Ransomware: ¿Cómo abordar la Ciberseguridad para reducirlo?

Los ciberataques aumentaron persistentemente en 2021, y la pandemia exacerbó esta tendencia y proporcionó un terreno fértil para comportamientos nefastos. El ransomware es cada vez más el ataque cibernético de elección, lo que tiene un impacto devastador en las organizaciones empresariales. Aunque siempre en aumento, ha sido particularmente frecuente durante la pandemia. Conozca cómo reducirlo, en esta nota.

Por Stefano Alei

A un alto nivel, podemos clasificar el ransomware como un software malicioso que afecta negativamente a la disponibilidad, la confidencialidad o la integridad de los datos. Los datos, vitales para la continuidad del negocio, son un producto básico por el que las empresas pagarán un rescate para recuperar el control y el acceso.

Pero está claro: no hay garantía de que las organizaciones realmente recuperen datos después de pagar un rescate. Además, es cada vez más común presenciar una nueva ola de ransomware, conocida como doble extorsión, en la que los atacantes exfiltran datos poniendo a sus víctimas bajo una presión adicional para pagar el rescate.

Si nos fijamos bien en algunos números relacionados con la propagación de este tipo de ciberdelincuencia, somos capaces de entender dos aspectos: qué tan extendido está y las razones por las que eso sucede.

Si revisa el diagrama anterior, es claro que se ha creado un círculo vicioso durante el tiempo. Con el paso de los años, más empresas pagaron el rescate y recuperaron sus datos. Esta evidencia alienta a los ciberdelincuentes a continuar atacando organizaciones en todas las industrias, incluidos gobiernos y organizaciones públicas. Debido a la gran cantidad de oportunidades, los atacantes cibernéticos disponen de más recursos para crear herramientas cada vez más sofisticadas para atacar a más organizaciones.

Otra tendencia aterradora a notar es la creación de un marco de franquicia para equipar a los ciberdelincuentes. Al igual que el modelo de software como servicio (SaaS), Ransomware-as-a-Service (RaaS) es un modelo basado en suscripción que permite que prácticamente cualquier persona lance ataques de ransomware con poco esfuerzo y experiencia limitada. El organizador comparte el software, brinda orientación y soporte sobre cómo realizar el ataque y luego recibe un porcentaje del rescate. RaaS ha facilitado un aumento masivo de los ataques de ransomware.

Ahora que hemos entendido la ventaja comercial detrás de este tipo de actividades delictivas, veamos qué impacto tiene en las organizaciones.

 

Cifras inquietantes, ¿no estás de acuerdo?

¿Quiénes son estas infames bandas de ransomware? Aquí algunos de los grupos de ataque más conocidos, pero existen otros así como nuevos atacantes que surgen todo el tiempo.

  • REvil/Sodín
  • Ryuk/Conti
  • Caminante de la red
  • Lado oscuro
  • DoppelPaymer
  • BloqueoBit

Entre las herramientas más utilizadas por estas organizaciones se encuentran Emotet y Trickbot, que son troyanos que acceden a las redes y facilitan su propagación a través de los entornos que desean rescatar. Otras herramientas populares de ransomware incluyen Phorpiex y SmokeLoader. La lista es larga y cambia constantemente a medida que se desarrollan nuevas herramientas.

Los expertos dicen que muchos ciberdelincuentes de ransomware tienen su sede en Europa del Este y pueden tener vínculos con organizaciones de inteligencia. A fines del año pasado, una importante organización gubernamental arrestó a varios pandilleros del ransomware REvil : un momento épico en el crimen cibernético. Desafortunadamente, los ataques cibernéticos van en aumento desde el comienzo de la invasión de Ucrania.

Curiosamente, una de estas organizaciones de ataque, Darkside, se presenta como el Robin Hood del cibercrimen: robar a empresas ricas para donar dinero a obras de caridad. Ninguna organización benéfica ha aceptado dinero de este tipo de delitos.

Esa fue mucha información aterradora, pero hay buenas noticias.

En primer lugar, el ransomware no aparece “de la nada”. Hay una miríada de indicadores muy conocidos que aparecen durante las fases comunes de un ataque durante las cuales las organizaciones pueden concentrarse para evitar el ataque. El objetivo del adversario es ser sigilosamente persistente dentro del entorno de una organización y moverse lateralmente para buscar datos para robar o encriptar en silencio. La mayoría de las empresas tardan más de seis meses, o aproximadamente 200 días, en detectar una violación de datos.

Lo que es primordial para mitigar el riesgo de un ataque de ransomware es poder identificar los primeros indicadores de compromiso y tomar inmediatamente las contramedidas apropiadas. Sin embargo, hay algo preliminar sobre lo que reflexionar: demasiadas empresas no cuentan con las mejores prácticas de seguridad. Tal vez no hacen una copia de seguridad adecuada de sus datos o no aplican una política de privilegios mínimos, o sus empleados no tienen el nivel de conciencia de seguridad adecuado.

Otro gran error para una organización es confiar solo en productos y tecnología para una falsa sensación de seguridad. La falta de profesionales con las habilidades necesarias en ciberseguridad es una de las razones por las que esto sucede. Desde una perspectiva de seguridad empresarial, la falta de experiencia en seguridad cibernética en el mundo actual es increíblemente peligrosa: un estudio de la fuerza laboral de seguridad cibernética realizado por (ISC)² estima que la brecha de cobertura es de alrededor del 30 %.

Con estos antecedentes, está claro que cualquier primer paso efectivo debe comenzar con una evaluación de seguridad de la postura de seguridad dentro del entorno de una organización. Solo entonces tiene sentido avanzar implementando las contramedidas más apropiadas. Por último, pero no menos importante, una organización puede obtener apoyo para adoptar el mejor enfoque para mitigar el riesgo de verse afectada por ransomware. ¿Cómo? Piense en la seguridad como una “película”, no como una “pintura”. Es algo vivo, con múltiples partes en movimiento, que requiere observación. Las organizaciones deben aprovechar todas las capacidades de visibilidad y monitoreo que tienen para detectar cualquier elemento que muestre algo anómalo.

Es importante considerar una solución de un extremo a otro que comience con una evaluación de seguridad y añada un enfoque en la protección del punto final, la red y las capas de datos.

Los pasos descritos anteriormente no son sencillos ni fáciles. Si implementar una seguridad de mitigación de riesgos de ransomware parece desalentador, los servicios profesionales de VMware pueden ayudar. El equipo de consultores de VMware es experto en implementar seguridad de redes en una variedad de entornos, utilizando las mejores prácticas de la industria y la experiencia de trabajar con empresas globales.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba
X