El ransomware es cada vez más profesional y los ataques más sofisticados

  • Seguridad

Stormshield-ransomware

Los ciberdelincuentes están constantemente innovando, a la caza de vulnerabilidades para lanzar oleadas de ransomware. Además del robo de datos y la extorsión, los atacantes juegan con nuevas formas de chantaje, como la publicación de datos exfiltrados en foros oscuros de la web o la realización de subastas.

Recomendados: 

7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer 

Anatomía del ataque a una cuenta privilegiada Leer 

Stormshield Endpoint Security Leer 

En 2020 se produjo un aumento del ransomware, con ataques organizados y un enfoque más técnico. Según Stormshield, esta tendencia está obligando a las empresas a replantearse sus estrategias de defensa y a mejorar su capacidad de contraataque.

Desde que existe esta forma de extorsión, su objetivo final siempre ha sido el mismo: secuestrar datos y exigir el pago de un rescate para su recuperación. Algo semejante ocurre a nivel técnico. El modus operandi del malware consiste en escanear a través de un disco, buscar archivos por tipo de extensión y cifrar lo que pueda tener un mayor impacto en la actividad comercial del blanco elegido. Lo que si han ido variando son los métodos de infección de los sistemas o la mecánica de extorsión, con la introducción de nuevas formas de pago que, como el Bitcoin, hacen más complejo el seguimiento del rescate. El FBI estima que, entre 2013 y 2019, las operaciones de extorsión relacionadas con ransomware alcanzaron los 144,35 millones de dólares en Bitcoin, aunque la cifra podría ser mayor.

En cuanto a su propagación, los ciberdelincuentes están constantemente innovando, a la caza de vulnerabilidades en los sistemas de información para lanzar oleadas de ransomware. En este aspecto, y aunque los correos electrónicos con archivos infectados siguen siendo un medio muy popular, estos actores aprovechan también vulnerabilidades o fallos en las redes privadas virtuales (VPN) así como el uso de redes de bots para distribuir este tipo de amenazas. Un ejemplo reciente ha sido la vulnerabilidad de Zerologon, muy explotada por los operadores del software de rescate de Ryuk.

El incremento en la inversión realizado por las empresas para proteger sus perímetros ha obligado a los hackers a buscar nuevos medios, como la ingeniería social, para burlar esa seguridad. En la actualidad, y a tenor de la situación provocada por el Covid-19, cualquier noticia sobre salud y economía puede despertar la curiosidad del usuario, por lo que el phishing se ha alzado como un medio idóneo para que el ransomware, o incluso ataques de spear phishing, se lancen desde dentro de la empresa. Sin embargo, estos ataques parecen ser principalmente de naturaleza oportunista, y no deben oscurecer la principal tendencia del pasado año: el ransomware como servicio (RaaS).

“Ahora se puede comprar realmente el software de rescate, e incluso tutoriales que enseñan cómo usarlo”, afirma Edouard Simpère, Responsable Técnico de Stormshield. “Todo se comercializa como un servicio, de la misma manera que el malware se ofrece en forma de herramientas preparadas que han estado disponibles durante mucho tiempo en la Dark Web”.

Este enfoque cada vez más profesional de los atacantes va de la mano del aumento de los ataques dirigidos contra grandes empresas y organizaciones de sectores como energía, finanzas, construcción, biomedicina e, incluso, telecomunicaciones. Asimismo, y además del robo de datos y la extorsión los atacantes juegan con nuevas formas de chantaje como la publicación de datos exfiltrados en foros oscuros de la web o la realización de subastas.

Para evitar verse en la disyuntiva de pagar o no pagar este tipo de rescates o enfrentarse al miedo de si una vez realizado el abono se recuperarán los datos secuestrados o si dicha acción volverá a ocurrir en un futuro cercano, una estrategia de concienciación (no ceder al chantaje) y de seguridad adecuada puede resultar clave.

 Las empresas, por su parte, deben asumir aspectos clave como la formación de los empleados en materia de higiene digital, la aplicación de políticas adecuadas de gestión de parches, la adopción de una política rigurosa de administración de derechos y autorizaciones y la capacitación de los equipos de seguridad para detectar comportamientos sospechosos. Además, hay una solución que proporciona una defensa efectiva contra este tipo de rescate: el backup. Cualquier empresa, incluso la más pequeña, necesita implementar una política de respaldo, y los sistemas de todas las estructuras organizativas deben estar equipados con soluciones de este tipo.

Las perspectivas de futuro del ransomware pueden ser todavía brillantes, sin embargo, las empresas están lejos de ser derrotadas y deberían poder seguir reforzando sus posturas defensivas y rechazando las demandas de rescate tan a menudo como sea posible.