El 27% de los incidentes de malware notificado en 2020 fue atribuido al ransomware, el cual de acuerdo con la consultora Gartner tiene un impacto mayor en una organización que una filtración de datos. Pronósticos de Cybersecurity Venture, apuntan que cada 11 segundos una empresa será víctima de un ataque de ransomware a nivel mundial en 2021. Los atacantes del ransomware están demostrando ser una amenaza continua para la ciberseguridad.
A decir de Avishag Daniely, analista senior de Ciberseguridad en Guardicore, un ataque de ransomware comienza generalmente por un correo electrónico de phishing o una vulnerabilidad en el perímetro de la red; el malware comenzará a moverse a través de la red e intentará potencializar el daño. Los delincuentes buscan tomar el mando de un controlador de dominio, comprometer las credenciales y ubicar y cifrar las copias de seguridad existentes para evitar que los servicios infectados sean restaurados.
Oswaldo Palacios, director de Ingeniería de Ventas en Guardicore para México y Latinoamérica, precisó que los ciberdelincuentes siguen usando ingeniería social ya que apelan a la curiosidad humana, este tipo de ataques en su mayoría vienen ocultos en correos electrónicos con títulos interesantes como: “Aquí está el número de guía de su envío”, “Te mando las fotos de las vacaciones pasadas”, “Tu pareja te engaña, aquí las pruebas”. Por supuesto, el usuario al dar clic en el enlace falso lo que hace es instalar un programa para cifrar información y conectarse a un servidor controlador para culminar con el mensaje de secuestro de información y respectivo pago en caso de querer de vuelta los datos.
Si bien, cualquiera puede ser objetivo del ransomware, el directivo indicó que la mayoría de los ataques de ransomware continúan estando dirigidos a personas clave de las organizaciones y equipos de trabajo que pueden contener información valiosa, o a través de ellos se puede llegar a activos críticos. Una vez comprometida la PC del usuario, el atacante se puede mover dentro de la red en busca de activos con información valiosa, como servidores de datos, por ejemplo.
Avishag Daniely aseguró que cualquier empresa que pueda detectar y bloquear el movimiento lateral no
autorizado al principio de la cadena de ataque estará en una mejor posición para reducir el impacto del
ransomware y otras amenazas similares. “La tecnología obsoleta y las estrategias de defensa que se centran únicamente en los perímetros y los puntos finales no son suficientes para detener las campañas de ransomware en evolución”, aseguró la analista.
En ese sentido, Oswaldo Palacios dijo que existen herramientas que otorgan visibilidad completa de qué sucede en la red y pueden crear políticas de microsegmentación a nivel de proceso, de tal forma que se tiene una detección proactiva de las amenazas en una etapa temprana. Lo mejor es incorporar una solución de ciberseguridad que pueda mitigar todas las etapas de evolución del ransomware, desde que se ejecuta, conecta al servidor controlador, descarga una llave para cifrar información, etcétera.
La detección temprana es clave, y más cuando el ransomware puede costar a las empresas millones de dólares, por ello lograr una detección rápida permitirá actuar con rapidez y detener un ataque al principio de la cadena de eliminación antes de que se propague dentro de la red y afecte a las aplicaciones y servicios críticos. Para detectar con éxito un ataque antes de que sea demasiado tarde, Avishag Daniely sugirió cuatro técnicas para la detección temprana de ransomware:
✓ Fuerte visibilidad. Comprender la actividad del tráfico de este a oeste en la red ofrece una idea del movimiento lateral no autorizado a medida que cualquier ransomware intente propagarse. La alta visibilidad también permitirá identificar posibles vectores de ataque a aplicaciones críticas de TI.
✓ Políticas de segmentación. La configuración de políticas de segmentación para alertar de cualquier actividad fuera de la rutina brinda una advertencia temprana de actividad inusual, para investigar y tomar medidas si es necesario.
✓ Sistemas de detección de intrusos (IDS) y herramientas de detección de malware. Ayudan a detectar los intentos de propagación de los operadores de ransomware, ya sea que esto signifique el uso de reglas y firmas predefinidas para exploits conocidos o una detección de anomalías más general o automatizada. Por ejemplo, los IDS detectan tráfico ilegítimo haciendo uso de patrones, que, de cumplirse, harían saltar las alarmas.
✓ Técnicas basadas en la decepción o el engaño. Se construyen y distribuyen, trampas y señuelos virtuales en redes corporativas para atrapar y detener hackers antes de que logren hacer daño como pedir un rescate por los datos. Configurar señuelos, honeypots o una plataforma de engaño distribuida que pueda identificar movimientos laterales no autorizados también puede ser una forma eficaz de descubrir una infracción activa en curso.
Finalmente, Oswaldo Palacios recomendó incorporar herramientas que apoyen el “Zero Trust” o confianza cero lo cual ayuda mucho a cerrar las brechas de seguridad, y a través de una segmentación definida por software es posible tener un panorama claro de cómo se comunican las aplicaciones entre ellas y con su entorno. “Hacer una microsegmentación y conocer exactamente qué procesos se están ejecutando en un servidor sin importar qué sistema operativo tenga o dónde se encuentre es vital para una estrategia de mitigación de amenazas exitosa”.