CIBERSEGURIDAD

Ataques de ransomware a gran escala que brindan a los piratas informáticos la capacidad de ganar dinero rápido

Durante los últimos seis meses, la Unidad de Análisis de Amenazas del Negro de Carbón (TAU) analizó más de 1,000 muestras de ransomware, las clasificó en 150 familias y encontró lo siguiente:

  • Los atacantes buscan ganar dinero de forma rápida y sencilla con malware sencillo combinado con métodos de entrega sofisticados. La mayoría del ransomware actual tiene como objetivo dirigirse a la mayor población vulnerable posible.
  • “Ransomware as a Service (RaaS)” y la aparición de Bitcoin han reducido aún más la barrera de entrada para los atacantes.
  • Algunos ransomware están comenzando a implementar tácticas sin malware que aprovechan herramientas nativas “confiables”, como PowerShell de Microsoft. Estas herramientas se pueden utilizar en la propagación del ransomware y en el cifrado de archivos.
  • Casi el 99% de los ataques de ransomware que analizamos se dirigieron a productos de Microsoft. Los usuarios de Mac no se vieron afectados en gran medida por las muestras de ransomware que investigamos.

Visión de conjunto
Si hay que creer en los titulares mundiales de los últimos meses, la creciente ubicuidad y sofisticación del ransomware ha alcanzado proporciones epidémicas. Según estos informes, el malware como WannaCry y NotPetya ha introducido el ransomware en la conciencia del público de una manera sin precedentes, mientras que las empresas de todo el mundo luchan por mantenerse al día con la avalancha de ataques.
Si bien es cierto que el ransomware es más omnipresente que nunca, existe una realidad diferente en lo que respecta a la sofisticación. Según un análisis reciente de un gran conjunto de familias de ransomware realizado por Carbon Black TAU, la mayoría del ransomware actual se inclina por el lado de la simplicidad en un esfuerzo por apuntar a un conjunto masivo de víctimas de la manera más fácil y rápida posible. ¿La red? Los atacantes buscan ganar dinero de forma rápida y sencilla con malware sencillo, combinado con métodos de entrega sofisticados.
Para comprender el mundo del ransomware, Carbon Black examinó un conjunto de muestra de más de 150 familias de ransomware. Nuestro análisis revela que la mayoría de los ataques de ransomware se guían por aspectos económicos simples y probablemente se derivan de actores poco sofisticados que a menudo aprovechan los kits de ataque preexistentes de bricolaje (bricolaje) comprados en la web oscura.
Aquellos que se están esforzando por sí mismos también tienden a usar lenguajes de programación más básicos, como .NET, y reutilizan el código de proyectos y sitios web de código abierto.
Los ataques episódicos de ransomware, como NotPetya, han generado titulares llamativos, pero revelan más sobre la falta de preparación general de las empresas de todo el mundo para manejar estos ataques que sobre una evolución sofisticada del ransomware. Estos ataques destacan que la industria en general a menudo no cumple con los aspectos básicos de la seguridad de la información, como el parcheo.
Las empresas parecen centrarse demasiado en las amenazas de próxima generación y no pueden defenderse de la era actual del malware básico. Además, la atención del público a las nuevas amenazas distrae a muchas organizaciones de la capacidad de utilizar herramientas en sus entornos y capacitar a su personal para responder a los ataques básicos.
El nivel de esfuerzo necesario para proteger los entornos parece tan abrumador para muchos en el liderazgo que una inversión en respuesta y recuperación parecería ser una mejor inversión. A medida que el ransomware aumentó en prevalencia, muchas empresas aceptaron el riesgo de que las máquinas individuales se infectaran y perdieran datos localizados. Estas empresas implementaron políticas para volver a crear rápidamente la imagen de la máquina con su copia de seguridad más reciente y seguir adelante.
Sin embargo, malware como WannaCry y NotPetya han cambiado esa ecuación al incluir la funcionalidad de gusanos para propagarse a través de las redes. Volver a crear una imagen de un solo sistema infectado era ineficaz si el ransomware podía moverse rápidamente a través de la red e infectar sistemas adicionales. Las empresas que habían aceptado el riesgo de manejar pocos incidentes de ransomware ahora corren el riesgo de perder redes completas. Esto se vio en varios hospitales británicos donde las operaciones se cerraron por completo mientras el ransomware se propagaba automáticamente a través de una red ampliamente vulnerable.
Sin embargo, al igual que NotPetya fue cada vez más sofisticado en comparación con WannaCry, Carbon Black TAU espera una evolución creciente del ransomware en los próximos meses a medida que los atacantes intentan extorsionar aún más a empresas y consumidores que no están preparados.
Si bien las defensas necesarias para limitar la propagación y el daño del ransomware podrían ser fáciles de determinar, su implementación en grandes organizaciones representa un desafío para muchos equipos de seguridad. A medida que el ransomware se vuelve más sofisticado con el tiempo, estos desafíos solo aumentan.
Los equipos de seguridad deberán implementar mejores líneas de defensa para detectar malware complejo y adversarios que utilicen ataques que no sean malware para cifrar los datos. El desarrollo de malware más sofisticado no se limita entonces a adversarios individuales; Los operadores de ransomware-as-a-Service (RaaS) pueden implementar un malware único y complejo en cientos de miles de víctimas potenciales a la vez.

