Noticias de actualidad

Diario de un ciberataque ransomware: fases y soluciones

Ver detalles

Diario de un ciberataque ransomware: fases y soluciones

RansomHub, LockBit, Darkside, APT41, Black Basta… No, no son los artistas más escuchados en Spotify, son los grupos más activos de ransomware. Y es que pasa el tiempo, surgen nuevas tecnologías, se ha escrito muchísimo sobre ella… pero esta ciberamenaza sigue siendo una pesadilla para todo tipo de empresas. El único camino para no caer en sus trampas es tener claro cómo funciona. Os resumimos lo que sería el diario de un ciberataque ransomware con sus fases y soluciones.

Pero, ¿Qué es el ransomware? Se trata de un malware que inutiliza equipos. Al infectarlos toma su control y lo secuestra de diferentes formas: roba y cifra los datos, bloquea la pantalla, impide accesos, etc. El objetivo es pedir un cuantioso rescate por reparar todos esos daños.

El ransomware es una amenaza compleja cuya protección es difícil de automatizar. Y lo es porque depende en un tanto por ciento muy alto de la concienciación de los usuarios de negocio para no abrirle la puerta, y además conlleva una alta sofisticación tecnológica que le permite ‘vivir’ en los sistemas corporativos de forma silenciosa, cifrando información poco a poco o esperando el momento oportuno para actuar inesperadamente.

Vamos a monitorizar cómo es un ataque ransomware.

Inicio de un ransomware: elección del objetivo y distribución de la infección

Los ciberdelincuentes, como cualquier ladrón, buscan los mejores botines. Pero en la actualidad, disparan a todos los sitios. Cualquier empresa es diana de sus acciones. Además de encomendarse a las vulnerabilidades de las infraestructuras poco actualizadas o con fallos de fábrica (Zero Day), a la hora de introducirse en una organización tienen en cuenta otros aspectos. Investigan quién es el propietario y administrador del sitio web que quieren atacar, si la administración está subcontratada, etc., para buscar sus brechas.

También estudian el componente humano con la intención de conseguir su confianza y expandir el malware a través de enlaces o emails que abran los usuarios. Muchas veces las RRSS son la vía para iniciar una relación que no levante sospechas y enviar esas trampas. Las prisas, buenas intenciones o simplemente la curiosidad bastan para caer en ellas. Ese clic es el inicio de la infección. Los ciberataques de Phishing son especialistas en conseguir credenciales de los empleados para propagar con más determinación el malware.

Al mimetizarse con el resto del tráfico de los sistemas, esta ciberamenaza se esconde eficazmente hasta que se determine su ejecución. Estos movimientos sigilosos pueden confundir a los softwares de detección de ciberataques al no percibir incidentes sospechosos o que se abran nuevos puertos.

Proceso de un ransomware: exploración y exfiltración/cifrado

Una vez infiltrado, el malware suele comunicarse con un servidor externo denominado de comando y control para gestionar su estrategia: enviar claves de cifrado, lanzar más malware complementario, ejecutar sondeos de la red, etc. Si puede, profundiza más en los sistemas de TI para hacer más daño. Cuando los ciberdelincuentes han accedido a credenciales de usuarios o administradores, inician lo que se llama ‘movimiento lateral’. Esto les permite ir de un recurso a otro de forma silenciosa. La IA incluso facilita esta fase ahora, con ella ya no se tiene que utilizar un servidor de control externo.

En los entornos en la nube, el malware puede distribuirse por numerosos sistemas, hasta llegar al hipervisor, desatendido por muchas herramientas de seguridad. También es posible que alcance a controlar las propias soluciones de seguridad.

Localizados los objetivos que más daño pueden hacer, la siguiente fase es la exfiltración de los datos y su cifrado. En este momento es cuando los programas de seguridad suelen detectar que pasa algo, pero a veces demasiado tarde. Si la operación termina con éxito, es el momento de contactar con la víctima y ofrecerla claves de descifrado o los datos retenidos a cambio de dinero. Lamentablemente, en muchas ocasiones es al recibir la notificación de la infección, la cantidad solicitada y las instrucciones de pago cuando las víctimas toman conciencia de que han sido atacadas.

Soluciones para combatir ransomware

El último informe de Sophos ‘El Estado del Ransomware’ apuntaba que las causas técnicas más comunes de los ataques había sido: la explotación de vulnerabilidades (30%), las credenciales comprometidas (21%) y los emails maliciosos (17%). Las causas operativas fueron las brechas de seguridad conocidas (42%), la falta de personal (41%) y de experiencia (39%), así como las brechas de seguridad desconocidas (39%). En el 47% de los ataques se cifraron los datos; y en el 36% de estos además se robaron.

