Los ataques de ransomware son un problema importante para las organizaciones en todas partes, y la gravedad de este problema continúa intensificándose.
Recientemente, el equipo de Respuesta a Incidentes de Microsoft investigó los ataques de ransomware BlackByte 2.0 y expuso la velocidad aterradora y la naturaleza dañina de estos ataques cibernéticos.
Los hallazgos indican que los piratas informáticos pueden completar todo el proceso de ataque, desde obtener acceso inicial hasta causar daños significativos, en solo cinco días. No pierden el tiempo infiltrándose en los sistemas, cifrando datos importantes y exigiendo un rescate para liberarlos.
Este cronograma acortado plantea un desafío significativo para las organizaciones que intentan protegerse contra estas operaciones dañinas.
El ransomware BlackByte se usa en la etapa final del ataque, utilizando una clave numérica de 8 dígitos para cifrar los datos.
Para llevar a cabo estos ataques, los piratas utilizan una poderosa combinación de herramientas y técnicas. La investigación reveló que se aprovechan de los servidores de Microsoft Exchange sin parches, un enfoque que ha demostrado ser muy exitoso. Al explotar esta vulnerabilidad, obtienen acceso inicial a las redes de destino y preparan el escenario para sus actividades maliciosas.
El ransomware emplea además estrategias de evasión antivirus y de vaciado de procesos para garantizar el cifrado exitoso y eludir la detección.
Además, los shells web los equipan con acceso y control remotos, lo que les permite mantener una presencia dentro de los sistemas comprometidos.
El informe También destacó el despliegue de balizas Cobalt Strike, que facilitan las operaciones de mando y control. Estas herramientas sofisticadas brindan a los atacantes una amplia gama de habilidades, lo que dificulta que las organizaciones se defiendan de ellos.
🔐 Gestión de acceso privilegiado: aprenda a superar desafíos clave
Descubra diferentes enfoques para conquistar los desafíos de la administración de cuentas privilegiadas (PAM) y suba de nivel su estrategia de seguridad de acceso privilegiado.
Junto con estas tácticas, la investigación descubrió varias otras prácticas preocupantes que utilizan los ciberdelincuentes. Utilizan herramientas de «vivir de la tierra» para mezclarse con procesos legítimos y escapar de la detección.
El ransomware modifica las instantáneas de volumen en las máquinas infectadas para evitar la recuperación de datos a través de los puntos de restauración del sistema. Los atacantes también implementan puertas traseras especialmente diseñadas, lo que garantiza el acceso continuo de los atacantes incluso después del compromiso inicial.
El inquietante aumento de los ataques de ransomware requiere una acción inmediata de las organizaciones de todo el mundo. En respuesta a estos hallazgos, Microsoft ha proporcionado algunas recomendaciones prácticas.
Se insta principalmente a las organizaciones a implementar procedimientos sólidos de administración de parches, asegurándose de que apliquen oportunamente las actualizaciones de seguridad críticas. Habilitar la protección contra manipulaciones es otro paso esencial, ya que fortalece las soluciones de seguridad contra intentos maliciosos de deshabilitarlas o eludirlas.