El ransomware es un software malintencionado diseñado para bloquear el acceso a un sistema informático o cifrar datos hasta que se pague un rescate. Este ciberataque es una de las amenazas más frecuentes y dañinas del panorama digital, y afecta a personas, empresas e infraestructuras críticas en todo el mundo.

Un ataque de ransomware suele comenzar cuando el malware se infiltra en un sistema a través de varios vectores, como correos electrónicos de suplantación de identidad, descargas maliciosas o explotación de vulnerabilidades de software. Una vez activado, el malware cifra los archivos mediante algoritmos criptográficos potentes, lo que los hace inaccesibles para el propietario legítimo. Luego, los atacantes exigen el pago, generalmente en criptomonedas como Bitcoin, a cambio de la clave de descifrado.

Las variantes modernas del ransomware han evolucionado más allá del simple cifrado de archivos. Algunos emplean tácticas de doble extorsión, en las que los atacantes cifran los datos, extraen información confidencial y amenazan con publicarla públicamente si no pagan el rescate. Esto ejerce presión sobre las víctimas, especialmente sobre las organizaciones que manejan datos confidenciales de clientes o información empresarial exclusiva.

Desarrollo y propagación del ransomware

Comprender la creación y distribución del ransomware es esencial para desarrollar estrategias de defensa eficaces. El ciclo de vida del ransomware implica procesos de desarrollo sofisticados y diversos métodos de propagación que aprovechan las vulnerabilidades técnicas y el comportamiento humano.

Desarrollo de ransomware

El ransomware suele ser desarrollado por organizaciones cibercriminales o por actores de amenazas individuales con experiencia en programación. El proceso de creación implica:

  • Codificación de malware: Los desarrolladores escriben código malicioso utilizando varios lenguajes de programación, que incorporan algoritmos de cifrado y protocolos de comunicación de comando y control.
  • Ransomware como servicio (RaaS): Algunos grupos delictivos utilizan modelos basados en suscripciones que proporcionan herramientas de ransomware a los afiliados a cambio de un porcentaje del pago de un rescate.
  • Personalización y pruebas: Los atacantes prueban su malware comparándolo con soluciones de seguridad para asegurarse de que puede eludir la detección.

Métodos de propagación

El ransomware se propaga a través de múltiples vectores de ataque:

  • Correos electrónicos fraudulentos: Los archivos adjuntos o enlaces malintencionados que parecen legítimos engañan a los usuarios para que descarguen ransomware.
  • Kits de exploits: Herramientas automatizadas que buscan y explotan las vulnerabilidades conocidas en las aplicaciones y los sistemas operativos.
  • Ataques de protocolo de escritorio remoto (RDP): Los atacantes obtienen acceso no autorizado a través de credenciales RDP débiles o comprometidas.
  • Descargas y sitios web maliciosos: Las descargas de sitios web comprometidos o maliciosos instalan ransomware con o sin el conocimiento del usuario.
  • Ataques a la cadena de suministro: Los proveedores de software o servicios confiables comprometidos pueden distribuir ransomware a los clientes.
  • Medios extraíbles: Las unidades USB y los dispositivos de almacenamiento externo infectados pueden propagar el ransomware cuando se conectan a sistemas informáticos.

Efectos de un ataque de ransomware

El impacto del ransomware va mucho más allá del cifrado inmediato de los archivos. Las organizaciones y las personas afectadas por el ransomware sufren múltiples consecuencias que pueden tener repercusiones duraderas en las operaciones, las finanzas y la reputación.

Consecuencias financieras

Los ataques de ransomware causan daños financieros más allá del cifrado de archivos. Es posible que las víctimas se enfrenten a demandas de rescate que oscilan entre cientos y millones de dólares, sin garantía de recuperación de los datos, incluso después del pago. La respuesta a los incidentes, las investigaciones forenses, la restauración del sistema y las mejoras de seguridad generan gastos adicionales, mientras que el incumplimiento de la normativa puede conllevar importantes multas y sanciones legales en caso de violación de datos.

