Anatomía del ataque de Ransomware

Manostaxx

The text that follows is owned by the site above referred.

Here is only a small part of the article, for more please follow the link

SOURCE: https://www.widefense.com/ataque-ransomware/

Hay 2 tipos de ataques:

  • Lanza el ataque a gran escala, normalmente a través de un correo electrónico de phishing a una lista de correo que contiene miles de direcciones de correo electrónico o la víctima visita el sitio web malicioso o comprometido y descarga el ejecutable infectado o una vulnerabilidad en su equipo. Por lo general, una organización insegura con usuarios no entrenados y software del lado del cliente sin revisión puede ser una víctima de un ataque de conducción de guerra.
  • En ataques dirigidos, el atacante selecciona un conjunto de objetivos. Recientemente, nos encontramos con un ataque de este tipo. Cuando los atacantes se dieron cuenta de que los productos de McAfee se están utilizando ampliamente en la empresa, enviaron un correo electrónico de phishing para que un empleado entrara en una sesión de chat utilizando un conocido proveedor de acceso de soporte remoto. Una vez que la víctima es atraída a la sesión de chat, el hacker instala el malware / ransomware en el servidor AV (Anti-Virus), neutralizando así una defensa crítica. A continuación, utilizando el servidor ePO de McAfee como máquina de ensayo, encripte cada recurso accesible de la organización.

 

2. Cómo obtener la carga útil en el ordenador de la víctima

Hay muchas maneras de soltar un ransomware, y un ataque de correo electrónico de phishing es el más popular. Por ejemplo, en la notificación de infracción de tráfico de la figura 6, tanto los enlaces FACTURA como VIEW CAMERA IMAGES le redirigen al sitio web del atacante para descargar e instalar el paquete de ransomware.

 

infografia_ataque

Figura 3 Anatonía del ataque de Ransomware. Fuente: SANS Institute: InfoSec Reading Room – Enterprise Survival Guide for Ransomware Attacks

 

3. Contactar con Command and Control

El primer paso después de la instalación de ransomware es ponerse en contacto con el servidor de comando y control (C & C) para obtener más instrucciones o clave de cifrado. La mayoría del software antivirus bloquea el malware evitando su ejecución en primera instancia si tiene una firma de detección conocida. AV, IPS (Intrusion Prevent System) y Firewalls mantienen una lista de proxies maliciosos y direcciones IP C & C y así detectan la presencia de malware cuando un programa malicioso intenta comunicarse. Este método no es muy eficiente ya que no es posible construir una lista completa de todos los destinos maliciosos. Además, el servidor C & C puede haber sido eliminado por la policía, y el malware puede quedar como “huérfano”. Así, en lugar de usar un servidor C & C estático, los hackers han comenzado a utilizar una técnica de Algoritmo de Generación de Dominio Dinámico. La última variante de cryptolocker genera una lista de 1200 dominios e intenta conectarlos hasta que se ha realizado una conexión satisfactoria. Este proceso se repite si los C & C conectados se han desconectado. De esta manera, una computadora comprometida puede estar bajo el control de numerosos servidores C & C. Este sistema interconectado de servidores C & C y computadoras comprometidas (bots) se conoce como una botnet.

 

4. Descargar las claves públicas

Un atacante puede decidir usar el sistema infectado como una plataforma de lanzamiento de ransomware para propagar la infección a través de la red. Una vez que el atacante está satisfecho con el número de infecciones en una organización en particular, las claves públicas se entregan a todos los bots.

 

Fuente: SANS Institute: InfoSec Reading Room – Enterprise Survival Guide for Ransomware Attacks
Kaspersky Labs: Desarrollo de las amenazas informáticas en el tercer trimestre de 2016. Estadística

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: