search

Generic selectors
Solo coincidencias exactas
Buscar en el título
Buscar en contenido
Buscar en publicaciones
Buscar en paginas
Ciberseguridad premium para una innovación TI eficaz

Evoluciona tu estrategia de ciberseguridad para adecuarla a las nuevas amenazas avanzadas.

 
Diario de un ciberataque ransomware: fases y soluciones

04 Nov Diario de un ciberataque ransomware: fases y soluciones

Posted at 11:21h in Infraestructura IT, Seguridad Corporativa IT, Soluciones de Infraestructura, Soluciones de Negocio, Arquitectura IT y Soporte by

RansomHub, LockBit, Darkside, APT41, Black Basta… No, no son los artistas más escuchados en Spotify, son los grupos más activos de ransomware. Y es que pasa el tiempo, surgen nuevas tecnologías, se ha escrito muchísimo sobre ella… pero esta ciberamenaza sigue siendo una pesadilla para todo tipo de empresas. El único camino para no caer en sus trampas es tener claro cómo funciona. Os resumimos lo que sería el diario de un ciberataque ransomware con sus fases y soluciones.

Pero, ¿Qué es el ransomware? Se trata de un malware que inutiliza equipos. Al infectarlos toma su control y lo secuestra de diferentes formas: roba y cifra los datos, bloquea la pantalla, impide accesos, etc. El objetivo es pedir un cuantioso rescate por reparar todos esos daños.

El ransomware es una amenaza compleja cuya protección es difícil de automatizar. Y lo es porque depende en un tanto por ciento muy alto de la concienciación de los usuarios de negocio para no abrirle la puerta, y además conlleva una alta sofisticación tecnológica que le permite ‘vivir’ en los sistemas corporativos de forma silenciosa, cifrando información poco a poco o esperando el momento oportuno para actuar inesperadamente.

Vamos a monitorizar cómo es un ataque ransomware.

Inicio de un ransomware: elección del objetivo y distribución de la infección

Los ciberdelincuentes, como cualquier ladrón, buscan los mejores botines. Pero en la actualidad, disparan a todos los sitios. Cualquier empresa es diana de sus acciones. Además de encomendarse a las vulnerabilidades de las infraestructuras poco actualizadas o con fallos de fábrica (Zero Day), a la hora de introducirse en una organización tienen en cuenta otros aspectos. Investigan quién es el propietario y administrador del sitio web que quieren atacar, si la administración está subcontratada, etc., para buscar sus brechas.

También estudian el componente humano con la intención de conseguir su confianza y expandir el malware a través de enlaces o emails que abran los usuarios. Muchas veces las RRSS son la vía para iniciar una relación que no levante sospechas y enviar esas trampas. Las prisas, buenas intenciones o simplemente la curiosidad bastan para caer en ellas. Ese clic es el inicio de la infección. Los ciberataques de Phishing son especialistas en conseguir credenciales de los empleados para propagar con más determinación el malware.

Al mimetizarse con el resto del tráfico de los sistemas, esta ciberamenaza se esconde eficazmente hasta que se determine su ejecución. Estos movimientos sigilosos pueden confundir a los softwares de detección de ciberataques al no percibir incidentes sospechosos o que se abran nuevos puertos.

Proceso de un ransomware: exploración y exfiltración/cifrado

Una vez infiltrado, el malware suele comunicarse con un servidor externo denominado de comando y control para gestionar su estrategia: enviar claves de cifrado, lanzar más malware complementario, ejecutar sondeos de la red, etc. Si puede, profundiza más en los sistemas de TI para hacer más daño. Cuando los ciberdelincuentes han accedido a credenciales de usuarios o administradores, inician lo que se llama ‘movimiento lateral’. Esto les permite ir de un recurso a otro de forma silenciosa. La IA incluso facilita esta fase ahora, con ella ya no se tiene que utilizar un servidor de control externo.

