Spotlight on Ransomware: Métodos comunes de infección.
Ransoware sigue siendo una amenaza cada vez mayor con nuevas familias apareciendo cada semana. Por esta razón, hemos creado una serie dedicada que se centrará en las etapas de un ataque de ransomware para ofrecer protección a todos los niveles posibles. Siendo el primer post de la serie, este post abordará el primer punto de contacto que su sistema tendrá con el ransomware : la infección.
Los escritores de malware y los atacantes utilizan una variedad de técnicas sofisticadas para difundir su malware. Hay tres métodos de infección de ransomware comúnmente utilizados que serán explorados en este post; Archivos adjuntos y vínculos maliciosos de correo electrónico, descargas de unidades y ataques de Protocolo de Escritorio remoto. Esperamos poder ayudarle a concentrarse en la protección de las áreas más probables de ser comprometidas por los ciberdelincuentes y reducir su riesgo de infección, comenzando ahora mismo.
Estos son los métodos de infección de ransomware más comúnes:
Malware de Correo electrónico
El vector de ataques ransomware se puede dividir en dos formas:
a) Descarga de archivos adjuntos maliciosos y;
b) Haciendo clic en los enlaces maliciosos dentro de los correos electrónicos.
Ambos requieren acción de usted y como tal son los métodos más prevenibles de la infección.
Con adjuntos de correo electrónico malicioso, un atacante crea un correo electrónico que pretende ser de una empresa legítima como FedEx o DPD. Un archivo malicioso se adjunta al correo electrónico, en forma de un archivo ejecutable portátil comprimido (PE), un documento de Word o un archivo de script de Windows. Aquí es donde se necesita la acción del usuario. El destinatario abre el archivo adjunto pensando que el correo electrónico se ha enviado desde una fuente de confianza. Una vez que se abre el archivo o, en el caso de un documento de Word, las macros se habilitan, la carga útil del ransomware se descarga automáticamente y se inicia el proceso de infección del sistema.
Los enlaces de correo electrónico malicioso son similares a los adjuntos de correo electrónico malicioso, excepto que los vínculos son direcciones URL incrustadas en el cuerpo del correo electrónico. Del mismo modo, estos correos electrónicos se envían desde una persona u organización que usted cree que son legítimos, y cuando se hace clic en ellos, estas URL descargar el ransomware.
Un correo electrónico de PayPal que circula incluso incluye "medidas de seguridad" para que parezca más legítimo, sin embargo, tenga en cuenta los errores en el texto como "Sólo necesita .."
Los falsos correos electrónicos de USPS que afirman que su paquete no pudo ser entregado le ofrecen un enlace para imprimir una nueva etiqueta de parcela.
Por desgracia, en lugar de garantizar la entrega segura de su paquete, en su lugar se entrega una carga útil maliciosa que contiene ransomware mientras mira la etiqueta de envío falsa que aparece increíble legítimo.
La apariencia profesional de los correos electrónicos hace que sea difícil diferenciar de correos electrónicos legítimos y por esta razón son tan eficaces.
Drive-by descargas: infectando su sistema sin su conocimiento
Los kits de explotación son códigos sofisticados que explotan vulnerabilidades en un sistema. La mayoría de las veces, se ejecutan cuando una víctima visita un sitio web comprometido, intencionalmente o no, o al ser redirigido de un sitio legitimo hackeado a uno comprometido. El código malicioso está oculto en el código de la página, a menudo en un anuncio (malvertisement), que te redirecciona a la página de aterrizaje del kit de exploit, desapercibida para la víctima. Este fue el caso cuando el New York Times y la BBC fueron hackeados y miles de lectores fueron redirigidos a un sitio de inyección.
Si hay vulnerabilidades en su sistema, se ejecutará una descarga automática de una carga útil malintencionada y se mantendrá su sistema en reserva. Quizás lo más frustrante de los ataques de kit de exploit es la facilidad con la que acceden a un sistema sin mucha acción del usuario. Debido a que se aprovechan de vulnerabilidades sin parches en el software más popular, este tipo de infección puede pasar desapercibida hasta que se enfrentan a una nota de rescate sin idea de cómo llegó allí.
Los Ataques contra servidores RDP infectan redes rápidamente
Los ataques de Remote Desktop Protocol o RDP, o ataques de "contraseña realmente tonta" ocurren cuando las compañías dejan los puertos de cliente RDP abiertos a Internet y, sabiendo esto, los atacantes analizan bloques de direcciones IP para puertos RDP abiertos. Una vez encontrados, los hackers intentarán todas las variaciones posibles rápidamente para resolver la contraseña de inicio de sesión de escritorio remoto que se hace más fácil cuando un administrador de servidor utiliza credenciales de inicio de sesión como nombre de usuario: admin contraseña: admin. No se equivoquen, la forma más fácil de acceder a un hacker es escogiendo una contraseña débil. Esto se aplica a todos los usuarios, no sólo a los administradores del servidor.
