Estos son los objetivos favoritos y días preferidos en los que actúa el ransomware

A pesar de llevar muchos años conviviendo con esta amenaza, el ransomware sigue siendo algo desconocido o no muy tomada en cuenta por muchos usuarios y empresas. Por ese motivo, tanto los investigadores de ciberseguridad como los medios de comunicación no dejamos de hacernos eco de su evolución para generar concienciación y conseguir que se adopten medidas eficaces frente a esta amenaza.

Los objetivos favoritos

Tras varios años analizando esta amenaza hemos podido comprobar como el ransomware ha ido afectando a prácticamente cualquier tipo de usuario o empresa de cualquier sector. Sin embargo, a la hora de elegir sus objetivos se ha visto una clara evolución, con los primeros casos afectando principalmente a usuarios particulares, pasando después a centrarse en pymes y afectando actualmente a empresas y organizaciones de cualquier tamaño.

Actualmente podemos observar ciertas tendencias a la hora de elegir objetivos por parte de los delincuentes y, si bien no estar entre estos objetivos principales no salva a ninguna empresa de ser víctima, si que es interesante analizar las preferencias de los criminales para obtener el mayor beneficio de sus acciones.

Según un reciente análisis, la víctima ideal de los actores detrás de la mayoría de casos de ransomware sería una empresa ubicada en Estados Unidos, Canadá, Australia o la Unión Europea y con unos ingresos mínimos de 5 millones de dólares (y preferiblemente mayores de 100 millones). Esto es solo una guía, puesto que todos los días vemos casos de ataques protagonizados por ransomware en otras regiones y hacia empresas de todos los tamaños, pero sirve para hacerse una idea de lo que buscan los delincuentes.

Además, es destacable observar como algunos grupos evitan atacar directamente o a través de sus afiliados a ciertos sectores como la educación, sanidad, gobierno u ONGs. Los motivos son variopintos y van desde la “ética profesional” hasta intentar evitar llamar demasiado la atención de las autoridades. Ataques recientes como el de Colonial Pipeline o Kaseya han demostrado las capacidades de estos grupos delictivos, pero también han provocado una reacción por parte de las autoridades que los ha puesto en el punto de mira, algo que no les conviene.

También es interesante destacar algo que es común con otros tipos de malware y es que muchas de las diferentes familias de ransomware evitan atacar sistemas que estén ubicados en países como Rusia o de la antigua órbita soviética. Además, también hay regiones como África o ciertas partes de Sudamérica en las que no se observa una elevada actividad del ransomware, debido a que los delincuentes no los consideran lo suficientemente rentables.

Horarios y técnicas preferidas

En lo que respecta a las técnicas preferidas por el ransomware actualmente, este es un tema que se ha tratado en varias ocasiones pero que nunca está de más repasar. Podemos ver como los accesos a través de RDP o VPN siguen siendo los favoritos por los delincuentes, habiéndose creado todo un mercado de compra/venta de accesos a redes corporativas donde ciertos delincuentes consiguen comprometer su seguridad para después vender este acceso a los operadores de ransomware o sus afiliados para que accedan, roben información y, seguidamente, la cifren.

También se aprovechan todo tipo de vulnerabilidades para hacerse con el control de sistemas clave como los servidores de Exchange. Una vez se ha conseguido comprometer un sistema dentro de la red, lo normal es que se empleen varias herramientas como Mimikatz o Cobalt Strike para realizar movimientos laterales y conseguir acceder y comprometer otros sistemas importantes como los controladores de dominio, algo que facilita el robo de información confidencial y el posterior cifrado de todos los equipos de la red.

Otros métodos usados por los criminales son el uso del correo electrónico para adjuntar ficheros maliciosos o enlaces que inician la cadena de ejecución de este malware. También hemos visto como se realizan llamadas desde call centers para engañar a los usuarios y que estos descarguen malware desde ciertas páginas web e incluso se han llegado a realizar ofertas a posibles empleados descontentos para que infecten ellos mismos la red a cambio de un porcentaje de los beneficios obtenidos en el pago del rescate.

Tampoco podemos olvidar los ataques mediante la cadena de suministro, un tipo de ataques especialmente peligrosos por lo difícil que puede ser llegar a detectarlos y la gran cantidad de empresas que se pueden ver afectadas al comprometer a uno solo de sus proveedores de software y servicio.

Con respecto a los horarios favoritos de los delincuentes detrás de este tipo de campañas, recientemente el FBI confirmó algo que muchos ya habíamos observado desde hace tiempo, y es que los festivos y los fines de semana son los días favoritos por los delincuentes para realizar sus acciones maliciosas. Esto tiene mucha lógica puesto que son los días en los que menos usuarios están pendientes de las posibles alertas, lo que les da a los atacantes bastante ventaja.

No es nada raro que una intrusión en una red corporativa se produzca un viernes por la tarde o la víspera de un festivo y que los delincuentes realicen sus labores de reconocimiento de la red durante varios días, comprometan los sistemas, robando información y cifrando la que se guarda en los sistemas infectados. En no pocas ocasiones esta intrusión puede pasar semanas o incluso meses sin ser descubierta por los administradores de la red, por lo que resulta esencial contar con la suficiente visibilidad de lo que sucede en ella para poder adoptar medidas antes de que sea demasiado tarde.

Conclusión

Las recomendaciones y medidas de seguridad necesarias para evitar y hacer frente a un ataque de ransomware son sobradamente conocidas y solo hace falta tener la voluntad y contar con los recursos necesarios para aplicarlas. Además, es necesario permanecer actualizado en lo que respecta a las técnicas usadas por los delincuentes para ir revisando las soluciones implementadas, de forma que estas sigan resultando efectivas.

Josep Albors

El 68 % de los españoles, a favor de un modelo híbrido entre teletrabajo y oficina