Cómo funciona el ransomware y por qué …



En las últimas semanas, Emotet se ha convertido en la forma más común de ransomware. Gestionar el riesgo implica empezar por entender cómo funciona.

El ransomware se ha convertido en la principal amenaza para organizaciones de todas las formas y tamaños. De acuerdo a «El estado del ransomware 2020Según un informe de la firma de ciberseguridad Sophos, el 51% de las organizaciones se han visto afectadas por ataques de ransomware durante el último año, y el costo promedio para remediar un ataque ha alcanzado los 761,106 dólares a nivel mundial.

Si bien existen numerosos tipos de ransomware, una de las versiones más prominentes y peligrosas es Emotet. Emotet es un «componente clave» en las campañas de ransomware, señaló la firma de seguridad Mimecast en su 2020 «Informe de inteligencia de amenazas. «Y, según Proofpoint, el países objetivo más comunes incluyen Alemania, Austria, Suiza, Estados Unidos, Reino Unido y Canadá.

¿Qué es Emotet?
Emotet es un troyano disponible a través de malware como servicio (MaaS) modelo. Esto significa que los ciberdelincuentes pueden descargar un paquete, a menudo por unos pocos cientos de dólares o una tarifa de suscripción mensual, y atacar directamente a empresas e individuos.

La carga útil inicial, que generalmente se envía por correo electrónico, documentos infectados o sitios internet, libera un script, macro o código que funciona como un gusano que infecta varios sistemas y aplicaciones de application, como una libreta de direcciones de Outlook o una nube. contenedor basado.

«En muchos casos, Emotet permanece inactivo durante 30 a 45 días antes de lanzar un ataque de ransomware», señala Keith Mularski, director gerente de la práctica de ciberseguridad de la consultora EY.

Emotet es muy eficaz porque descarga continuamente componentes de malware a medida que avanza por los sistemas, dice Mularski. Muchas herramientas de seguridad convencionales, como los firewalls, no son efectivas porque Emotet crea canales encriptados que las defensas de la crimson no pueden detectar.

Luego, una vez que Emotet ha capturado y cifrado los archivos, los ladrones cibernéticos exigen un rescate, a menudo pagado a través de una moneda cibernética imposible de rastrear, como Bitcoin. Sorprendentemente, «los ciberdelincuentes operan Emotet de manera muy related a una empresa, incluida la oferta de soporte al cliente», dice John Shier, asesor senior de seguridad de Sophos.

¿Qué aspecto tiene un ataque?
Normalmente, una infección se generate cuando alguien hace clic en un enlace de un correo electrónico, a menudo mediante un ataque de phishing. Esto dirige al usuario a un sitio o servicio que descarga el «cuentagotas» inicial. Una vez que esta macro o código reside en una computadora, comienza a buscar otras computadoras conectadas y se propaga, distribuyendo aún más el malware. Con frecuencia, utiliza Microsoft Outlook para generar correos electrónicos.

A medida que Emotet infecta los sistemas, realiza ataques de fuerza bruta en las cuentas, buscando descifrar contraseñas y obtener acceso a datos seguros, señala Shier. En algún momento, captura y cifra estos archivos. Una vez que los ciberdelincuentes retienen los datos cifrados, y el negocio está bloqueado, exigen un rescate. El precio puede variar desde unos pocos miles de dólares hasta millones de dólares. Según el informe de Sophos, el 94% de las organizaciones finalmente recuperan el management de sus datos, pero a un costo promedio de $ 732,520 por incidente.

¿Por qué Emotet es tan eficaz?
Emotet existe en varias versiones diferentes e incorpora un diseño modular. Esto hace que sea más difícil de identificar y bloquear. Utiliza técnicas de ingeniería social para acceder a los sistemas y es bueno para evitar la detección. Además, las campañas de Emotet están en constante evolución. Algunas versiones roban credenciales bancarias y datos empresariales altamente sensibles, que los ciberdelincuentes pueden amenazar con divulgar públicamente.

«Esto puede servir como palanca adicional para pagar el rescate», explica Shier.

Un correo electrónico inicial puede parecer que se originó en una fuente confiable, como un gerente o un alto ejecutivo de la compañía, o puede ofrecer un enlace a lo que parece ser un sitio o servicio legítimo. Por lo standard, se basa en técnicas de compresión de archivos, como ZIP, que propagan la infección a través de varios formatos de archivo, incluidos .doc, docx y .exe. Esto oculta el nombre true del archivo a medida que se mueve dentro de una pink.

Estos documentos pueden contener frases como «detalles de pago» o «actualice su archivo de recursos humanos» para engañar a los destinatarios para que activen cargas útiles. Algunos mensajes han girado recientemente en torno a COVID-19. A menudo provienen de una dirección de correo electrónico legítima dentro de la empresa, y pueden incluir archivos tanto benignos como infectados. Además, Emotet puede detectar el entorno en el que se está ejecutando. Por ejemplo, sabe cuándo reside dentro de una máquina virtual (VM) y permanece inactivo para evitar la detección de los escáneres de malware.

Emotet utiliza servidores de comando y command (C2) para recibir actualizaciones de forma subrepticia. Esto permite a los atacantes actualizar el código de malware y plantar otros troyanos. También es posible limpiar una computadora pero luego hacer que vuelva a aparecer el malware.

¿Cómo puedes combatir Emotet?
Hay varias formas de reducir el riesgo de una infección y los problemas resultantes que causa Emotet, dice Shier. Primero, es aconsejable implementar application de seguridad que identifique y bloquee los correos electrónicos potencialmente peligrosos. También es elementary proteger todos los dispositivos administrados y no administrados que se conectan a la red. Otras protecciones incluyen contraseñas sólidas y autenticación multifactor, parches consistentes y el uso de software package de inteligencia de amenazas. Finalmente, los empleados deben aprender a detectar correos electrónicos sospechosos.

Desafortunadamente, el ransomware y Emotet no van a desaparecer pronto. En las últimas semanas, se ha convertido en el forma más común de ransomware. Mularski dice: «Los ataques se están volviendo más sofisticados. Representan un riesgo muy real para todas las empresas».

Samuel Greengard escribe sobre negocios, tecnología y ciberseguridad para numerosas revistas y sitios web. Es autor de los libros «Web de las cosas» y «Realidad virtual» (MIT Press). Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original