Ciberataques: análisis de Ransomware y métodos de protección

Abstract

Es este TFM se describe el problema del Ransomware en la sociedad actual, cada vez los ataques son más recurrentes y sofisticados donde afecta diversos sectores como salud, gobierno y banca. Se establece una metodología con un enfoque investigativo para analizar este tipo de malware, por tal razón inicia el estudio del estado de arte para el Ransomware, su historia, detallar las etapas de un ataque y características como velocidad de cifrado. Luego se hace un análisis del impacto de este tipo de malware y una reflexión si se debe pagar por este tipo de extorsiones. Como funcionan estas campañas, cuál es su modelo de negocio y como realizan el blanqueo de dinero. Se procede a revisar los vectores de ataques conocidos, las tácticas y herramientas usadas por los adversarios. Así como las recomendaciones de entidades expertas en seguridad como ENISA y un análisis de la legislación aplicable para estos casos. A continuación, se realiza una simulación en ambiente controlado del ataque Ransomware LockBit, iniciando por un análisis estático y dinámico, así como la toma de evidencias de los procesos y mecanismos usados por este malware. Para finalizar los resultados se plasman en un mapa de descripción del ataque y una matriz con tácticas de MITRE ATT&CK que permitan describir el modo de operación de LockBit, luego se exponen una serie de recomendaciones a nivel empresarial que ayuden a prevenir y mitigar el impacto de este tipo de malware.

The TFM describes the Ransomware problem in actual society, every time the attacks are more recurrent and sophisticated and affects multiple sectors such as health, government and banking. Established a investigative methodology to analyze this type of malware, for this reason the investigation of the state of the art for Ransomware begins, its history, detailing the stages of an attack, characteristics such as encryption speed. Then an analysis of the impact of this type of malware and reflection on paying for this type of extortion. How do these campaigns work, what is their business model and how do they legalize money. We proceed to review the known attack vectors, the tactics and tools used by the adversaries. Some recommendations of expert security entities (ENISA), and an analysis of the applicable legislation for these cases. Next, a simulation of the LockBit attack in Sandbox, starting with a static and dynamic analysis, as well as taking evidence of the processes and mechanisms used by this malware. Finally, the results are reflected in a map describing the attack and a matrix with MITRE ATT&CK tactics that allow Lockbit's mode of operation to be described, some recommendations are presented at the business level that help prevent and mitigate the impact of attacks this type of malware.