Después de obtener acceso al sistema, los hackers pueden ejecutar el archivo que realiza el cifrado y localiza todas las unidades de red y locales. Una vez que un hacker tiene acceso a su red, pueden hacer prácticamente cualquier cosa. Recientemente, las bases de datos de tres organizaciones de salud se vieron comprometidas de esta manera. Se explotó una vulnerabilidad en la forma en que implementaron su funcionalidad de protocolo de escritorio remoto (RDP), se llevaron a cabo archivos de pacientes para obtener rescate y otros 655.000 se pusieron a la venta en la web oscura.
El desastre de MongoDB vio 28.200 servidores afectados. Lo que comenzó como unos pocos incidentes aislados se transformó en una destrucción completa de miles de servidores MongoDB al final de una semana. ¿Cómo los hackers podían acceder a tantos servidores tan rápidamente? Lo adivinaste. Los ataques sólo apuntaban a aquellas bases de datos que quedaban accesibles a través de Internet y sin una contraseña en la cuenta de administrador.
El acceso a una red con 100 ordenadores es una verdadera mina de oro para hackers. No sólo por los archivos a los que tiene acceso, sino también por la potencia informática. Una botnet puede ser aprovechada para realizar tareas que requieren una red de computadoras. Una botnet típica puede consistir en decenas de miles de computadoras que están todas controladas por un solo terminal de control y comando. Los piratas informáticos les encanta usarlos porque les permite combinar el poder de computación y los recursos de red de todos los ordenadores de la botnet para atacar un solo objetivo, enviar 100.000 correos electrónicos a la vez para distribuir ransomware lo más rápido posible o atrapar tráfico para capturar más nombres de usuario y contraseñas explotar. Una vez que tenga acceso a través de RDP, puede hacer prácticamente cualquier cosa para el sistema.
La prevención del Ransonware requiere una protección en capas
La facilidad con que el ransomware entra en su sistema es por qué su mejor defensa es un plan de prevención claro. Una suite anti-malware de calidad actúa como una sólida red de seguridad, pero con las medidas de seguridad correctas, un rootkit nunca debe llegar tan lejos.
Estos son algunos pasos prácticos para cerrar las vulnerabilidades en su sistema:
Prevenga el correo electrónico y los ataques con sentido común
Piense antes de hacer clic. ¿Le enviará por correo electrónico FedEx un archivo adjunto sobre su envío o un enlace de terceros a una página que solicite información? Improbable y definitivamente no como un archivo ejecutable portátil (PE), un documento de Word o un archivo de script de Windows. En caso de duda, en lugar de abrir el correo electrónico, ingrese directamente al sitio del que se le envía un correo electrónico y verifique su cuenta desde la seguridad del sitio web real.
Evitar el ataque RDP con el uso de contraseñas complejas
Utilice siempre contraseñas complejas, especialmente para el acceso de administrador. Además, considere inhabilitar la cuenta Administrador y utilizar un nombre diferente para ese acceso con un nombre de usuario menos obvio. Establezca el sistema para bloquear a un usuario durante un período de tiempo después de un cierto número de intentos fallidos de inicio de sesión. Además, asegúrese de que su sistema requiere autenticación de dos factores, especialmente para el acceso de administrador.
Siempre utilice una eficiente y potente solución de negocio anti-malware, como Emsisoft Anti-Malware para empresas, Emsisoft Anti-Malware para servidores y gestione todos sus asientos de clientes de forma centralizada con Emsisoft Enterprise Console.
Evite el malware en todas sus formas con una limpieza regular del sistema.
Limpiar regularmente con estos 5 pasos para evitar la infección ransomware.
Ejecute una poderosa suite anti-malware y manténgala actualizada. Manténgase protegido con Emsisoft Anti-Malware o opte por una capa adicional de protección con Emsisoft Internet Security: toda la potencia de nuestro producto anti-malware con firewall añadido.
Como usted puede ver, hay varios métodos de infección donde el ransomware se refiere. Algunos son prevenibles a través de sus acciones, otros requieren la red de seguridad adicional de una suite de calidad contra malware. Ahora que conoce los peligros, esperamos que esté atento a correos electrónicos sospechosos y redirecciones extrañas en línea. La prevención es la mejor cura contra el ransomware, así que comience a prepararse.