Contenido Exclusivo

Cuatro técnicas para la detección temprana del ransomware

El 27% de los incidentes de malware notificado en 2020 fue atribuido al ransomware, el cual de acuerdo con la consultora Gartner tiene un impacto mayor en una organización que una filtración de datos. Pronósticos de Cybersecurity Venture, apuntan que cada 11 segundos una empresa será víctima de un ataque de ransomware a nivel mundial en 2021. Los atacantes del ransomware están demostrando ser una amenaza continua para la ciberseguridad.

A decir de Avishag Daniely, analista senior de Ciberseguridad en Guardicore, un ataque de ransomware comienza generalmente por un correo electrónico de phishing o una vulnerabilidad en el perímetro de la red; el malware comenzará a moverse a través de la red e intentará potencializar el daño. Los delincuentes buscan tomar el mando de un controlador de dominio, comprometer las credenciales y ubicar y cifrar las copias de seguridad existentes para evitar que los servicios infectados sean restaurados.

Oswaldo Palacios, director de Ingeniería de Ventas en Guardicore para México y Latinoamérica, precisó que los ciberdelincuentes siguen usando ingeniería social ya que apelan a la curiosidad humana, este tipo de ataques en su mayoría vienen ocultos en correos electrónicos con títulos interesantes como: “Aquí está el número de guía de su envío”, “Te mando las fotos de las vacaciones pasadas”, “Tu pareja te engaña, aquí las pruebas”. Por supuesto, el usuario al dar clic en el enlace falso lo que hace es instalar un programa para cifrar información y conectarse a un servidor controlador para culminar con el mensaje de secuestro de información y respectivo pago en caso de querer de vuelta los datos.

Si bien, cualquiera puede ser objetivo del ransomware, el directivo indicó que la mayoría de los ataques de ransomware continúan estando dirigidos a personas clave de las organizaciones y equipos de trabajo que pueden contener información valiosa, o a través de ellos se puede llegar a activos críticos. Una vez comprometida la PC del usuario, el atacante se puede mover dentro de la red en busca de activos con información valiosa, como servidores de datos, por ejemplo.

Avishag Daniely aseguró que cualquier empresa que pueda detectar y bloquear el movimiento lateral no
autorizado al principio de la cadena de ataque estará en una mejor posición para reducir el impacto del
ransomware y otras amenazas similares. “La tecnología obsoleta y las estrategias de defensa que se centran únicamente en los perímetros y los puntos finales no son suficientes para detener las campañas de ransomware en evolución”, aseguró la analista.

En ese sentido, Oswaldo Palacios dijo que existen herramientas que otorgan visibilidad completa de qué sucede en la red y pueden crear políticas de microsegmentación a nivel de proceso, de tal forma que se tiene una detección proactiva de las amenazas en una etapa temprana. Lo mejor es incorporar una solución de ciberseguridad que pueda mitigar todas las etapas de evolución del ransomware, desde que se ejecuta, conecta al servidor controlador, descarga una llave para cifrar información, etcétera.

La detección temprana es clave, y más cuando el ransomware puede costar a las empresas millones de dólares, por ello lograr una detección rápida permitirá actuar con rapidez y detener un ataque al principio de la cadena de eliminación antes de que se propague dentro de la red y afecte a las aplicaciones y servicios críticos. Para detectar con éxito un ataque antes de que sea demasiado tarde, Avishag Daniely sugirió cuatro técnicas para la detección temprana de ransomware:

✓ Fuerte visibilidad. Comprender la actividad del tráfico de este a oeste en la red ofrece una idea del movimiento lateral no autorizado a medida que cualquier ransomware intente propagarse. La alta visibilidad también permitirá identificar posibles vectores de ataque a aplicaciones críticas de TI.

✓ Políticas de segmentación. La configuración de políticas de segmentación para alertar de cualquier actividad fuera de la rutina brinda una advertencia temprana de actividad inusual, para investigar y tomar medidas si es necesario.

✓ Sistemas de detección de intrusos (IDS) y herramientas de detección de malware. Ayudan a detectar los intentos de propagación de los operadores de ransomware, ya sea que esto signifique el uso de reglas y firmas predefinidas para exploits conocidos o una detección de anomalías más general o automatizada. Por ejemplo, los IDS detectan tráfico ilegítimo haciendo uso de patrones, que, de cumplirse, harían saltar las alarmas.

✓ Técnicas basadas en la decepción o el engaño. Se construyen y distribuyen, trampas y señuelos virtuales en redes corporativas para atrapar y detener hackers antes de que logren hacer daño como pedir un rescate por los datos. Configurar señuelos, honeypots o una plataforma de engaño distribuida que pueda identificar movimientos laterales no autorizados también puede ser una forma eficaz de descubrir una infracción activa en curso.

Finalmente, Oswaldo Palacios recomendó incorporar herramientas que apoyen el “Zero Trust” o confianza cero lo cual ayuda mucho a cerrar las brechas de seguridad, y a través de una segmentación definida por software es posible tener un panorama claro de cómo se comunican las aplicaciones entre ellas y con su entorno. “Hacer una microsegmentación y conocer exactamente qué procesos se están ejecutando en un servidor sin importar qué sistema operativo tenga o dónde se encuentre es vital para una estrategia de mitigación de amenazas exitosa”.

Lo Más Reciente

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente,...

Cómo impulsar el crecimiento de las empresas en la era de la IA

La inteligencia artificial está revolucionando los negocios. Sin embargo,...

Realizan el segundo Foro de Talento en Data Centers

La Asociación Mexicana de Data Centers, MEXDC, realizó el...

Newsletter

Recibe lo último en noticias e información exclusiva.

Mireya Cortés
Mireya Cortés
Editora CIO Ediworld Online. La puedes contactar en mcortes@ediworld.com.mx

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente, siguen ejerciendo una presión cada vez mayor sobre el sector público de México. El gobierno...

Cómo impulsar el crecimiento de las empresas en la era de la IA

La inteligencia artificial está revolucionando los negocios. Sin embargo, muy pocos empresarios están adaptando sus empresas a este contexto, para lograr un crecimiento. Para...

Chivas Rayadas del Guadalajara consigue gestionar sus activos de TI de manera más eficiente

El Club Deportivo Guadalajara es uno de los más importantes en México. Con más de 500 colaboradores, requería herramientas para auditar su parque informático,...