Después de un ciberataque, es difícil reconstruir el curso del mismo. Un proveedor líder en ciberseguridad ha analizado los pasos que suele seguir un ataque de ransomware. Sobre esta base, las empresas pueden derivar medidas de seguridad para el futuro.
aDvens, una de las principales empresas independientes de ciberseguridad de Europa, utilizó datos de su Centro de Operaciones de Seguridad para analizar el flujo típico de un ciberataque (aparte de los ataques que no tienen motivación financiera, por ejemplo, el sabotaje) e identificó tres pasos diferentes:
1er paso del ataque: acceso inicial
En este paso, los atacantes obtienen acceso a la red de la empresa de forma discreta. Según aDvens, esto ocurre en el 80 por ciento de los casos a través de cuentas de usuario legítimas y autorizadas y en el 80 por ciento de estos casos a través de acceso externo de terceros proveedores o proveedores de servicios. Los ataques de ingeniería social como el phishing también son populares entre los ciberdelincuentes, al igual que el uso de vulnerabilidades disponibles públicamente. Aunque el impacto directo en la empresa en este momento es pequeño o nulo, esta etapa del ataque ya es peligrosa. Muchos atacantes también venden los datos de inicio de sesión robados en la Darknet, lo que puede dar lugar a más ataques.
Segundo paso de ataque: exploración
En el siguiente paso, los atacantes identifican datos potencialmente relevantes para sus objetivos (por ejemplo, datos de recursos humanos o contratos). Para ello, se mueven dentro del sistema utilizando cuentas de usuario comprometidas pero legítimas y herramientas de gestión que no despiertan sospechas. Aunque en ocasiones el espionaje puede interrumpir la conexión con componentes del sistema como el ERP o con las herramientas de autenticación, incluso en este punto el impacto en la empresa es mínimo o nulo.
Tercer paso del ataque: explotación
El impacto en la empresa es mayor en el último paso, porque normalmente es cuando se utiliza ransomware. Una vez que los atacantes han identificado los datos que les interesan, los roban y/o cifran para exigir un rescate por descifrarlos o no venderlos. Para hacer que el pago del rescate sea más probable, se utilizan herramientas que permiten a los atacantes obtener el control de la administración del sistema y eliminar cualquier copia de seguridad de datos existente; esto tiene como objetivo aumentar la presión sobre la empresa al ofrecer alternativas al pago del rescate. .
Más en aDvens.com
Acerca de los advenimientos
aDvens es una empresa europea independiente y líder en ciberseguridad. Desde su fundación en el año 2000, el nombre de la empresa ha sido su declaración de misión. aDvens significa "Juntos y adelante". Su misión es proteger a las organizaciones públicas y privadas de las ciberamenazas, las XNUMX horas del día. aDvens ofrece servicios gestionados de detección y respuesta (SOC-as-a-Service) y servicios de consultoría seleccionados en las áreas de ciberseguridad y seguridad OT.
Artículos relacionados con el tema