En el pasado, los autores del ransomware operaban de una manera específica bloqueando el sistema y exigiendo un rescate por la clave de desencriptación, pero la situación está cambiando rápidamente. Echemos un vistazo a cómo funcionan estos rescates de esta nueva era.
¿Cuál es el próximo Ransomware?
Los ciberdelincuentes están ahora emparejando la encriptación del ransomware con el robo de datos. Además de cifrar datos y pedir un rescate, los ciberdelincuentes han empezado a robar credenciales mientras cifran archivos críticos. El recientemente descubierto ataque de NetWalker es un ejemplo clásico de este tipo de ataques.
Este ataque llega a través de un correo electrónico de phishing con un documento de MS Word y una contraseña. Una vez que el usuario hace clic y abre el documento de Word, se inyectan dos cargas útiles en el sistema del usuario. Una de las cargas útiles encripta los archivos del sistema afectado mientras que la otra roba todas las credenciales almacenadas, incluyendo las credenciales en línea. De hecho, la encriptación es sólo el encubrimiento para el robo de credenciales.
¿Cómo funciona el Ransomware 2.0?
Con la propagación de la pandemia COVID-19, las VPNs y los servicios de acceso remoto son vitales para la continuidad del negocio. Sus papeles en las redes corporativas han sido cambiados. Han evolucionado de ser sólo canales de soporte que llevan una pequeña fracción de la actividad de la red, ahora estos servicios se han convertido en los canales principales que proporcionan la mayor parte del acceso a los recursos de las instalaciones. Dado que antes sólo se accedía a esos servicios ocasionalmente, muchas empresas no han corregido las vulnerabilidades de seguridad de los servicios. Aquí reside una gran oportunidad para los atacantes.
Las vulnerabilidades de ejecución de código remoto en el Protocolo de Escritorio Remoto (RDP) son fáciles de infiltrar. Por ejemplo, la vulnerabilidad de BlueKeep, que es extremadamente infiltrable, sigue ahí fuera y los atacantes están tratando de desarrollar un exploit para ello. Considerando la seriedad de esta laguna de seguridad, Microsoft incluso publicó parches para sistemas operativos como Windows XP y Vista, que fueron declarados EOL. BlueKeep es solo una de esas vulnerabilidades. Hay numerosas vulnerabilidades conocidas y desconocidas basadas en RDP y VPN por ahí, proporcionando a los atacantes un gran paisaje de ataque y también una forma fácil de intrusión en la red corporativa.
Además, los ataques como el ransomware de NetWalker están explotando las vulnerabilidades de Microsoft Word RemoteCodeExecution. En marzo de 2020, Microsoft publicó un parche para una de estas vulnerabilidades, CVE-2020-0852. Esta vulnerabilidad puede permitir que el malware se ejecute en un sistema cuando el usuario simplemente ve un archivo de Word especialmente creado en el panel de vista previa de MS Outlook. Microsoft ha advertido que el panel de vista previa de Outlook es también un vector de ataque para esta vulnerabilidad. Una vez más, es probable que haya muchas vulnerabilidades similares desconocidas por ahí. Parchear los sistemas cuando sus empleados están trabajando desde casa es un proceso que consume mucho tiempo. Además de explotar los ataques, los atacantes pueden ahora aprovechar esta ventana de parcheo ampliada para lanzar ataques.
¿Cómo podemos hacer frente a los ataques de Ransomware?
En este momento, es esencial que tomemos nuestra salud digital tan seriamente como tomamos nuestra salud física. Un sistema comprometido es un sistema que enferma fácilmente, igual que el cuerpo humano.