Una mirada más profunda al ransomware
Para esta investigación, Carbon Black TAU analizó más de 1,000 muestras de ransomware, clasificándolas en más de 150 familias distintas. El ransomware, como la mayoría de las otras aplicaciones de malware, se puede agrupar en función de sus características de desarrollo; métodos de inyección; y técnicas, tácticas y procedimientos únicos (TTP).
Estos atributos sugieren que cada grupo fue diseñado por el mismo conjunto de desarrolladores con el mismo propósito. Cada familia puede ser única en la rutina de cifrado que utiliza, los archivos a los que se dirige, el estilo de la nota de rescate que proporciona o incluso el método en el que cobra su rescate.
Nuestra investigación destacó algunas tendencias interesantes:

  • La mayoría de las muestras de ransomware que evaluamos están diseñadas para ejecutarse en su lugar. Sin la necesidad de instalación o configuración, estas muestras comenzarán a cifrar los datos inmediatamente después de la ejecución. Esto contrasta con las familias que se ven con menos frecuencia y que realizan métodos de instalación más elaborados antes de que comience la actividad maliciosa.
  • Algunas familias de ransomware (por ejemplo, Abpodul) aprovecharon tácticas sin malware. Caracterizadas por archivos que no serían detectados como maliciosos por antivirus heredados, estas amenazas aprovechan herramientas nativas “confiables”, como PowerShell de Microsoft, para eliminar las instantáneas de volumen y cifrar archivos. El malware más frecuente incluso utilizó PowerShell como un medio para descargar y ejecutar el ejecutable de ransomware real.
  • El código de ransomware es menos complejo que muchas otras formas de malware. Una muestra básica de ransomware simplemente necesita atravesar carpetas y cifrar archivos utilizando rutinas estándar de Windows. Hay muy poca codificación involucrada para crear ransomware, y gran parte de ese código puede obtenerse de otros proyectos en línea.
  • Los atacantes están jugando un juego de números para lanzar una serie de ataques masivos contra la mayor población vulnerable posible. “Ransomware as a Service ‘” (RaaS) y la aparición de Bitcoin han reducido la barrera de entrada para los atacantes que utilizan ransomware. Bitcoin y el ransomware están claramente vinculados, y el ransomware ha experimentado un crecimiento porcentual de tres dígitos desde la fundación de Bitcoin en 2009.
  • Al utilizar los mercados clandestinos y la web oscura, Ransomware-as-a-Service proporciona a un adversario sin experiencia técnica la capacidad de patrocinar fácilmente una campaña de ransomware con los fondos disponibles.
  • Estos ataques de “rociar y rezar” a menudo se basan en campañas de spam y phishing para garantizar un pequeño porcentaje de infecciones para extorsionar. Al igual que muchas campañas de spam, el ransomware se ha enviado en masa a miles de direcciones de correo electrónico en una sola organización, lo que requiere que solo una persona ejecute la carga útil para un ataque exitoso.
  • El 99% de los ataques de ransomware se dirigen a productos de Microsoft dada la gran participación de mercado de Microsoft. Los usuarios de Mac prácticamente no se vieron afectados por las muestras de ransomware que investigamos. De hecho, solo encontramos un pequeño puñado de familias que se enfocan en MacOS. Uno de ellos era el software destructivo debido a que nunca enviaba la clave de cifrado a ningún servidor de comando y control.
  • La mayoría de las muestras de ransomware se escribieron en inglés, un idioma predeterminado para los productos de Microsoft Windows. También encontramos muestras escritas en francés, alemán, chino, japonés y ruso.
  • La tendencia hacia el ransomware rudimentario habla del estado actual de la ciberdefensa. Por un lado, las organizaciones con programas de seguridad incipientes (o inexistentes) no han podido prevenir ni siquiera los ataques más básicos. Para los equipos de seguridad más sólidos, el enfoque en los ataques dirigidos avanzados potencialmente ha restado valor a la rutina de “bloqueo y abordaje” requerida para detener incluso los ataques que tienen una sofisticación limitada.
  • Las defensas tradicionales están muy sesgadas para detectar y bloquear archivos maliciosos descargados en un sistema informático. La confianza en este método distrae a los defensores de aplicaciones aparentemente legítimas que exhiben un comportamiento malicioso. Muchos ataques de ransomware utilizan herramientas existentes en la máquina (por ejemplo, PowerShell).
  • Las soluciones basadas en archivos que se centran en indicadores estáticos de archivos, como nombres de archivo, cadenas únicas y hashes, carecen de ataques de ransomware ya que no tienen visibilidad del “ADN” de un ataque. Sin rastrear el comportamiento y la intención maliciosos, dichos métodos defensivos podrían no ser capaces de predecir con precisión futuros ataques que involucren código volátil que aproveche herramientas como Javascript, PowerShell, Visual Basic y Active Server Pages (ASP).

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar
Cerrar