible que, dependiendo de los delincuentes, estos decidan robar información confidencial de la empresa para realizar una doble extorsión en el caso de que la víctima no quiera pagar por recuperar sus archivos.

A la hora de protegernos frente al ransomware que utiliza el email como vector de ataque es importante filtrar aquellos correos que resulten sospechosos y contengan ficheros adjuntos o enlaces con un buen filtro antispam. Se puede bloquear la descarga de cierto tipo de ficheros, pero como muchas veces se emplean documentos ofimáticos, esta medida puede ser contraproducente al bloquear también documentos legítimos.

Resulta muy útil contar con una solución de seguridad que sea capaz de identificar estos adjuntos, enlaces y ficheros descargados maliciosos, ya sea de forma estática o cuando intentan realizar alguna acción maliciosa que inicie la cadena de infección. Además, estas soluciones de seguridad deben estar correctamente configuradas y protegidas con al menos una contraseña para evitar su desinstalación por parte de los atacantes.

También se puede reducir considerablemente el éxito de estos incidentes si se conciencia a los empleados y se les enseña a identificar o, al menos, sospechar de cierto tipos de correos. Es muy probable que algún usuario siga cayendo en las trampas preparadas por los delincuentes, pero solo con que parte de ellos alerte al servicio de soporte cuando detecte un correo sospechoso podría evitar males mayores.

Aprovechamiento de vulnerabilidades

Los agujeros de seguridad presentes en el sistema operativo y en las aplicaciones utilizadas son también otro de los vectores de ataque usados por los delincuentes para desplegar ransomware en redes corporativas. Sin embargo, y aunque ha habido casos sonados donde los delincuentes han usado exploits 0-day para conseguir su objetivo, lo más habitual es que se aprovechen de vulnerabilidades ya conocidas.

Durante los últimos meses hemos visto como los delincuentes han tratado de aprovechar vulnerabilidades descubiertas, precisamente, en VPNs. Debido al incremento del teletrabajo provocado por la pandemia, el uso de estas conexiones seguras ha crecido de forma significativa. Sin embargo, algunas de estas soluciones presentaban importantes fallos de seguridad que los delincuentes han sabido aprovechar para acceder a las redes corporativas.

Lo mismo podemos decir de todas aquellas herramientas colaborativas y de productividad que han visto aumentado su uso desde el inicio de los confinamientos el año pasado. Las vulnerabilidades en plataformas como Microsoft Exchange Server han sido aprovechadas por los atacantes para acceder a los sistemas y la red de las empresas, lo que ha permitido a los delincuentes robar todo tipo de datos y correos, así como también infectar sistemas de forma que pudieran acceder a la red comprometida durante largos periodos de tiempo.

Por los motivos expuestos, resulta fundamental para mantener una buena política de seguridad en nuestras redes actualizar tanto los sistemas como las aplicaciones utilizadas tan pronto como sea posible. De esta forma se limita las posibilidades que tienen los delincuentes de tener éxito, ya que se acorta la ventana de oportunidad de la que disponen para aprovechar los agujeros de seguridad descubiertos.

Peligros de la cadena de suministro

El ya mencionado ataque a Kaseya provocó que centenares de empresas de todo el mundo vieran sus sistemas comprometidos y la información que almacenaban cifrada. Esto fue posible debido a que los atacantes lograron comprometer aprovechando una vulnerabilidad 0-day uno de los principales software de gestión de entornos IT usados por los proveedores de servicios gestionados.

A pesar de que los ataques usando la cadena de suministros aún son la excepción a la regla, su número se ha venido incrementando en los últimos meses, lo que demuestra una peligrosa tendencia que puede provocar problemas incluso más graves en el futuro. Comprometer una de estas herramientas de gestión es como obtener la llave maestra a cientos, si no miles, de redes corporativas, algo que los delincuentes están deseando conseguir.

Debido a la confianza ciega que se suele tener tanto en este tipo de software de gestión como en los proveedores de servicios gestionados, es difícil que las empresas tomen medidas para protegerse de estos ataques que usan la cadena de suministro. Sin embargo, se puede mitigar su impacto utilizando una solución de seguridad adecuada en los equipos de la red, complementada con una solución EDR que permita dar visibilidad a las acciones sospechosas que se producen en ella.

Otros vectores de ataque

Hasta este punto hemos visto los vectores de ataque que suelen ser más utilizados por los delincuentes a la hora de desplegar ransomware en las redes de sus víctimas. Sin embargo, el ingenio de los atacantes no parece tener fin, y en los últimos meses hemos visto como han empezado a usarse nuevas estrategias para conseguir sus objetivos.

Algunos grupos han empezado a utilizar call centers para conseguir que el usuario descargue y ejecute él mismo el malware. Primero envían un email con algún tipo de gancho lo suficientemente interesante como para que el receptor llame a un número de teléfono proporcionado en el cuerpo del mensaje. Seguidamente, un operador le atenderá y le redirigirá a una web preparada por los delincuentes donde se le convencerá para que descargue algún tipo de archivo.

Estos archivos descargados pueden ser de varios tipos, aunque hemos visto como los atacantes siguen prefiriendo los documentos Word o Excel para evitar levantar sospechas. Estos documentos contienen macros maliciosas que, en el caso de que el usuario las active, iniciarán la cadena de infección y terminarán con esa máquina y, muy probablemente, con la red comprometida y los datos cifrados.

Así mismo, en algunos casos también hemos observado como los delincuentes tratan de reclutar a empleados descontentos y les ofrecen importantes cantidades de dinero a cambio de que descarguen y ejecuten el malware que permite a los criminales acceder a la red de la empresa. Este es un método especialmente peligroso, puesto que si el empleado que está colaborando con los delincuentes pertenece a un departamento clave como el de sistemas o el de seguridad IT puede dejarles la puerta abierta de par en par a los atacantes.

Conclusión

Acabamos de ver como los criminales utilizan varios métodos para tratar de acceder a las redes corporativas y comprometerlas con ransomware e incluso robando previamente información confidencial. Conociendo estas técnicas es posible adoptar medidas para ponerle las cosas más difíciles a los delincuentes, pero esto es algo que requiere de voluntad, recursos y una dedicación constante, algo que, por desgracia, pocas empresas están haciendo actualmente.

Josep Albors

Microsoft publica sus boletines de seguridad de agosto que solucionan 44 vulnerabilidades