El despliegue de soluciones de ciberseguridad de detección, protección y respuesta es clave para evitar los costes de un ataque ransomware. Apunta algunas acciones clave en un plan de ciberseguridad:

    • Automatizar la gestión de parches. Las vulnerabilidades sin parchear de los sistemas son un coladero para los ciberataques ransomware. Existen herramientas que corrigen todos los fallos de seguridad de forma automática. Ya no es necesario ir recurso por recurso.
    • Desplegar sistemas antimalware y antivirus avanzados. Vinculados con dispositivos y aplicaciones de email, paran la comunicación con dominios sospechosos e impiden la instalación de activos infectados. La tecnología EDR identifica eventos que los antivirus tradicionales pasan por alto, incorporando monitorización e IA para detectar amenazas avanzadas. El uso de plataformas XDR permite centralizar en un único punto todo el entorno securizado local y en la nube.
    • Impulsar la detección de anomalías basada en IA. Los softwares de análisis de comportamiento del usuario analizan la red en tiempo real para identificar cualquier evento sospechoso. Si se detecta una intrusión ransomware es posible poner en cuarentena los activos infectados para evitar su propagación.
    • Llevar a cabo la segmentación de la red. De esta manera se separan redes entre sí con reglas particulares para cada una, lo que impide el movimiento lateral de la infección que comentábamos anteriormente.
    • Formar a los usuarios. Concienciar a todos, desde el cuadro directivo a colaboradores, es clave ya que la mayoría del ransomware entra vía email camuflado en algún link o archivo adjunto.
    • Contar con un plan de continuidad de negocio. Tener una estrategia de backup y disaster recovery eficaz es la mejor defensa. Si somos víctimas de un ransomware, los archivos y sistemas atacados podrán recuperarse y restaurarse neutralizando el ciberataque.

 

Tenemos a tu disposición un equipo de profesionales especialistas en ciberseguridad que pueden adaptar todas estas medidas a las particularidades propias de tu negocio. ¡¡No lo pongas más en riesgo, contáctanos!!

Orbit Consulting Group es una empresa especializada en diseñar e implantar soluciones de arquitectura TI para pymes y empresas de Madrid, y el resto de España. Combina esta expertise con el diseño e implantación de soluciones de Negocio y Gestión (CRM/BPM-ERP) ágiles, sencillas y asequibles. Además, proporciona Soporte Informático y Servicios Gestionados TI.

