Noticias
Ransomware: cambio de tendencia en su difusión
Hay cambios que pueden parecer intrascendentes, pero no lo son. Y si hablamos de amenazas como el ransomware menos todavía. El más mínimo cambio debe ser detectado rápidamente y, en base a lo que suponga, adoptar las medidas adecuadas para hacerle frente.
Hace unos días, Proofpoint hablaba de un cambio de tendencia en la distribución del ransomware, y en los últimos días, en base a varias información, esta tendencia no ha hecho más que confirmarse. En estos tiempos, ante un ataque de este tipo, lo más común es que el malware consiga «colarse» en un sistema mediante phishing y, una vez allí, ya proceda a descargar el software de cifrado desde internet, ya sea de un servidor de comando y control, de algún servicio público de alojamiento de archivos o, incluso, de algún servidor operado por terceros y cuya seguridad se haya visto comprometida.
Es decir, lo común es que el payload del email malintencionado sea el que se encarga de descargar el ransomware, que en algunos casos intentará replicarse localmente, exfiltrará los archivos y, finalmente, procederá con el cifrado de los mismos. Sin embargo, es en este modelo donde se están produciendo cambios, ya que cada día se están viendo más ataques en los que el software de cifrado y secuestro se incluye directamente en el mensaje de correo electrónico malintencionado, eliminando así la necesidad de que la primera carga útil tenga, a su vez, que descargar las sucesivas.
No hablamos de un modelo nuevo, en realidad hace unos pocos años este era un modelo bastante común, pero que con el tiempo había decaído, en favor de ataques multifase, más complejos pero que ofrecen más posibilidades a los ciberdelincuentes. Por ejemplo, es común que la primera carga útil de un ataque de ransomware descargue componentes extra para analizar el entorno del sistema, con el fin de intentar replicarse en la red, para extraer la información de todos los sistemas comprometidos, etcétera. Un modelo que tiene todo el sentido cuando el principal objetivo son las redes corporativas.
Esto cambia sustancialmente si el objetivo son sistemas no conectados a una red o, en todo caso, a una red local privada. En este caso, lo que se persigue es realizar ataques lo más sencillos y rápidos posible. No tiene sentido dejar pasar una o dos semanas desde que el primer malware llega al PC hasta que se produce el secuestro de los datos y la petición del rescate. En este caso estaríamos hablando de lo que podemos llamar ransomware exprés. Un modelo que, además, permite la realización de campañas masivas, algo que ya vivimos hace un par de años y que no presagia nada bueno.
¿Por qué esta vuelta al ransomware exprés? Tiene mucho que ver con las circunstancias que hemos pasado los últimos meses, y que en bastantes casos todavía se mantienen: el boom del teletrabajo como consecuencia del coronavirus. Una gran parte de la fuerza de trabajo ha dejado su mesa y su ordenador de la oficina para cambiarla por el escritorio de casa y su PC personal. Muchos de los objetivos que, hasta hace unos meses, acudían diariamente a su centro de trabajo, ahora desarrollan su actividad profesional desde casa.
Un entorno en el que, claro, el concepto de red corporativa se desdibuja por completo. Y un entorno en el que, como consecuencia de lo anterior, pierde todo el sentido reproducir modelos más complejos, que son los empleados para realizar ataques de ransomware a empresas. Esto es, sin duda, un indicador más de que las empresas deben poner especial atención a la seguridad de los dispositivos que utilizan sus empleados para teletrabajar, puesto que aunque la red corporativa esté blindada, en muchos casos no ocurre lo mismo con los endpoints que, en pocos meses, se han tenido que sumar a la infraestructura.