¿Cómo funcionan los ataques de ransomware?
Un ataque típico de ransomware se produce en cuatro fases.
1. Entrega
La primera fase, la entrega, suele realizarse mediante un correo electrónico de phishing diseñado para atraer al usuario a abrirlo. El correo electrónico a menudo parece provenir de una fuente de confianza, como una marca conocida. Las empresas de transporte, los bancos y los grandes minoristas suelen ser "suplantados" en los correos electrónicos de phishing con mensajes sobre un retraso en la entrega, compras fraudulentas, saldo bajo, etc.
Estos correos electrónicos están diseñados para que parezcan proceder de remitentes conocidos, pero incluyen archivos maliciosos como PDF o enlaces de Google Drive. Estos archivos contienen cargadores de malware que, una vez abierto el archivo, colocan el contenido malicioso en el sistema de la víctima y configuran el ataque.
2. Explotación
En la siguiente fase, la explotación, el ataque se extiende una vez que el malware se ha cargado con éxito. Esta fase suele comenzar después de que el destinatario abre un archivo adjunto de correo electrónico que transmite el malware a un dispositivo.
Si el dispositivo infectado está en una red, el malware identifica el controlador de dominio con el que se está comunicando el dispositivo. Una vez identificado, roba las credenciales, lo que le permite moverse por la red e infectar otros dispositivos.
3. Devolución de llamada
La siguiente fase es la devolución de llamada, en la que la carga útil del malware intenta comunicarse con sus servidores de mando y control, a donde se envían los datos robados.
4. Detonación
Los servidores de mando y control envían a la carga útil instrucciones sobre cómo llevar a cabo la fase final: la detonación. Durante esta fase, el malware roba los datos e instala el ransomware, cifrando y bloqueando el sistema o los datos para que una persona o empresa no pueda acceder a ellos. Por lo general, la víctima tiene una cantidad limitada de tiempo para pagar el rescate antes de que los datos se pierdan para siempre. A veces, las demandas del rescate aumentan en las horas previas al vencimiento del pago.
Si se paga el rescate, se supone que las víctimas obtienen una clave de descifrado que les permite recuperar sus datos, pero no siempre obtienen dicha clave e, incluso cuando lo hacen, no siempre funciona.
En ataques recientes, algunos delincuentes han comenzado a robar los datos antes de cifrarlos y luego amenazan con exponerlos. De este modo, aunque las víctimas tengan buenas copias de seguridad, es más probable que paguen el rescate.