CTA Horizontal-eBook ciberseguridad premium

Categorías

Etiquetas

5Gactualizar la infraestructura itadquirir un software ERPalmacenamientoalmacenamiento cloudalmacenamiento EMCalmacenamiento en cintaalmacenamiento NASalmacenamiento para Backupalmacenamiento SANalmacenamiento tialmacenamiento virtualizadoalmacenamiento y backupAppSecarquitectura itarquitectura tiarquitectura TI empresarialarquitectura TI hibridaarquitectura TI para Pymesarquitecturas convergentesarquitecturas TIataques ddosautomatización de procesosAzurebaasbaas draasbaas y draasbackupbackup en cloudBackup y Disaster RecoveryBackup y RecuperaciónBeneficios de los dispositivos hiperconvergentesBig DataBotnetsBPMBusiness Intelligencebusiness process managementBYODchatbotsciber amenazasciberamenazasciberataquesciberguridadciberseguridadciberseguridad corporativaCiscoCisco MerakiCitrixcloudcloud computingcloud privadacolaboraciónColaboración Empresarialcomo integrar un ERPcomprar un crm verticalcomputación en la nubeconsejos para la transformación digitalconsultor CRMconsultoríacontenedores Dockerscontinuidad de negocioControl de identidadesCopilotCPDCRMcrm horizontalcrm madridcrm para marketingCRM SaaSCRM Sagecrm verticalcrm y erpcual es el mejor programa crmCuándo actualizar un ERPdata centerdata center hiperconvergentedatacenterdeduplicaciónDefinición de políticas de seguridad:Dell EMC UnityDell TechnologiesDell Technologies Forumdesplegar entornos TIdesplegar infraestructuras TIdigitalización empresarialdisaster recoverydisaster recovery cloudDisaster Recovery Plandisponibilidad de aplicacionesdispositivos de hiperconvergenciaDLPDockerdraaseCommerceedge computingeFacturael mejor almacenamiento para Backupel mejor erpEMC Unityentorno cloudentorno de cloud híbridaentornos colaborativosentornos híbridosentornos itentornos tientornos ti seguroserpERP & CRMerp 200ERP Clouderp comercialerp crm saaserp madridERP para pymeserp programaERP Sageerp sage 200cERP Sage 200clouderp sage crmerp sage muranoerp y crmERPsescalabilidadescritorios virtualesestrategias de fidelización de clientesestrategias y servicios de gestión TIEventos SageExact SynergyExact Synergy BPMexperiencia de usuarioexperiencia del empleadofidelización de clientesfidelizar clientesGDPRGDPR en el CRMgestión almacenesgestión de clientesgestión de datosGestión de Procesosgestión de reclamacionesgestión erpgestión ERP & CRMgestión WiFi en la nubeGestor GDPR específicogobierno del datohelpdeskhiperconvergenciahyperflexIAIDSimplantar un erpimplementar crmimplementar crm madridimplementar erp madridimplementar sistema erp en madridimplementar software crmimplementar un ERPimplementar un erp en madridimplementar un sistema en erpinfraesctructura ITinfraestructura de escritorios virutalesinfraestructura empresarialinfraestructura hiperconvergenteinfraestructura itinfraestructura tiinfraestructuras hiperconvergentesintegraciónintegración crm y erpintegración erp y crmIntegrar un ERPInteligencia Artificialinternet de las cosasinternet of thingsIntregador TIIntrusion Detection Systemsiotiot en españaIPSIT as a ServiceITaaSKit DigitalKubernetesla mejor solución de seguridad endpointla solución Sage CRMla Virtualización de funciones de RedmalwaremamMarketing Socialmdmmejor programa CRMmejores software erpmensajería para empresasmensajería para entornos colaborativosMicrosoftMicrosoft 365microsoft exchangemicrosoft office 365Microsoft SQL ServerMicrosoft Teamsmigración Cloudmigrar a cloud computingmovilidadmovilidad empresamovilidad empresarialmovilidad itmovilidad timulticloudNaaSnetworkingNFVNoticiaNube HíbridaNube privadanube públicaNubes HíbridasNubes PúblicasOdoooffice 365optimizar redesoptimizar un data centerorbit consulting grouporbit groupOutsourcing de TIPAMplan de continuidad de negocioplan de movilidadplan de recuperacionplataforma bpmplataforma colaborativaplataforma colaborativa office 365plataforma ERPPlataformas cloud colaborativasPowerStorePrograma CRMprograma crm para pymesprograma de CRMPrograma ERPprograma erp madridprograma sage 200cprogramas CRMprogramas ERPprotección endpointPSD2Quién es QuiénRansomwareReconocimientored Wifiredesredes ITRedes SD-WANRedes SDNredes VPNrenovación de servidoresrenovar servidoresResponsabilidad Social CorporativaRGDPRGPDSageSage 100sage 200Sage 200 AdvancedSage 200 Distribuciónsage 200 erpsage 200csage 200c erpSage 200cloudSage 200cloud RGDPsage business cloudSage Control HorarioSage Copilotsage crmSage CRM Buildersage erpsage erp 200cSage Gestión y Finanzassage livesage madridSage Muranosage murano 200Sage Murano ERPSage Murano OnlineSage SIISage SII AvanzadaSASESATAsd-wanSDDCSDNSecurity Information and Event ManagementSegmentación de clientesseguridad corporativaseguridad corporativa TIseguridad integralseguridad itseguridad tiseguridad TI corporativaservicios BaaS y DRaaSservicios cloudservicios Cloud de almacenamiento y Backupservicios de mantenimiento ITservicios de movilidad ITservicios de seguridad tiservicios de soporte informáticoservicios gestionadosservicios gestionados de CPDSIEMSIISII Expresssistema CRMsistema erpsistema ERP para Pymes Sage Muranosistemas convergentesSistemas de Detección de IntrusosSistemas IPSsistemas SIEMSlow ModesoftwareSoftware CRMsoftware de gestionsoftware de gestion CRMsoftware de gestión de clientessoftware de gestión ERPSoftware defined networkSoftware ERPsoftware ERP comercialsoftware ERP para Pymessoftware sage 200cSofware Defined Networksolucion CRMSolucion ERPsolucion IAMsolucion MAMsolucion mdmsolución Orbitsoluciones de arquitectura itsoluciones de arquitectura tisoluciones de backup y recuperaciónsoluciones de ciberseguridadsoluciones de gestión de negociosoluciones de hiperconvergenciasoluciones de infraestructurasoluciones de infraestructura itsoluciones de mensajeria cloudsoluciones de movilidadsoluciones de movilidad ITsoluciones de movilidad TISoluciones de Negociosoluciones de negocio erp crmsoluciones de negocio pymes madridsoluciones de negocio TIsoluciones de respaldosoluciones de seguridadSoluciones de seguridad endpointsoluciones hiperconvergentesSophossoporteSoporte ERP y CRMSoporte para ERP y CRMsoporte TISostenibilidadSSDSTaaSstorageTeamstecnologia de virtualizaciontecnologías de la informaciónTeletrabajoTendencias TICtitipos de erpTrabajo Híbridotransformación digitaltrasformacion digitaluser experienceUXvce vxrailvdiVeeam Backupventajas crmVentajas de la hiperconvergenciaVentajas y beneficios de un CRM SaaSVeriFactuVideovirtualizacionvirtualización de escritoriosVirtualización de funciones de Redvirtualización de redesvirtualización de servidoresvirtualizar escritoriosvirtualizar escritorios y aplicacionesvirtuallizaciónwannacryWiFi corporativaWindows ServerworkplaceXenAppXenDesktop

Calle Alcañiz 23, Bajo B, 28042 Madrid

Linkedin-in Facebook X-twitter Youtube Map-marker-alt
Digitalización
Seguridad
Infraestructura
Legal

Copyright © 2026 ORBIT | Todos los derechos reservados