¿Cuál es el proceso de ataque del virus ransomware?
Cómo funciona el ransomware:
El ransomware es un malware que los piratas informáticos utilizan para secuestrar los dispositivos o archivos de los usuarios mediante el bloqueo de pantalla, el cifrado, etc., y lo utilizan para extorsionar a los usuarios. Los piratas informáticos aprovechan las vulnerabilidades del sistema o los métodos de phishing para colocar virus en las computadoras o servidores de las víctimas, cifrar archivos en el disco duro o incluso en todo el disco duro y luego exigir rescates de diferentes cantidades a la víctima antes de descifrarlos una vez que pague la cantidad exigida. el hacker, los archivos bloqueados no serán recuperables.
1. Métodos de ataque comunes contra usuarios individuales
Los usuarios navegan por la web para descargar virus ransomware. Los atacantes disfrazan los virus como software pirateado, software complementario, reproductores porno, etc. inducir a las víctimas. El atacante descarga y ejecuta el virus y, después de ejecutarlo, cifra la máquina de la víctima. Además, el ransomware también se puede propagar a través de correos electrónicos de phishing y vulnerabilidades del sistema. El proceso de ataque contra usuarios individuales se muestra en la siguiente figura:
Proceso de ataque
2. Métodos de ataque comunes contra usuarios empresariales
El virus Lesu es común contra empresas. usuarios Los métodos de ataque incluyen ataques de vulnerabilidad del sistema, ataques de contraseñas débiles de acceso remoto, ataques de correo electrónico de phishing, vulnerabilidades de servicios web y ataques de contraseñas débiles, vulnerabilidades de bases de datos y ataques de contraseñas débiles, etc. Entre ellos, los ataques de phishing por correo electrónico incluyen descargar y ejecutar virus a través de vulnerabilidades, descargar y ejecutar virus a través del mecanismo de Office, programas ejecutables que disfrazan los íconos de Office y PDF, etc.
1) Ataque de vulnerabilidad del sistema
La vulnerabilidad del sistema se refiere a fallas o errores en el diseño lógico del sistema operativo. Los delincuentes pueden atacar o controlar todo el sistema mediante la implantación de troyanos, virus, etc. . en la red, robar datos e información importantes de la computadora e incluso destruir el sistema. Al igual que los usuarios individuales, los usuarios empresariales también serán atacados por vulnerabilidades del sistema. Dado que hay muchas máquinas en la LAN empresarial, la actualización de parches requiere mucho tiempo y es laboriosa, y en ocasiones requiere la interrupción del negocio. de manera oportuna, lo que representa serias amenazas para el sistema y los atacantes pueden insertarse a través de vulnerabilidades y propagarse rápidamente. El ransomware Wannacry que arrasó el mundo aprovechó la vulnerabilidad Eternal Blue para propagarse rápidamente por la red.
Hay dos formas principales para que los atacantes exploten las vulnerabilidades del sistema. Una es escanear máquinas en Internet a través de vulnerabilidades del sistema, enviar paquetes de ataque de vulnerabilidad, invadir las máquinas para implantar puertas traseras y luego cargar y ejecutar ransomware.
Escanear computadoras en la red a través de vulnerabilidades del sistema
La otra es invadir una máquina conectada a Internet a través de correos electrónicos de phishing, contraseñas débiles y otros métodos, y luego explotar las vulnerabilidades en la red. Distribución horizontal LAN. La mayoría de las redes empresariales no pueden lograr un aislamiento absoluto. Si una máquina conectada a la red externa es invadida, las máquinas con vulnerabilidades en la red interna también se verán afectadas.
Después de invadir una máquina, se transmite lateralmente a través de la LAN vulnerable.
Existe una gran cantidad de herramientas de ataque de vulnerabilidad en Internet, especialmente la filtración de la ecuación de la NSA a nivel de armas. herramientas de organización, lo que ha causado un gran daño a la seguridad de la red. Tiene un gran impacto y se usa ampliamente para propagar ransomware, virus de minería, troyanos, etc. Algunos atacantes han empaquetado estas herramientas en herramientas gráficas de ataque automático con un solo clic, lo que reduce aún más el umbral de los ataques.
2) Ataque de contraseña débil de acceso remoto
Dado que muchas máquinas corporativas requieren mantenimiento remoto, muchas máquinas tienen habilitada la función de acceso remoto. Si la contraseña es demasiado simple, los atacantes tendrán la oportunidad de explotarla. Muchos usuarios tienen una mentalidad de casualidad y siempre sienten que con tantas máquinas en la red, la probabilidad de ser atacado es muy baja. Sin embargo, de hecho, miles de atacantes en todo el mundo utilizan constantemente herramientas para buscar debilidades en la red. Máquina de contraseñas. Algunas máquinas han sido atacadas por diferentes atacantes debido a contraseñas débiles y se han implantado una variedad de virus. Este virus no se ha eliminado, pero se ha infectado un nuevo virus, lo que provoca que la máquina se congele y los archivos se cifren.
Los ataques a contraseñas débiles son similares a los ataques de vulnerabilidad, excepto que los ataques a contraseñas débiles utilizan el descifrado por fuerza bruta y prueban las contraseñas de cuentas en el diccionario para escanear dispositivos en Internet.
Escanear equipos en la red con contraseñas débiles
Existe otra forma de atacar mediante contraseñas débiles. Una máquina conectada a la red externa es invadida y ataca a los equipos de la red interna a través de contraseñas débiles. contraseñas.
Invadir una máquina y luego usar una contraseña débil para destruir la máquina LAN
3) Ataque de correo electrónico de phishing
Los usuarios empresariales también serán atacados por correos electrónicos de phishing. En comparación con los usuarios individuales, dado que los usuarios empresariales utilizan el correo electrónico con frecuencia, tienen que abrir muchos correos electrónicos para las necesidades comerciales. Una vez que los archivos adjuntos abiertos contienen virus, toda la red empresarial será atacada. Diagrama de lógica de ataque de correo electrónico de phishing:
Lógica de ataque de correo electrónico de phishing
El artículo se reimprime en: Informe de análisis completo de virus ransomware 2018