Formas comunes en que el ransomware puede infectar su organización

Las tendencias recientes indican que el riesgo de perder el acceso a sus datos, dispositivos y servicios se ve agravado por actores de amenazas que extraen datos y amenazan con publicarlos en sitios web públicos si las víctimas no pagan.

La mayor conciencia pública sobre el ransomware ha impulsado a (al menos algunas) empresas a invertir en copias de seguridad y recuperación. Sin embargo, estos métodos resultan ineficaces cuando los delincuentes están en posesión de la información más confidencial de sus clientes y empresas.

Después de la infección, el ransomware puede propagarse a otros equipos o cifrar archivos compartidos en la red de una empresa. En algunos casos, puede propagarse más allá de los límites de la organización para atacar cadenas de suministro, clientes y otras empresas, y algunas campañas de malware se han dirigido expresamente a proveedores de servicios gestionados. La verdadera solución al ransomware es la prevención, no el tratamiento. ¿Cómo suele infiltrarse este software destructivo en los dispositivos?

Violaciones por phishing e ingeniería social

Los correos electrónicos de phishing siguen siendo la técnica más popular entre los piratas informáticos para infectar un punto final con ransomware. Los correos electrónicos se elaboran cada vez más con información específica, personalizada y detallada para ganarse la confianza de las posibles víctimas y engañarlas para que abran archivos adjuntos o hagan clic en enlaces para descargar archivos PDF y otros documentos maliciosos.

Estos archivos pueden parecer idénticos a los archivos normales y los atacantes pueden aprovechar una configuración de Windows que oculta la extensión real del archivo. Por ejemplo, un archivo adjunto puede parecer llamado "filename.pdf", pero al revelar su extensión completa, "filename.pdf.exe", se revela que es ejecutable.

Los archivos pueden estar en formatos convencionales, como archivos adjuntos de Microsoft Office, archivos PDF o JavaScript. Al hacer clic en estos archivos o permitir las macros, se permite que el archivo se ejecute, lo que inicia el proceso de cifrado en la computadora de la víctima.

Infección a través de sitios web vulnerables

No todos los ataques de ransomware deben enviarse a través de un correo electrónico malicioso. Los sitios web que han sido comprometidos facilitan la introducción de código peligroso. Todo lo que se necesita es que una víctima incauta visite el sitio, posiblemente uno que frecuenta con frecuencia. El sitio web pirateado luego redirecciona a una página que solicita al usuario que descargue una versión actualizada del software, como un navegador web, un complemento o un reproductor multimedia. Este tipo de redirección es muy difícil de detectar para las personas sin inspeccionar el código fuente de cada sitio web que visitan.

Malvertising y explotación de navegadores

Si el navegador de un usuario tiene una vulnerabilidad sin parchear, es posible que se produzca un ataque de publicidad maliciosa. Mediante anuncios populares en sitios web, los atacantes pueden introducir un código malicioso que descargue ransomware cuando se muestre el anuncio. Aunque se trata de un método de infección de ransomware menos frecuente, no deja de ser peligroso, ya que no necesita que la víctima realice ninguna acción evidente, como descargar un archivo o activar macros.

Exploit Kits que distribuyen malware personalizado

Angler, Neutrino y Nuclear han explotado kits que se han utilizado ampliamente en ataques de ransomware. Estos marcos son una forma de kit de herramientas maliciosas que incluye exploits preescritos que se dirigen a vulnerabilidades en complementos de navegador como Adobe Flash y Java. Microsoft Internet Explorer y Microsoft Silverlight son otras aplicaciones que suelen ser atacadas. Locky y CryptoWall ransomware se han distribuido utilizando kits de explotación en sitios web con trampas explosivas y campañas de publicidad maliciosa.

Descargas de archivos y aplicaciones infectadas

Cualquier archivo o programa descargable puede utilizarse para propagar ransomware. El software pirateado que se encuentra en sitios web de intercambio de archivos ilícitos es muy susceptible de ser atacado y, a menudo, este software está infectado con malware. Los casos recientes de MBRLocker, por ejemplo, siguieron este camino. También existe la posibilidad de que los piratas informáticos utilicen sitios web de confianza para distribuir ejecutables corruptos.

Después de que la víctima descarga el archivo o programa, el ransomware se inyecta automáticamente.

Descargue el informe técnico de Sintinels One para obtener más información sobre las formas comunes en que el ransomware puede infectar su organización solo en Whitepapers Online.