
El ataque de ransomware dirigido típico funciona del siguiente modo:
1. OBTIENE ACCESO
a. Correo electrónico de spam o phishing con archivos adjuntos maliciosos, o una descarga web o un documento que contiene exploits.
b. Funciones remotas de gestión/uso compartido de archivos como el RDP.
2. AUMENTA LOS PRIVILEGIOS HASTA LLEGAR A ADMINISTRADOR
Los atacantes explotan vulnerabilidades del sistema para obtener niveles de privilegios que les permitan eludir el software de seguridad. Para ello, pueden reiniciar y ejecutar el host comprometido en modo seguro.
3. INTENTA DESACTIVAR O ELUDIR EL SOFTWARE DE SEGURIDAD USANDO ARCHIVOS ALTAMENTE PERSONALIZADOS
De no conseguirlo, trata de infiltrarse en la consola de gestión de seguridad y desactivar los sistemas de seguridad.
4. DESPLIEGA LA CARGA
a. Usando un exploit automatizado
b. Reconocimiento manual de la red
Primero buscarán copias de seguridad almacenadas en la red local y las eliminarán, lo que hará mucho más difícil la recuperación e incrementará las probabilidades de que la víctima pague el rescate. Luego suelen exfiltrar datos confidenciales de la empresa para venderlos en la Web Oscura.
5. PROPAGA EL RANSOMWARE
Después los hackers cifrarán los datos y archivos de las empresas explotando vulnerabilidades de la red y el host o protocolos básicos de uso compartido de archivos para infiltrarse en otros sistemas de la red y propagar ransomware de cifrado de archivos.
6. DEJA UNA NOTA DE RESCATE QUE EXIGE UN PAGO POR DESCIFRAR LOS ARCHIVOS
7. ESPERA A QUE LA VÍCTIMA SE PONGA EN CONTACTO POR CORREO ELECTRÓNICO O MEDIANTE UN SITIO DE LA WEB OSCURA
Fuente: www.sophos.com- PRÁCTICAS RECOMENDADAS CON FIREWALLS PARA BLOQUEAR EL RANSOMWARE / PDF Agosto 2020.