En los entornos en la nube, el malware puede distribuirse por numerosos sistemas, hasta llegar al hipervisor, desatendido por muchas herramientas de seguridad. También es posible que alcance a controlar las propias soluciones de seguridad.

Localizados los objetivos que más daño pueden hacer, la siguiente fase es la exfiltración de los datos y su cifrado. En este momento es cuando los programas de seguridad suelen detectar que pasa algo, pero a veces demasiado tarde. Si la operación termina con éxito, es el momento de contactar con la víctima y ofrecerla claves de descifrado o los datos retenidos a cambio de dinero. Lamentablemente, en muchas ocasiones es al recibir la notificación de la infección, la cantidad solicitada y las instrucciones de pago cuando las víctimas toman conciencia de que han sido atacadas.

Soluciones para combatir ransomware

El último informe de Sophos ‘El Estado del Ransomware’ apuntaba que las causas técnicas más comunes de los ataques había sido: la explotación de vulnerabilidades (30%), las credenciales comprometidas (21%) y los emails maliciosos (17%). Las causas operativas fueron las brechas de seguridad conocidas (42%), la falta de personal (41%) y de experiencia (39%), así como las brechas de seguridad desconocidas (39%). En el 47% de los ataques se cifraron los datos; y en el 36% de estos además se robaron.

El despliegue de soluciones de ciberseguridad de detección, protección y respuesta es clave para evitar los costes de un ataque ransomware. Apunta algunas acciones clave en un plan de ciberseguridad:

    • Automatizar la gestión de parches. Las vulnerabilidades sin parchear de los sistemas son un coladero para los ciberataques ransomware. Existen herramientas que corrigen todos los fallos de seguridad de forma automática. Ya no es necesario ir recurso por recurso.
    • Desplegar sistemas antimalware y antivirus avanzados. Vinculados con dispositivos y aplicaciones de email, paran la comunicación con dominios sospechosos e impiden la instalación de activos infectados. La tecnología EDR identifica eventos que los antivirus tradicionales pasan por alto, incorporando monitorización e IA para detectar amenazas avanzadas. El uso de plataformas XDR permite centralizar en un único punto todo el entorno securizado local y en la nube.
    • Impulsar la detección de anomalías basada en IA. Los softwares de análisis de comportamiento del usuario analizan la red en tiempo real para identificar cualquier evento sospechoso. Si se detecta una intrusión ransomware es posible poner en cuarentena los activos infectados para evitar su propagación.
    • Llevar a cabo la segmentación de la red. De esta manera se separan redes entre sí con reglas particulares para cada una, lo que impide el movimiento lateral de la infección que comentábamos anteriormente.
    • Formar a los usuarios. Concienciar a todos, desde el cuadro directivo a colaboradores, es clave ya que la mayoría del ransomware entra vía email camuflado en algún link o archivo adjunto.
    • Contar con un plan de continuidad de negocio. Tener una estrategia de backup y disaster recovery eficaz es la mejor defensa. Si somos víctimas de un ransomware, los archivos y sistemas atacados podrán recuperarse y restaurarse neutralizando el ciberataque.

 

Tenemos a tu disposición un equipo de profesionales especialistas en ciberseguridad que pueden adaptar todas estas medidas a las particularidades propias de tu negocio. ¡¡No lo pongas más en riesgo, contáctanos!!

Orbit Consulting Group es una empresa especializada en diseñar e implantar soluciones de arquitectura TI para pymes y empresas de Madrid, y el resto de España. Combina esta expertise con el diseño e implantación de soluciones de Negocio y Gestión (CRM/BPM-ERP) ágiles, sencillas y asequibles. Además, proporciona Soporte Informático y Servicios Gestionados TI.

CTA Horizontal-eBook ciberseguridad premium

Tags:


Calle Alcañiz 23, Bajo B
28042 Madrid
+34 (91) 744 49 80
X Facebook Youtube Linkedin
Copyright © 2025 ORBIT | Todos los derechos reservados

Política de Cookies - Aviso Legal - Política de Privacidad - Política de Seguridad de la Información