Consecuencias operativas

Los ataques de ransomware provocan importantes interrupciones operativas al impedir el acceso a recursos vitales. Los datos empresariales críticos, la información de los clientes y la propiedad intelectual pueden perderse o quedar en peligro, y los servicios esenciales dejan de estar disponibles, lo que afecta a los clientes, los socios y los flujos de trabajo internos. El tiempo de inactividad operativo resultante suele superar el costo del rescate, ya que las empresas pueden experimentar interrupciones en sus operaciones durante semanas o meses.

Daño reputacional

Los incidentes de ransomware suelen provocar daños duraderos en la reputación, ya que las filtraciones de datos erosionan la confianza de los clientes y la confianza en la capacidad de la organización para proteger la información confidencial. La divulgación pública de este tipo de ataques puede debilitar la posición en el mercado, dañar las relaciones comerciales y crear una desventaja competitiva.

Prevención de los ataques de ransomware

La prevención de los ataques de ransomware requiere una estrategia de defensa de varios niveles que combine controles técnicos, políticas organizativas y conciencia de los usuarios. Comprender e implementar estas medidas de protección reduce el riesgo de infecciones de ransomware exitosas.

Defensas técnicas

  • Administración de eventos e información de seguridad (SIEM) y detección y respuesta ampliadas (XDR): Implemente un monitoreo continuo para detectar y responder a actividades sospechosas y comportamientos anómalos.
  • Supervisión de la integridad de los archivos: Realice un seguimiento de los cambios en los archivos, las carpetas y las configuraciones del sistema. Esto le ayuda a identificar el comportamiento del malware en su entorno.
  • Análisis del tráfico de red: Supervise los patrones inusuales de filtración de datos o las comunicaciones de comando y control.
  • Copias de seguridad periódicas: Para garantizar la recuperación sin rescate, mantenga copias de seguridad frecuentes y automatizadas de los datos críticos almacenados sin conexión o en un almacenamiento inmutable.
  • Administración de parches: Mantenga los sistemas operativos, las aplicaciones y el firmware actualizados para corregir las vulnerabilidades conocidas que aprovecha el ransomware.
  • Segmentación de red: Aísle los sistemas críticos y limite las oportunidades de movimiento lateral de los atacantes.
  • Filtrado de correo electrónico: Implemente soluciones sólidas de seguridad de correo electrónico para bloquear los intentos de suplantación de identidad y los archivos adjuntos malintencionados.
  • Controles de acceso: Haga cumplir el principio de privilegios mínimos e implemente mecanismos de autenticación sólidos, incluida la autenticación multifactor.
  • Lista blanca de aplicaciones: Permita que solo las aplicaciones aprobadas se ejecuten en su entorno, lo que evita que se ejecute malware no autorizado.

Prácticas organizacionales

  • Formación sobre concienciación en materia de seguridad: Educa a los empleados sobre las tácticas de suplantación de identidad, la ingeniería social y las prácticas informáticas seguras.
  • Planificación de respuesta a incidentes: Desarrolle y pruebe periódicamente procedimientos integrales de respuesta a incidentes para escenarios de ransomware.
  • Auditorías de seguridad: Realice evaluaciones de vulnerabilidad y pruebas de penetración periódicas para identificar las debilidades de seguridad.
  • Gestión de riesgos de proveedores: Evalúe y supervise la postura de seguridad de los proveedores de servicios externos.

Qué ofrece Wazuh para la protección contra el ransomware

Wazuh es una plataforma de seguridad gratuita y de código abierto que proporciona capacidades integrales para detectar, prevenir y responder a las amenazas de ransomware. Es una plataforma unificada de XDR (detección y respuesta ampliadas) y SIEM (gestión de eventos e información de seguridad). Wazuh ayuda a las organizaciones a desarrollar su resiliencia contra los ataques de ransomware mediante sus capacidades listas para usar y su integración con otras plataformas de seguridad.

