Cómo se propaga el Ransomware: 9 métodos de infección más comunes y cómo detenerlos
Actualizado: 26 dic 2019
Los ciberdelincuentes están buscando nuevas formas creativas de mantener a sus datos como rehenes.
Sin embargo, si bien el ransomware podría volverse más sofisticado, es importante recordar que aún debe cumplir con las mismas reglas que el malware antiguo normal.
Eso significa que todavía tiene que distribuirse, aún tiene que infectar su sistema antes de que pueda entregar su carga útil, y aún puede evitarse adoptando un enfoque proactivo de seguridad.
¿Cómo infecta el ransomware a tu computadora? En este artículo, le mostraremos algunas de las formas más comunes en que se propaga el ransomware y cómo puede reducir el riesgo de infección.
1. Archivos adjuntos de correo electrónico
El ransomware se distribuye comúnmente a través de correos electrónicos que alientan al destinatario a abrir un archivo adjunto malicioso. El archivo se puede entregar en una variedad de formatos, incluido un archivo ZIP, PDF, documento de Word, hoja de cálculo de Excel y más. Una vez que se abre el archivo adjunto, el ransomware puede implementarse inmediatamente; En otras situaciones, los atacantes pueden esperar días, semanas o incluso meses después de la infección para cifrar los archivos de la víctima, como fue el caso de los ataques Emotet / Trickbot.
Los atacantes pueden realizar una investigación exhaustiva sobre su objetivo (a menudo una empresa específica o un individuo de alto rango en una organización) para crear correos electrónicos creíbles y muy creíbles. Cuanto más legítimo se vea el correo electrónico, más probable es que el destinatario abra el archivo adjunto.
Consejos de prevención
Solo abra archivos adjuntos de remitentes de confianza.
Verifique que la dirección de correo electrónico del remitente sea correcta. Recuerde que los nombres de dominio y los nombres para mostrar se pueden suplantar fácilmente.
No abra archivos adjuntos que requieran que habilite macros. Si cree que el archivo adjunto es legítimo, busque orientación de su departamento de TI.
Lea esta guía para obtener más información sobre cómo evitar los correos electrónicos de phishing.
2. URL maliciosas
Los atacantes también usan correos electrónicos y plataformas de redes sociales para distribuir ransomware insertando enlaces maliciosos en los mensajes. Durante el tercer trimestre de 2019, casi 1 de cada 4 ataques de ransomware utilizaron el phishing por correo electrónico como un vector de ataque, según las cifras de Coveware.
Para alentarlo a hacer clic en los enlaces maliciosos, los mensajes generalmente están redactados de una manera que evoca un sentido de urgencia o intriga. Al hacer clic en el enlace, se activa la descarga de ransomware, que encripta su sistema y guarda sus datos para el rescate.
Consejos de prevención
Tenga cuidado con todos los enlaces incrustados en correos electrónicos y mensajes directos.
Verifique las URL al pasar el mouse sobre el enlace antes de hacer clic.
Use CheckShortURL para expandir las URL acortadas.
Ingrese manualmente los enlaces en su navegador para evitar hacer clic en enlaces de phishing.
3. Protocolo de escritorio remoto
RDP, un protocolo de comunicaciones que le permite conectarse a otra computadora a través de una conexión de red, es otro vector de ataque popular. Algunos ejemplos de ransomware que se propagan a través de RDP incluyen SamSam, Dharma y GandCrab, entre muchos otros.
De manera predeterminada, RDP recibe solicitudes de conexión a través del puerto 3389. Los delincuentes cibernéticos aprovechan esto mediante el uso de escáneres de puertos para buscar en Internet computadoras con puertos expuestos. Luego intentan obtener acceso a la máquina explotando vulnerabilidades de seguridad o utilizando ataques de fuerza bruta para descifrar las credenciales de inicio de sesión de la máquina.
Una vez que el atacante ha obtenido acceso a la máquina, puede hacer más o menos lo que desee. Por lo general, esto implica deshabilitar su software antivirus y otras soluciones de seguridad, eliminar copias de seguridad accesibles e implementar el ransomware. También pueden dejar una puerta trasera que pueden usar en el futuro.
Consejos de prevención
Usa contraseñas seguras.
Cambie el puerto RDP del puerto predeterminado 3389.
Solo habilite RDP si es necesario.
Utiliza una VPN.
Habilite 2FA para sesiones remotas.
4. MSP y RMM
Los delincuentes cibernéticos con frecuencia se dirigen a los proveedores de servicios administrados (MSP) con ataques de phishing y explotan el software de monitoreo y administración remota (RMM) comúnmente utilizado por los MSP.
Un ataque exitoso a un MSP puede permitir a los ciberdelincuentes desplegar ransomware en toda la base de clientes del MSP y ejercer una gran presión sobre la víctima para que pague el rescate. En agosto de 2019, 22 ciudades en Texas fueron atacadas con ransomware que se propagó a través de herramientas MSP. Los atacantes exigieron $ 2.5 millones para desbloquear los archivos cifrados.
Consejos de prevención
Habilite 2FA en el software RMM.
Los MSP deben estar muy atentos a las estafas de phishing.
5. Malvertising
La publicidad maliciosa (publicidad maliciosa) se está convirtiendo en un método cada vez más popular de entrega de ransomware.
