Los ataques de ransomware son un problema importante para las organizaciones en todas partes, y la gravedad de este problema continúa intensificándose. Recientemente, el equipo de Respuesta a Incidentes de Microsoft investigó los ataques de ransomware BlackByte 2.0 y expuso la velocidad aterradora y la naturaleza dañina de estos ciberataques.
Los hallazgos indican que los piratas informáticos pueden completar todo el proceso de ataque, desde obtener acceso inicial hasta causar un daño significativo, en solo cinco dÃas. No pierden tiempo en infiltrar sistemas, cifrar datos importantes y exigir un rescate para liberarlos.
Esta lÃnea de tiempo acortada plantea un desafÃo significativo para las organizaciones que intentan protegerse contra estas operaciones perjudiciales. El ransomware BlackByte se utiliza en la etapa final del ataque, utilizando una clave numérica de 8 dÃgitos para cifrar los datos.
Para llevar a cabo estos ataques, los hackers utilizan una combinación poderosa de herramientas y técnicas. La investigación reveló que aprovechan los servidores de Exchange de Microsoft no actualizados, un enfoque que ha demostrado ser muy exitoso. Al explotar esta vulnerabilidad, obtienen acceso inicial a las redes objetivo y preparan el escenario para sus actividades maliciosas.
El ransomware también utiliza técnicas de hueco de proceso y evasión de antivirus para garantizar el cifrado exitoso y eludir la detección.
Además, los web shells les proporcionan acceso y control remoto, lo que les permite mantener presencia dentro de los sistemas comprometidos.
El informe también resaltó el despliegue de balizas Cobalt Strike, las cuales facilitan las operaciones de comando y control. Estas herramientas sofisticadas brindan a los atacantes una amplia gama de habilidades, lo que dificulta aún más la defensa de las organizaciones contra ellos.
Junto a estas tácticas, la investigación descubrió varias prácticas preocupantes que utilizan los ciberdelincuentes. Utilizan herramientas de "living-off-the-land" para mezclarse con procesos legÃtimos y evitar ser detectados.
El ransomware modifica las copias de seguridad en sombra en las máquinas infectadas para evitar la recuperación de datos a través de puntos de restauración del sistema. Los atacantes también despliegan puertas traseras especialmente diseñadas, asegurando un acceso continuo para los atacantes incluso después de la compromisión inicial.
El alarmante aumento en los ataques de ransomware requiere una acción inmediata por parte de las organizaciones en todo el mundo. En respuesta a estos hallazgos, Microsoft ha proporcionado algunas recomendaciones prácticas. Se insta principalmente a las organizaciones a implementar procedimientos sólidos de gestión de parches, asegurándose de aplicar de manera oportuna las actualizaciones de seguridad crÃticas. Habilitar la protección contra manipulaciones es otro paso esencial, ya que fortalece las soluciones de seguridad contra intentos maliciosos de deshabilitarlas o evadirlas.
¿Quieres saber más?