¿Cómo funciona un ataque de Ransomware?

Los ciberataques contra empresas se multiplican año tras año, afectando cada vez más a empresas de cualquier tamaño o sector. Uno de los ciberataques más peligrosos lanzados contra estas son los de ransomware.

Un ataque de ransomware es una amenaza cibernética en la que un atacante utiliza malware para cifrar los archivos o datos de un sistema o red, exigiendo un rescate a cambio de la clave de descifrado.

A continuación, veremos los pasos que se dan para que un ciberataque de ransomware infecte a un sistema o infraestructura informática de una empresa.

Pasos para lanzar un ciberataque de ransomware

1. Vector de infección

Antes de desplegar el malware, el ciberdelincuente debe tener acceso a los sistemas de la empresa que quiere atacar. Este acceso lo puede conseguir realizando diferentes acciones. 

• Ataques de phishing. Los ataques de phishing son uno de los métodos más utilizados por los ciberdelincuentes para obtener acceso, sin permiso, a los sistemas de una empresa. Estos ataques consisten en el envío de correos electrónicos fraudulentos, haciéndose pasar por una empresa o persona lícita, en el que se pide realizar diferentes acciones que pueden ejecutar malware en la empresa, como por ejemplo: clicar a un enlace malicioso, descargar un archivo infectado con malware, compartir contraseñas o datos bancarios, etc.

• Ataques de fuerza bruta. Otra forma de obtener las claves de acceso a un sistema de forma fraudulenta, son los ataques de fuerza bruta. Los ciberdelincuentes prueban con miles de posibles combinaciones hasta que dan con la contraseña que les da acceso a los sistemas de la empresa a la que quieren atacar.
  
  
• Exploit kits. En este caso, los ciberdelincuentes acceden a los sistemas a través de vulnerabilidades conocidas en el software o sistema operativo de la empresa. Es por eso que es imprescindible actualizar el software de los equipos con los que se trabaja para evitar este tipo de ciberataques.

2. Ejecución del payload

Una vez el malware ha entrado en el sistema, se activa un payload que inicia el ataque. Un payload es la parte de un programa malicioso o ataque que ejecuta la acción dañina o el objetivo principal del ataque. Los pasos incluyen:

• Evasión de detección: El ransomware puede deshabilitar herramientas antivirus o emplear técnicas de ofuscación (como empaquetadores o cifrado del propio código).
  
  
• Persistencia: Se crean entradas en el registro del sistema o servicios para garantizar que el ransomware sobreviva a los reinicios del sistema.

3. Enumeración y lateralización

Antes de cifrar los datos de la empresa, el ransomware analiza el sistema y/o red para identificar los datos que son relevantes cifrar. El malware también procede a acumular credenciales y claves de acceso almacenadas en los sistemas atacados.

Por último, el malware se propaga lateralmente a otros sistemas en la red mediante protocolos SMB (Server Message Block).

4. Cifrado y exfiltración de datos

Una de las características principales de un ataque de ransomware es que, una vez el ciberdelincuente ya ha desplegado el malware por todo el sistema o red, los usuarios que normalmente utilizan esa información no pueden acceder a ella. 

En ataques modernos, además de cifrar los datos, los atacantes realizan una doble extorsión:

• Exfiltran información confidencial antes de cifrar los archivos.
• Amenazan con publicar los datos robados si no se paga el rescate que piden a cambio.

5. Nota de rescate y comunicación

Cuando el malware ya ha hecho su efecto y ha imposibilitado el acceso a los datos por parte de los usuarios del sistema o red infectado, aparece una nota con instrucciones para la víctima, que incluyen:

• Monto del rescate.
  
  
• Dirección del monedero de criptomonedas (en la mayoría de ocasiones).

Según el informe “El estado del ransomware 2024” de Sophos, de todas las empresas encuestadas, cerca del 60% pagaron el rescate, con una suma por rescate media de 3.960.917 USD, más del doble que la cifra media de 2023.

Los ataques de ransomware representan una de las amenazas más dañinas para las empresas que los sufren, suponen un grave perjuicio tanto económico como reputacional.