ESTRATEGIAS DE PROTECCIÓN Y CONTENCIÓN DEL RANSOMWARE

El ransomware es un método común de extorsión cibernética o de interrupción para obtener beneficios económicos. Este tipo de ataque puede interrumpir instantáneamente el acceso a archivos, aplicaciones o sistemas hasta que la víctima pague el rescate (y el atacante restaure el acceso con una clave de descifrado) o la organización los restaure y reconstituya a partir de copias de seguridad. Una vez que se invoca el ransomware dentro de una organización, la mayoría de las variantes utilizan cuentas con privilegios y relaciones de confianza entre sistemas para la dispersión lateral.

El ransomware se implementa comúnmente en un entorno de dos maneras:

1. Propagación manual por parte de un actor después de haber penetrado en un entorno y tener privilegios de nivel de administrador en todo el entorno:
   • Ejecución manual de los cifradores en los sistemas de destino.
   • Implementación de cifradores en todo el entorno utilizando archivos por lotes de Windows (se montan recursos compartidos de C$, se copia el cifrador y se ejecuta con la herramienta Microsoft PsExec).
   • Implementación de cifradores con objetos de la política de grupo (GPO) de Microsoft.
   • Implementación de cifradores con herramientas de implementación de software existentes utilizadas por la organización víctima.
2. Propagación automatizada:
   • Extracción de credenciales o tokens de Windows desde el disco o la memoria.
   • Relaciones de confianza entre los sistemas y aprovechamiento de métodos como el Instrumental de Administración de Windows (Windows Management Instrumentation, WMI), SMB o PsExec para vincularse a los sistemas y ejecutar cargas útiles.
   • Métodos de explotación sin corregir (por ejemplo, EternalBlue, abordado a través de Microsoft Security Bulletin MS17-010).¹