La publicidad maliciosa aprovecha las mismas herramientas e infraestructuras utilizadas para mostrar anuncios legítimos en la web. Por lo general, los atacantes compran espacio publicitario, que está vinculado a un kit de exploits. El anuncio puede ser una imagen provocativa, una notificación de mensaje o una oferta de software gratuito.
Cuando hace clic en el anuncio, el kit de exploits escanea su sistema en busca de información sobre su software, sistema operativo, detalles del navegador y más. Si el kit de exploits detecta una vulnerabilidad, intenta instalar ransomware en la máquina del usuario. Muchos de los principales ataques de ransomware se propagan a través de la publicidad maliciosa, incluidos CryptoWall y Sodinokibi.
Consejos de prevención
Mantenga su sistema operativo, aplicaciones y navegadores web actualizados.
Inhabilita los complementos que no usas habitualmente.
Utiliza un bloqueador de anuncios. El equipo de laboratorio de Emsisoft recomienda uBlock Origin.
Habilite los complementos de reproducción por clic en su navegador web, lo que evita que los complementos como Flash y Java se ejecuten automáticamente. Una gran cantidad de publicidad maliciosa depende de la explotación de estos complementos.
6. Descargas automáticas
Una descarga drive-by es cualquier descarga que ocurre sin su conocimiento. Los distribuidores de ransomware hacen uso de descargas ocultas al alojar el contenido malicioso en su propio sitio o, más comúnmente, inyectarlo en sitios web legítimos explotando vulnerabilidades conocidas.
Cuando visita el sitio web infectado, el contenido malicioso analiza su dispositivo en busca de vulnerabilidades específicas y ejecuta automáticamente el ransomware en segundo plano.
A diferencia de muchos otros vectores de ataque, las descargas automáticas no requieren ninguna entrada del usuario. No tiene que hacer clic en nada, no tiene que instalar nada y no tiene que abrir un archivo adjunto malintencionado; visitar un sitio web infectado es todo lo que se necesita para infectarse.
Consejos de prevención
Siempre instale los últimos parches de seguridad de software.
Eliminar complementos innecesarios del navegador.
Instale un bloqueador de anuncios como uBlock Origin.
7. Propagación de red
Si bien las cepas más antiguas de ransomware solo podían cifrar la máquina local que infectaron, las variantes más avanzadas tienen mecanismos de propagación automática que les permiten moverse lateralmente a otros dispositivos en la red. Los ataques exitosos pueden paralizar organizaciones enteras.
Algunos de los ataques de ransomware más devastadores de la historia incluyeron mecanismos de autopropagación, incluidos WannaCry, Petya y SamSam.
Consejos de prevención
Segmente su red y aplique el principio de menor privilegio.
Implemente y mantenga una estrategia confiable de respaldo de ransomware.
8. Software pirateado
Se sabe que el ransomware se propaga a través de software pirateado. Algunos programas crackeados también vienen con adware, que puede estar ocultando ransomware, como fue el caso en la reciente campaña STOP Djvu (descifrador gratuito disponible aquí). Además, los sitios web que alojan software pirateado pueden ser más susceptibles a la publicidad maliciosa o descargas automáticas.
El uso de software pirateado también puede aumentar indirectamente el riesgo de infección por ransomware. Por lo general, el software sin licencia no recibe actualizaciones oficiales del desarrollador, lo que significa que los usuarios pueden perderse los parches de seguridad críticos que pueden ser explotados por los atacantes.
Consejos de prevención
Evite el uso de software pirateado.
No visite sitios web que alojen software pirateado, grietas, activadores o generadores de claves.
Tenga cuidado con las ofertas de software que son demasiado buenas para ser verdad.
9. Unidades USB y computadoras portátiles
Las unidades USB y las computadoras portátiles son un vehículo de entrega común para ransomware. Conectar un dispositivo infectado puede provocar que el ransomware cifre la máquina local y se propague potencialmente por la red.
Por lo general, esto es involuntario: un miembro del personal conecta involuntariamente una unidad USB infectada, que cifra su punto final, pero también puede ser deliberada. Por ejemplo, hace unos años, los residentes de Pakenham, un suburbio de Melbourne, descubrieron unidades USB sin marcar en sus buzones. Las unidades contenían ransomware disfrazado como una oferta promocional de Netflix.
Consejos de prevención
Nunca conecte dispositivos desconocidos a su computadora.
No conecte sus dispositivos a sistemas públicos compartidos como quioscos de impresión de fotografías y computadoras en cibercafés.
Las empresas deben implementar y mantener sólidas políticas de seguridad BYOD.
Utilice un software antivirus de buena reputación que pueda escanear y proteger unidades extraíbles.
Conclusión
El ransomware se propaga de muchas maneras diferentes. Algunos vectores de ataque, como archivos adjuntos de correo electrónico malicioso, enlaces de phishing y dispositivos extraíbles, se basan en errores humanos, mientras que otros, como la publicidad maliciosa, las descargas automáticas y la propagación de la red, son efectivos sin intervención del usuario.
Independientemente de cómo se propague el ransomware, hay muchas cosas que puede hacer para reducir el riesgo de infección y mitigar los efectos de un ataque. Invertir en un software antivirus comprobado, mantener copias de seguridad y ser cauteloso con sus clics puede ayudar mucho a proteger sus datos y mantener su sistema a salvo del ransomware.
¿Qué vector de ataque crees que es la mayor amenaza?
