En pocas palabras, el ransomware es software malintencionado que cifra sus datos o le impide acceder a sus propios sistemas. Después, los delincuentes exigen un rescate a cambio de la clave de descifrado, aunque, por supuesto, no existe garantía alguna de que la clave funciona y vuelva a tener acceso a sus datos. Muchas víctimas han pagado el rescate y no les han devuelto sus datos.
En comparación con los ataques sencillos de “compromiso y cifrado” del tipo de Wannacry de hace unos años, los atacantes emplean ahora un enfoque multivectorial más sofisticado. Los ataques suelen seguir iniciándose con un correo electrónico de suplantación de identidad personalizada, pero los ataques de ransomware de la actualidad no se inician en cuanto el destinatario hace clic en el enlace malintencionado. En lugar de eso, los ciberdelincuentes utilizan este paso para robar las credenciales de la víctima. Las credenciales se utilizan en ese momento para acceder a la red de la organización y acechan desde ahí, evaluando los activos, los servidores, las bases de datos y la plataforma de correo electrónico. esta vigilancia puede durar semanas, o incluso meses, antes de que lancen su ataque.
Una de las razones por las que se está oyendo hablar más del ransomware ahora es que las barreras para entrar han desaparecido. La tecnología del crimen se está volviendo más fácil de usar. ahora puede comprar un kit de ransomware y elegir cuál va a ser su objetivo. las bandas ofrecen asistencia técnica a cambio de un porcentaje del rescate. Si eso lo desanimara, el delincuente en potencia puede contratar a otros ciberdelincuentes para que lancen el ataque mediante un acuerdo de ciberdelincuencia como servicio. El aumento del valor de las criptomonedas y la popularidad de los ciberseguros también han conseguido que los ataques de ransomware sean más rentables para los ciberdelincuentes y atraigan a más bandas organizadas, y los ataques de ransomware patrocinados por los distintos gobiernos han llevado la guerra cibernética a otro nivel.
Los ataques de ransomware han subido tanto en la escala que los gobiernos ahora los tratan como ataques de terrorismo. Y no se trata de una reacción desmedida. Estos ataques han provocado la interrupción de la actividad de gobiernos locales, instituciones del orden público, y educativas, redes de salud, infraestructura crítica, etc. Ninguna entidad de ningún sector, organización o gobierno es inmune a estos ataques.
Los ataques de ransomware han subido tanto en la escala que los gobiernos ahora los tratan como ataques de terrorismo
De acuerdo con las investigaciones recientes llevadas a cabo por Barracuda, los ataques contra corporaciones, tales como infraestructuras, viajes, servicios financieros y otros negocios, constituyeron hasta un 57 % de todos los ataques de ransomware producidos entre agosto de 2020 y julio de 2021, con un claro incremento si se compara con el 18 % de nuestro estudio de 2020.
Los delincuentes han ampliado sus habilidades y refinado sus tácticas para crear un esquema de doble extorsión. Basan sus exigencias de rescate en la investigación que efectúan antes del ataque. Les roban datos confidenciales a sus víctimas y exigen un pago a cambio de su promesa de no publicar ni vender los datos a otros delincuentes. Como estos delincuentes no son de fiar, a menudo vuelven a ponerse en contacto con sus víctimas que pagan varios meses más tarde para solicitarles otro pago si quieren que se mantenga el secreto de los datos robados. Algunos delincuentes de ransomware aceptarán el pago, pero venden los datos en cualquier caso. Nunca ha habido ninguna garantía de que pagar el rescate serviría para recuperar todos los datos cifrados. Las víctimas deberían comprender ahora que cualquier dato que se robe durante un ataque de ransomware quedará comprometido para siempre. Sencillamente, no hay ningún motivo para pagarle a los delincuentes por los delitos que cometen.
Debería dar por sentado que su empresa recibirá ataques de ransomware. Si el ataque tiene éxito, debería tener un plan para no pagar el rescate. Proteger su empresa de los ataques de ransomware se basa en proteger sus datos. Puede desglosarlo en tres áreas de interés: proteger sus credenciales, asegurar sus aplicaciones web y crear copias de seguridad de sus datos. Echemos un vistazo más de cerca a cada uno de estos pasos.
Paso 1: Proteja sus credenciales
En primer lugar, el ransomware confía en filtrar el correo electrónico o asegurar las credenciales. Con los miles de nombres de usuario y contraseñas disponibles en línea, este primer paso puede resultar asombrosamente fácil. Los atacantes utilizan estas credenciales robadas para acceder a sus sistemas. Como el phishing es el principal vector de ataque del ransomware, debe mantener una cultura de precaución alrededor de la seguridad de las credenciales. Desarrolle un proceso para formar a los usuarios en la seguridad del correo electrónico y desplegar tecnología antiphishing que pueda identificar y marcar cualquier actividad inusual. Si el atacante no puede acceder a las credenciales, será mucho más difícil escalar el ataque desde el phishing al ransomware.
Paso 2: Asegure sus aplicaciones web y los accesos
El cambio al teletrabajo ha provocado que muchas aplicaciones salgan de los centros de datos y entren en internet. en algunas ocasiones, las prisas por mantener los servicios de las empresas en funcionamiento han provocado que se deje de lado la seguridad, y los ciberdelincuentes están listos para aprovechar esas vulnerabilidades. Las aplicaciones en línea, como los servicios de uso compartido de archivos, formularios web y sitios de comercio electrónico pueden verse comprometidas por los atacantes. Las aplicaciones web reciben ataques a través de la interfaz de usuario o una interfaz API. A menudo, estos ataques implican relleno de credenciales, ataques de fuerza bruta o vulnerabilidades de owasp. Una vez que la aplicación se haya visto comprometida, el atacante puede introducir ransomware y otro tipo de malware en el sistema. Esto puede seguir moviéndose de forma lateral para infectar aún más su red, así como a los usuarios de su aplicación. Es importante entender que proteger las aplicaciones web, los accesos remotos y las APIs es igual de importante que la seguridad del correo electrónico a la hora de defenderse del ransomware y otro malware.
Paso 3: Realice copias de seguridad de sus datos
Cualquier estrategia seria de protección contra el ransomware debe empezar por pensar en las copias de seguridad y la recuperación de desastres. El problema es que los delincuentes también lo saben. Las soluciones de copia de seguridad son un foco de atención para los atacantes durante el periodo de “acecho”, cuando exploran la red. la consola de administración de copias de seguridad es especialmente importante para ellos porque les da acceso a los programas de copias de seguridad, a la configuración, a las políticas de retención y a la posibilidad de empezar a borrar cosas. Los atacantes también tienen como objetivo el propio almacenamiento de copias de seguridad, con la esperanza de eliminar su servidor de copia de seguridad principal y cualquier copia de seguridad secundaria de recuperación de desastres que mantenga. Una vez que capturan las contraseñas de active Directory para que nadie pueda entrar en sus cuentas, es cuando pueden apretar el gatillo, tienen el control. No sólo es importante contar con soluciones de backup sino que estas deben haberse diseñado de manera segura y a prueba de atacantes ya que el propio backup es un objetivo prioritario de los atacantes y será la primera pieza de su red que tratarán de desmontar.
Por Miguel López, country manager de Barracuda