Detección y prevención de amenazas

Wazuh emplea varios mecanismos de detección para identificar las actividades de ransomware. Estos incluyen:

  • Detección de malware: Wazuh se integra con fuentes de inteligencia de amenazas y utiliza métodos de detección basados en firmas y anomalías para identificar las variantes de ransomware conocidas.
  • Detección de vulnerabilidades: Esta función de Wazuh analiza los sistemas en busca de vulnerabilidades conocidas que el ransomware suele aprovechar, lo que permite aplicar parches proactivos y reducir la probabilidad de que se produzca un ataque exitoso.
  • Análisis de datos de registro: Esta función de Wazuh analiza los eventos de seguridad recopilados en los puntos finales de los usuarios, los servidores, las cargas de trabajo en la nube y los dispositivos de red para detectar indicadores de ransomware.
  • Supervisión de la configuración de seguridad (SCA): La SCA de Wazuh evalúa las configuraciones del sistema comparándolas con las mejores prácticas de seguridad y los marcos de cumplimiento.
  • Supervisión de la integridad de los archivos (FIM): Esta función de Wazuh monitorea los archivos y directorios críticos y detecta modificaciones no autorizadas que pueden indicar una actividad de cifrado de ransomware.
  • Supervisión del cumplimiento normativo: Esta capacidad de Wazuh ayuda a las organizaciones a mantener los estándares de seguridad y los requisitos de cumplimiento normativo que disuaden los ataques de ransomware.

Capacidades de respuesta a incidentes

  • Respuesta activa: La función Active Response de Wazuh ejecuta automáticamente acciones predefinidas cuando se detectan amenazas, como aislar los sistemas infectados, bloquear los procesos maliciosos o poner en cuarentena los archivos.
  • Integración con soluciones externas: Wazuh se integra con otras herramientas y plataformas de seguridad para mejorar la postura de seguridad de las organizaciones.

Casos de uso

En las siguientes secciones se muestran algunos casos de uso de la detección y la respuesta de Wazuh al ransomware.

Detección y respuesta al ransomware DOGE Big Balls con Wazuh

El ransomware DOGE Big Balls, una versión modificada del ransomware FOG, combina exploits técnicos con manipulación psicológica dirigida a entornos empresariales. Esta variante de malware entrega su carga útil a través de campañas de suplantación de identidad o vulnerabilidades sin corregir. A continuación, realiza el escalamiento de privilegios, el reconocimiento, el cifrado de archivos y la creación de notas en el terminal de la víctima.

Detección

Wazuh detecta el ransomware DOGE Big Balls utilizando reglas de detección de amenazas y una lista de bases de datos personalizadas (CBD) de Wazuh para que coincidan con su patrón específico.

  • Lista de CBD que contiene los comandos de reconocimiento de DOGE Big Balls. 
estación de trabajo net config:
información del sistema:
nombre de host:
usuarios de red:
ipconfig /all:
impresión de ruta:
carp -A:
netstat -ano:
netsh firewall muestra el estado:
netsh firewall muestra la configuración:
schtasks /query /to LIST /v:
lista de tareas /SVC:
inicio neto:
CONSULTA DE CONTROLADOR:
  • Reglas de detección de amenazas 
<group name="doge_big_ball,ransomware,">

 <rule id="100020" level="10">
 <if_sid>61613</if_sid>
 <field name="win.eventdata.image" type="pcre2">(? i) [C-Z] :.*\\\\ .*.exe</field>
 <field name="win.eventdata.targetFilename" type="pcre2">(? i) [C-Z] :.*. \\\\ DbgLog.sys</field>
 Se <description>creó un archivo de registro $ (win.eventData.TargetFileName) para registrar el resultado de las actividades de reconocimiento del ransomware Big Balls de DOGE. </description>Se detectó una actividad sospechosa.
 <mitre>
 <id>T1486</id></mitre> </rule>

 <rule id="100021" level="8" timeframe="300" frequency="2"> 
 <if_sid>61603</if_sid> 
 <list field="win.eventdata.commandLine" lookup="match_key">etc/lists/doge-big-balls-ransomware</list> 
 El comando $ (<description>win.eventData.CommandLine) se ejecuta para las actividades de reconocimiento. Se detectó</description> una actividad sospechosa. 
 <options>no_full_log</options></rule>

