Sophos ha lanzado un informe titulado «CryptoGuard: Un enfoque asimétrico en la lucha contra el ransomware», donde se revela que algunos de los grupos de ransomware más prolíficos y activos, como Akira, ALPHV/BlackCat, LockBit, Royal y Black Basta, están adoptando deliberadamente la estrategia del cifrado remoto en sus ataques.
Conocidos como ransomware remoto, estos ataques involucran a ciberdelincuentes que aprovechan un punto final comprometido, a menudo con insuficiente protección, para cifrar los datos de otros dispositivos conectados a la misma red.
Para hacer frente a ello, Sophos CryptoGuard supervisa de manera proactiva el cifrado malicioso de archivos, ofreciendo protección inmediata y funciones de recuperación, incluso cuando el ransomware no se inicia desde un host protegido. Como la última línea de defensa en la estrategia de protección multicapa de Sophos Endpoint, CryptoGuard se activa solo si un ciberdelincuente la desencadena en la cadena de ataques.
«Las empresas pueden tener miles de ordenadores conectados a su red y, con el ransomware remoto, basta un dispositivo desprotegido para comprometer toda la red. La mayoría de las empresas tienen, al menos, uno y los atacantes lo saben, así que buscan ese ‘punto débil’. El cifrado remoto va a seguir siendo un problema perenne para los defensores y, según las alertas que hemos visto, este método de ataque está aumentando constantemente«, afirma Mark Loman, vicepresidente de investigación de amenazas de Sophos y cocreador de CryptoGuard.
Aumento del ransomware remoto
Dado que este tipo de ataque implica el cifrado remoto de archivos, las medidas de protección tradicionales contra ransomware implementadas en dispositivos remotos no son capaces de «ver» los archivos maliciosos ni su actividad. Esto conlleva a la incapacidad de proteger los archivos contra el cifrado no autorizado y la consiguiente pérdida de datos.
Según los ataques detectados y detenidos por la tecnología CryptoGuard de Sophos, este tipo de ataque aprovecha un endpoint comprometido y, a menudo infraprotegido, para cifrar los datos de otros dispositivos conectados a la misma red
La tecnología CryptoGuard de Sophos, por otro lado, presenta un enfoque innovador para contrarrestar el ransomware remoto, según detalla la investigación de Sophos X-Ops. Su enfoque se centra en analizar el contenido de los archivos para identificar cualquier dato cifrado, lo que permite detectar la actividad del ransomware en cualquier dispositivo de la red, incluso en ausencia de malware en el dispositivo.
En 2013, CryptoLocker fue el primer ransomware ampliamente utilizado que empleó el cifrado remoto con cifrado asimétrico, también conocido como criptografía de clave pública. Desde entonces, los ciberatacantes han incrementado el uso del ransomware, aprovechando las persistentes brechas de seguridad en empresas de todo el mundo y la introducción de criptomonedas.
El vicepresidente de investigación de amenazas de Sophos y cocreador de CryptoGuard, añade que «CryptoGuard no busca ransomware, sino que se centra en los objetivos principales: los archivos. Aplica un escrutinio matemático a los documentos, detectando signos de manipulación y cifrado«.
