ESTRATEGIAS DE PROTECCIÓN Y CONTENCIÓN DEL RANSOMWARE
El ransomware es un método común de extorsión cibernética o de interrupción para obtener beneficios económicos. Este tipo de ataque puede interrumpir instantáneamente el acceso a archivos, aplicaciones o sistemas hasta que la víctima pague el rescate (y el atacante restaure el acceso con una clave de descifrado) o la organización los restaure y reconstituya a partir de copias de seguridad. Una vez que se invoca el ransomware dentro de una organización, la mayoría de las variantes utilizan cuentas con privilegios y relaciones de confianza entre sistemas para la dispersión lateral.
El ransomware se implementa comúnmente en un entorno de dos maneras:
- Propagación manual por parte de un actor después de haber penetrado en un entorno y tener privilegios de nivel de administrador en todo el entorno:
- Ejecución manual de los cifradores en los sistemas de destino.
- Implementación de cifradores en todo el entorno utilizando archivos por lotes de Windows (se montan recursos compartidos de C$, se copia el cifrador y se ejecuta con la herramienta Microsoft PsExec).
- Implementación de cifradores con objetos de la política de grupo (GPO) de Microsoft.
- Implementación de cifradores con herramientas de implementación de software existentes utilizadas por la organización víctima.
- Propagación automatizada:
- Extracción de credenciales o tokens de Windows desde el disco o la memoria.
- Relaciones de confianza entre los sistemas y aprovechamiento de métodos como el Instrumental de Administración de Windows (Windows Management Instrumentation, WMI), SMB o PsExec para vincularse a los sistemas y ejecutar cargas útiles.
- Métodos de explotación sin corregir (por ejemplo, EternalBlue, abordado a través de Microsoft Security Bulletin MS17-010).1