<!-- Ransom note file creation -->
 <rule id="100022" level="15" timeframe="300" frequency="2">
 <if_sid>61613</if_sid>
 <field name="win.eventdata.image" type="pcre2">(? i) [C-Z] :.*\\\\ .*.exe</field>
 <field name="win.eventdata.targetFilename" type="pcre2">(? i) [C-Z] :.*. \\\\ readme.txt</field>
 La <description>nota de rescate de DOGE Big Balls $ (win.eventData.TargetFileName) se ha creado en varios directorios. Se ha detectado un posible ransomware DOGE Big Balls</description>.
 <mitre>
 <id>T1486</id></mitre> </rule>

 
 <rule id="100023" level="15" timeframe="300" frequency="2" ignore="100">
 <if_matched_sid>100020</if_matched_sid>
 <if_sid>100021</if_sid>
 <description>Se detectó un posible ransomware DOGE Big Balls.</description>
 <mitre>
 <id>T1486</id></mitre> </rule> </group>

Estas reglas marcan la ejecución de comandos de reconocimiento conocidos y detectan cuándo aparecen varias notas de rescate en los directorios. Se trata de IOC de ransomware Big Balls de DOGE que indican el cifrado de archivos y otras actividades de ransomware.

Respuesta automatizada

Wazuh permite la detección y eliminación del ransomware mediante su capacidad de supervisión de la integridad de los archivos (FIM) y su integración con YARA. En este caso de uso, Wazuh monitoriza el directorio de descargas en tiempo real. Cuando aparece un archivo nuevo o modificado, se activa la capacidad de respuesta activa para ejecutar un escaneo de YARA. Si un archivo coincide con las firmas conocidas del ransomware YARA, como DOGE Big Balls, el script de respuesta activa personalizado lo elimina automáticamente y registra la acción. Los decodificadores y reglas personalizados del servidor Wazuh analizan esos registros para generar alertas que muestran si el archivo se ha detectado y eliminado correctamente.

Detección del ransomware Gunra con Wazuh

El Gunra ransomware suele ser utilizado por ciberdelincuentes privados para extorsionar a sus víctimas. Utiliza un modelo de doble extorsión que cifra los archivos y filtra los datos para su publicación en caso de que la víctima no pague el rescate. El ransomware Gunra se propaga por los sistemas Windows cifrando archivos, añadiendo la extensión.ENCRT y dejando notas de rescate denominadas R3ADM3.txt. Elimina las instantáneas, desactiva los servicios de copia de seguridad y antivirus para bloquear la recuperación y utiliza las redes Tor para ocultar a sus operadores. Estas acciones dificultan la restauración de datos y ayudan a los atacantes a mantener el anonimato durante las negociaciones de rescate.

Detección

Las siguientes reglas de Wazuh alertan cuando aparecen notas de rescate denominadas R3ADM3.txt, cuando se manipulan componentes del sistema, como VSS o amsi.dll, o cuando se cargan módulos sospechosos, como urlmon.dll, debido a la actividad de la red. Las reglas también rastrean los intentos de eliminar instantáneas o deshabilitar las funciones de respaldo y administración, lo que indica el comportamiento típico de un ransomware que se prepara para cifrar archivos.

  • Reglas de detección de amenazas 
<group name="gunra,ransomware,">

 <!--Ransom note file creation-->
 <rule frequency="2" id="100601" ignore="100" level="15" timeframe="100">
 <if_sid>61613</if_sid>
 <field name="win.eventdata.Image" type="pcre2">[^ "] +\ .exe</field>
 <field name="win.eventdata.targetFilename" type="pcre2">[^ "] *R3ADM3\ .txt</field>
 <description>Se detectó una posible actividad de ransomware en Gunra: varias notas de rescate depositadas en $ (win.eventData.TargetFileName)</description>
 <mitre>
 <id>T1543,003</id>
 <id>T1486</id></mitre> </rule>

 <!--Antimalware Scan Interface Access Modification-->
 <rule id="100602" level="7">
 <if_sid>61609</if_sid>
 <field name="win.eventdata.Image" type="pcre2">C:\\\\ Windows\\\\ System32\\\\ VSSVC\ .exe</field>
 <field name="win.eventdata.ImageLoaded" type="pcre2">C:\\\\ Windows\\\\ System32\\\\ amsi\ .dll</field>
 <description>Se detectó una posible actividad de ransomware: Suspicious Volume Shadow Copy Service (VSS) cargó el archivo amsi.dll para intentar manipularlo y evadirlo.</description>
 <mitre>
 <id>T1562</id>
 <id>T1562.001</id></mitre> </rule>

