M05: Seguretat Informàtica · Unitat 4

Impacte i Ransomware
La Fase Final

Manipulació, interrupció i destrucció d'informació crítica

TEORIA · LA FASE FINAL DE L'ATAC

SECCIÓ 5: Accions d'Impacte i Ransomware

Un cop l'atacant ha pres el control del Controlador de Domini, s'executen les accions d'impacte. L'objectiu és manipular, interrompre o destruir la informació per afectar la disponibilitat i integritat de l'empresa, normalment amb finalitats d'extorsió econòmica.

Tàctica MITRE: Impacte (TA0040)

El "cop de gràcia" d'una intrusió comprometedora.

Llegir més: MITRE ATT&CK - Impact

🔑 El concepte d'Impacte

En els atacs moderns, no només es busca xifrar dades, sinó assegurar-se que la víctima no tingui cap més opció que pagar el rescat.

5.1 Inhibició de la recuperació del sistema

Abans de realitzar qualsevol sabotatge, l'atacant ha de bloquejar les vies de retorn de la víctima per evitar restauracions sense pagar.

Shadow Copies (VSS)

Eliminació d'instantànies automàtiques per evitar la recuperació de fitxers.

vssadmin.exe delete shadows /all /quiet

Menú de Recuperació

Inutilització de la reparació automàtica per evitar tornar a estats anteriors.

bcdedit /set recoveryenabled no

💀 5.2 El Ransomware de Xifratge

Programari maliciós que inhabilita l'accés a les dades mitjançant algorismes criptogràfics com AES o RSA.

Característiques d'una mostra real:

  • Xifratge Selectiu: Eviten carpetes com C:\Windows per mantenir el sistema encès i que la víctima pugui pagar.
  • Extensions: Els fitxers canvien de nom (ex: document.pdf.locked).
  • Nota de Rescat: Instruccions de pagament deixades a l'escriptori (README.txt).
Anàlisi de Ransomware
Evidència: Nota de rescat i fitxers xifrats images/teoriam05/passwords_search.png
Recursos: Portal StopRansomware — CISA

🚀 5.3 Doble Extorsió i "Happy Blogs"

El model de negoci ha evolucionat per combatre les empreses amb bones còpies de seguretat.

🔍 Exfiltració de dades

Abans de xifrar, l'atacant roba informació confidencial per utilitzar-la com a xantatge.

🌐 Happy Blogs (Dark Web)

Portals a la xarxa Tor on es publiquen les víctimes i s'amenaça amb filtrar les dades si no es paga, provocant danys reputacionals i legals (GDPR).

Tipus Acció Principal Objectiu
Bloqueig Bloqueja la pantalla de login Impedir l'ús de l'equip
Xifratge Encripta fitxers i BBDD Destruir la disponibilitat
Filtració Robatori de dades Xantatge via privacitat
Doble Extorsió Xifratge + Amenaça de blog Maximitzar probabilitat de pagament

Info Callout: Per què usem Bitcoins?

Les criptomonedes permeten transaccions internacionals ràpides que són extremadament difícils de rastrejar, garantint l'anonimat de l'atacant en les notes de rescat.

🗂️ Resum de la Secció 5

Objectiu

Sabotejar l'empresa i extorsionar-la.

Accions Prèvies

Esborrat de Shadows (VSS) i desactivació de recuperació.

Eines

vssadmin, bcdedit, binaris de xifratge (Ransomware).