Reducir su susceptibilidad a un ataque lo convertirá en un objetivo menos atractivo para los ciberdelincuentes motivados financieramente.
A medida que las organizaciones se adaptaban al trabajo remoto inducido por la pandemia, a los expertos en ciberseguridad les preocupaba que los ciberdelincuentes se aprovecharan de los hábitos de seguridad relajados y, si eso sucedía, las consecuencias podrían resultar en ciberataques masivos.
Bueno, durante lo peor del COVID-19, las campañas de phishing se dispararon, muchas de ellas se centraron en las preocupaciones sobre el coronavirus, las pruebas y, más tarde, las vacunas. Y ahora estamos viendo el impacto de esas campañas: un aumento en los ataques de ransomware.
La empresa Sophos informó que el 51% de las organizaciones en todo el mundo fueron el objetivo de un ataque de ransomware en el último año, y los delincuentes cifraron datos con éxito en el 73% de estos casos.
En este momento, no sólo parece que cada nuevo anuncio de ransomware es más grande que el anterior, sino que estamos viendo cómo el ransomware puede afectar la vida cotidiana. Después de un breve respiro, los actores de amenazas han reanudado su asalto a la atención médica, eliminando el acceso a equipos como equipos de resonancia magnética y rayos X y datos de pacientes.
Si bien muchos de los ataques se han dirigido a pequeñas y medianas empresas, incluso mi veterinario local tenía sus registros encriptados, también se han dirigido a “peces más grandes”, más significativamente en el estanque de infraestructura crítica. El ataque del Colonial Pipeline creó un pánico que provocó escasez de gas.
Grupos de ciberdelincuentes como REvil han cerrado las cadenas de suministro de fuentes de alimentos y ahora son responsables del último ataque de ransomware contra el proveedor de software Kaseya, que ha afectado a cientos de empresas en todo el mundo. REvil está extorsionando 70 millones de Kaseya, el rescate más grande hasta ahora, al menos al momento de escribir este artículo.
Con la rapidez con que ocurren los ataques de ransomware y con objetivos más grandes y críticos, no pasará mucho tiempo antes de que veamos rescates de más de 100 millones. CISA lanzó una advertencia de que los activos y controles de tecnología operativa son un objetivo creciente para los ataques de ransomware.
Se trata del final del juego: beneficio económico para los delincuentes
No importa en qué parte del sistema aparezca el ransomware. En este punto, si se ven afectados, los equipos de respuesta a incidentes deberán decirle al liderazgo que cierre todo hasta que se resuelva el ataque.
Usted no puede correr el riesgo de que la amenaza afecte a todo lo demás y dé a los ciberdelincuentes la capacidad de “saltar de isla en isla” entre clústeres e infectar cualquier otra cosa. Los actores de amenazas tienen un objetivo principal y es ganar la mayor cantidad de dinero posible. No les importa cuánta destrucción cause mientras obtengan los beneficios.
Todas las organizaciones son susceptibles al ransomware, pero algunas corren un mayor riesgo que otras. Dos organizaciones pueden parecer casi idénticas (la misma industria, las mismas regulaciones, un enfoque similar de la ciberseguridad) y, sin embargo, es más probable que una sea atacada que la otra. Algo de eso se debe al comportamiento humano: un clic equivocado en un correo electrónico de suplantación de identidad por parte de un empleado de un proveedor puede llevar a una empresa que de otro modo sería segura por la madriguera del ransomware.
Hay muchos problemas en juego que aumentan la susceptibilidad de su organización. La industria de la seguridad recién está comenzando a comprender estos factores críticos que pueden hacer que una organización se destaque como un objetivo fácil más probable. Por ejemplo, los datos derivados del escaneo de puertos de administración remota visibles públicamente, los parámetros de configuración del correo electrónico, los niveles de parches de aplicaciones y sistemas operativos y otros factores en la arquitectura de TI general se pueden utilizar para derivar un perfil de riesgo relativo.
Combinando estos datos con otros factores, como el volumen de datos de credenciales de la organización que se encuentran en la web oscura, es posible estimar si los adversarios tienen más o menos probabilidades de atacar, en particular en relación con otros en la misma industria o aquellos que lo han hecho. ha sido atacado previamente.
Existen soluciones que aprovechan el aprendizaje automático para ayudar a las organizaciones a crear una puntuación de riesgo basada en sus vulnerabilidades e incluso extender el análisis de la clasificación de vulnerabilidades a terceros en su cadena de suministro.
Lo que le sucedió a Target hace unos años debería haber sido una llamada de atención con respecto al riesgo de terceros, pero demasiadas empresas aún ignoran el hecho de que un error o vulnerabilidad en el sistema de un proveedor puede resultar en un ataque. Los malos pueden fácilmente pasar a través de esos pequeños / o terceros a una empresa donde se puede hacer un daño real y se puede ganar más dinero.
Cómo se ve la susceptibilidad al ransomware
¿Cómo responde su empresa a las siguientes preguntas?
- Impacto financiero. ¿Qué tan grande es el riesgo al que se enfrenta con su postura de ciberseguridad y cómo lo equilibra con la producción del gasto en función de una posible pérdida financiera?
- Vulnerabilidad cibernética. ¿Qué tan vulnerable es su organización a un ciberataque?
- ¿Conoce sus riesgos frente a terceros?
- ¿Cómo te ven los atacantes externos? Los atacantes tienen más información sobre su empresa de lo que cree, incluso si esa información proviene de ataques a otras organizaciones dentro de su industria.
- Saben lo que sucede cuando la infraestructura crítica se ve afectada, por ejemplo, vieron la reacción de Colonial Pipeline y buscarán explotar empresas similares con vulnerabilidades similares.
Dependiendo de cómo respondan las empresas a estos problemas, un análisis derivado del aprendizaje automático y la inteligencia artificial puede proporcionar información sobre cómo se compara con las empresas que han sufrido un ataque de ransomware y cómo puede evitar convertirse en la próxima víctima.
Rick Grinnell, CIO.com