 <rule id="100603" level="7">
 <if_sid>61609</if_sid>
 <field name="win.eventdata.Image" type="pcre2">(C:\\\\ Windows\\\ SystemApps\\\ Microsoft\ .Windows\ .AppRep\ .chxApp_cw5n1h2txyewy\\\\ ChxSmartscreen\ .exe)</field>
 <field name="win.eventdata.ImageLoaded" type="pcre2">C:\\\\ Windows\\\\ System32\\\\ urlmon\ .dll</field>
 <description>Se detectó una posible actividad de ransomware: se cargó el archivo Urlmon.dll, lo que indica un reconocimiento de la red.</description>
 <mitre>
 </mitre><id>T1562,001</id> </rule>

 <!--Volume Shadow copy Service (VSS) deletion-->
 <rule id="100604" level="7">
 <if_sid>60103</if_sid>
 <field name="win.eventdata.targetUserName" type="pcre2">Operadores de respaldo</field>
 <field name="win.eventdata.targetSid" type="pcre2">S-1-5-32-551</field>
 <field name="win.eventdata.callerProcessName" type="pcre2">C:\\\\ Windows\\\\ System32\\\\ VSSVC\ .exe</field>
 <description>Se detectó una posible actividad del ransomware Gunra: intentos de eliminación del Volume Shadow Copy Service (VSS), preparándose para deshabilitar las copias de seguridad.</description>
 <mitre>
 <id>T1562</id>
 <id>T1562.002</id></mitre> </rule>

 <rule id="100605" level="7">
 <if_sid>60103</if_sid>
 <field name="win.eventdata.targetUserName" type="pcre2">Administradores</field>
 <field name="win.eventdata.targetSid" type="pcre2">S-1-5-32-544</field>
 <field name="win.eventdata.callerProcessName" type="pcre2">C:\\\\ Windows\\\ System32\\\\ VSSVC\ .exe</field>
 <description>Se detectó una posible actividad de ransomware de Gunra: Volume Shadow Copy Service (VSS) elimina intentos encubiertos, con el objetivo de deshabilitar las cuentas de administrador locales</description>
 <mitre>
 <id>T1562</id>
 <id>T1562.002</id></mitre> </rule> </group>

Respuesta automatizada

Wazuh realiza respuestas automatizadas a las actividades de archivos maliciosos del ransomware Gunra utilizando su capacidad FIM y su integración con VirusTotal. En este caso práctico, el módulo de supervisión de la integridad de los archivos (FIM) de Wazuh monitoriza la carpeta de descargas en tiempo real y activa los análisis cada vez que se añaden o modifican archivos. Un ejecutable personalizado de respuesta activa elimina de forma segura cualquier archivo que VirusTotal marque como una amenaza.

Protección contra ransomware en Windows con Wazuh

Wazuh proporciona protección contra ransomware y recuperación de archivos en puntos finales de Windows supervisados utilizando su módulo de comandos y el Windows Volume Shadow Copy Service (VSS). Esta integración permite a los administradores tomar automáticamente instantáneas de los terminales monitoreados para recuperar los archivos a un estado anterior a que sean cifrados por el malware.

La siguiente imagen muestra las alertas de recuperación de archivos de Wazuh Active Response exitosas.

Conclusión

Los ataques de ransomware suponen un importante daño financiero, operativo y de reputación. Requieren defensas de varios niveles que combinen la detección temprana con la respuesta a los incidentes. Las organizaciones que invierten en estas prácticas están mejor equipadas para resistir este tipo de ataques y recuperarse de ellos.

Wazuh proporciona capacidades que permiten la detección temprana y la respuesta rápida para contener los ataques de ransomware. Ofrece funciones listas para usar para la detección de vulnerabilidades, la supervisión de la integridad de los archivos, el análisis de los datos de registro y las respuestas automatizadas para evitar la pérdida de datos y el tiempo de inactividad causados por el ransomware.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.