1. Selección de una víctima
Hay 2 tipos de ataques:
Lanza el ataque a gran escala, normalmente a través de un correo electrónico de phishing a una lista de correo que contiene miles de direcciones de correo electrónico o la víctima visita el sitio web malicioso o comprometido y descarga el ejecutable infectado o una vulnerabilidad en su equipo. Por lo general, una organización insegura con usuarios no entrenados y software del lado del cliente sin revisión puede ser una víctima de un ataque de conducción de guerra.
En ataques dirigidos, el atacante selecciona un conjunto de objetivos. Recientemente, nos encontramos con un ataque de este tipo. Cuando los atacantes se dieron cuenta de que los productos de McAfee se están utilizando ampliamente en la empresa, enviaron un correo electrónico de phishing para que un empleado entrara en una sesión de chat utilizando un conocido proveedor de acceso de soporte remoto. Una vez que la víctima es atraída a la sesión de chat, el hacker instala el malware / ransomware en el servidor AV (Anti-Virus), neutralizando así una defensa crítica. A continuación, utilizando el servidor ePO de McAfee como máquina de ensayo, encripte cada recurso accesible de la organización.
2. Cómo obtener la carga útil en el ordenador de la víctima
Hay muchas maneras de soltar un ransomware, y un ataque de correo electrónico de phishing es el más popular. Por ejemplo, en la notificación de infracción de tráfico de la figura 6, tanto los enlaces FACTURA como VIEW CAMERA IMAGES le redirigen al sitio web del atacante para descargar e instalar el paquete de ransomware.
Figura 3 Anatonía del ataque de Ransomware. Fuente: SANS Institute: InfoSec Reading Room – Enterprise Survival Guide for Ransomware Attacks
3. Contactar con Command and Control
El primer paso después de la instalación de ransomware es ponerse en contacto con el servidor de comando y control (C & C) para obtener más instrucciones o clave de cifrado. La mayoría del software antivirus bloquea el malware evitando su ejecución en primera instancia si tiene una firma de detección conocida. AV, IPS (Intrusion Prevent System) y Firewalls mantienen una lista de proxies maliciosos y direcciones IP C & C y así detectan la presencia de malware cuando un programa malicioso intenta comunicarse. Este método no es muy eficiente ya que no es posible construir una lista completa de todos los destinos maliciosos. Además, el servidor C & C puede haber sido eliminado por la policía, y el malware puede quedar como «huérfano». Así, en lugar de usar un servidor C & C estático, los hackers han comenzado a utilizar una técnica de Algoritmo de Generación de Dominio Dinámico. La última variante de cryptolocker genera una lista de 1200 dominios e intenta conectarlos hasta que se ha realizado una conexión satisfactoria. Este proceso se repite si los C & C conectados se han desconectado. De esta manera, una computadora comprometida puede estar bajo el control de numerosos servidores C & C. Este sistema interconectado de servidores C & C y computadoras comprometidas (bots) se conoce como una botnet.
4. Descargar las claves públicas
Un atacante puede decidir usar el sistema infectado como una plataforma de lanzamiento de ransomware para propagar la infección a través de la red. Una vez que el atacante está satisfecho con el número de infecciones en una organización en particular, las claves públicas se entregan a todos los bots.
Fuente: SANS Institute: InfoSec Reading Room – Enterprise Survival Guide for Ransomware Attacks Kaspersky Labs: Desarrollo de las amenazas informáticas en el tercer trimestre de 2016. Estadística