Las 5 fases del ataque ransomware
Para elegir una buena solución antiransomware hay que comprender primero el problema. Por eso te contamos cuáles son las cinco fases en un ataque de ransomware. Comprender cada una de ellas, reconociendo sus indicadores, puede incrementar tus posibilidades de defenderte eficazmente de un ataque, o al menos mitigar sus efectos. No olvides que estos ataques se desarrollan muy rápido (unos 15 minutos desde la infección hasta la recepción del mensaje reclamando un ‘rescate’ de tus datos. De ahí la importancia de un sistema de protección que actúe en tiempo real, como Mitra Antiransomware.
Fase_Ransomware
Explotación e infección (T -00.00)
Para que el ataque surta efecto, el archivo de ransomware necesita ejecutarse en un ordenador. Muchas veces ocurre por un email con suplantación de identidad o un código malicioso Exploit Kit.
Envío y ejecución (T -00.05)
Durante esta fase, los archivos ejecutables reales de ransomware se envían al sistema de la víctima. Tras la ejecución, se implementarán mecanismos de persistencia.
Expolio de las copias de seguridad (T -00.10)
Poco después, el ransomware ataca los archivos y carpetas con copias de seguridad en el sistema de la víctima y los elimina para evitar que se restablezcan desde las copias de seguridad. Esto es algo único del ransomware: otros software fraudulentos no eliminan los archivos de seguridad.
Encriptación de archivos (T -02:00)
Una vez que se eliminan las copias de seguridad, el malware realiza un intercambio de claves seguro con el servidor de comando y control (C2). Ello establecerá las claves de encriptación que se utilizarán en el sistema local.
Notificación de usuario y limpieza (T -15.00)
Con los archivos de copia de seguridad eliminados y el trabajo de encriptación realizado, el usuario recibe las instrucciones para recuperar su información, que pasan por la extorsión para llevar a cabo un pago, normalmente en bitcoin. Lo habitual es dar unos días para hacerlo y, tras el plazo, el rescate aumentará.