Ransomware

Los ataques ransomware consistentes en el secuestro y cifrado de datos, han aumentado significativamente y representan una amenaza crítica debido a su capacidad para interrumpir operaciones, causar pérdidas financieras y comprometer la información sensible.

Los objetivos de un ransonware son el secuestro de la información y, con carácter general, también la exfiltración de la misma.

En gran parte de los incidentes de seguridad con gran impacto en las organizaciones, está presente el ransomware.

Para entender el funcionamiento de un ransomware es necesario conocer las distintas fases de un ataque, así como las soluciones que pueden evitar que se materialice o limitar sus daños.

Los ataques ransomware consistentes en el secuestro y cifrado de datos, han aumentado significativamente y representan una amenaza crítica debido a su capacidad para interrumpir operaciones, causar pérdidas financieras y comprometer la información sensible.

Los objetivos de un ransonware son el secuestro de la información y, con carácter general, también la exfiltración de la misma.

En gran parte de los incidentes de seguridad con gran impacto en las organizaciones, está presente el ransomware.

Para entender el funcionamiento de un ransomware es necesario conocer las distintas fases de un ataque, así como las soluciones que pueden evitar que se materialice o limitar sus daños.

Vector de entrada

El vector de entrada de un ataque ransomware pueden ser distintos medios como son un correo electrónico utilizando distintas técnicas como es el phishing, explotación de vulnerabilidades del sistema o comprometiendo la cadena de suministro. Las soluciones que pueden proteger en esta capa serían:

  • MFA
  • Cibervigilancia
  • PAM
  • Formación – concienciación
  • Firewall
  • ZTNA
  • SSE
  • WAF
  • Protección de correo

Movimiento lateral

Una vez que los ciberdelincuentes han conseguido acceder al sistema necesitarán realizar movimientos laterales que les servirá tanto para conocer el sistema, conocer los objetivos y planificar el ataque. Las soluciones que dificultarán el movimiento lateral de los ciberdelincuentes pueden ser los siguientes:

  • NAC
  • Segmentación
  • NIDS

Escalado

La ejecución de ciertos procesos, así como el acceso a los distintos recursos de la red comprometida precisan de los privilegios necesarios en cada caso. Por ello, los ciberdelincuentes en esta fase de escalado utilizando distintas técnicas y aprovechan vulnerabilidades de los sistemas intentan conseguir los privilegios necesarios en cada caso (escalada de privilegios). Para dificultar que esta fase del ataque se pueda materializar se pueden desplegar las siguientes soluciones:

  • EDR/MDR
  • Patching
  • SIEM
  • Protección AD
  • Análisis de vulnerabilidades
  • Bastionados
  • Inventario

Exfiltración

Cuando los ciberdelincuentes han analizado el sistema y disponen de los privilegios necesarios se llega a la fase en la que se procede a la exfiltración de la información. Para dificulta la exfiltración de la información, así como el impacto de la misma pueden considerarse las siguientes soluciones:

  • IRM
  • DLP
  • Backup recovery

Cifrado

En esta fase es cuando la organización es conocedora de que ha sido víctima de un ataque ransomware, al quedar secuestrada la información impidiendo el correcto funcionamiento de los sistemas. Así mismo, los ciberdelincuentes se ponen en contacto para solicitar el correspondiente rescate, amenazando asimismo en muchos casos por la publicación de la información exfiltrada. En esta última fase las soluciones que pueden evitar que se materialice son:

  • IRM
  • DLP
  • Backup recovery