La situación del ransomware va de mal en peor



Las nuevas técnicas de distribución de malware y las actualizaciones de funcionalidad seguramente presionarán más a las organizaciones empresariales en 2020.

El aumento de los ataques de ransomware en ciudades, municipios, escuelas y organizaciones de atención médica este año es solo un anticipo de lo que probablemente ocurrirá en 2020.

Los actores de la amenaza han percibido una oportunidad muy true de obtener grandes ganancias atacando a organizaciones empresariales que usan ransomware y están perfeccionando sus herramientas y técnicas para aumentar sus posibilidades de éxito, dicen expertos preocupados en seguridad.

Algunos desarrollos recientes incluyen una creciente colaboración entre grupos de amenazas en campañas de ransomware el uso de mecanismos de evasión más sofisticados elaborados ataques de múltiples fases que implican reconocimiento y alcance de la red y técnicas de ataque automatizado guiado por humanos.

Los expertos señalan que los grupos de TI y seguridad que ya están bajo presión para responder se verán aún más desafiados por la creciente sofisticación de la amenaza del ransomware. Si bien los gobiernos municipales, las escuelas y otros objetivos «blandos» percibidos continuarán siendo los más afectados por los ataques, ninguna organización estará realmente a salvo.

«Asumiríamos que cuanto más grande e importante es una organización, más atractivo es el objetivo que representa para los extorsionistas», dice Fedor Sinitsyn, analista senior de malware de Kaspersky. Pero «cualquier empresa u organización debe ser consciente de (la) amenaza y planificar en consecuencia», señala.

Con la dependencia genuine de la infraestructura electronic, cualquier interrupción de la crimson equivale a la pérdida de dinero. Teniendo en cuenta los efectos desastrosos del ransomware, el período de recuperación para algunas organizaciones podría terminar siendo largo y doloroso, dice Sinitsyn.

Yendo de mal en peor

2019 resultó ser un año mucho más activo para el ransomware de lo que muchos podrían haber anticipado dado el volumen normal decreciente de ataques el año pasado.

Emsisoft estimado recientemente que los ataques de ransomware le han costado a las agencias gubernamentales, establecimientos educativos y proveedores de atención médica de EE. UU. más de $ 7,5 mil millones este año. Según el proveedor de seguridad, hasta diciembre de 2019, al menos 759 proveedores de atención médica, 103 gobiernos y agencias estatales y municipales, y 86 universidades, colegios y distritos escolares han sufrido ataques de ransomware.

Además de las pérdidas financieras, los ataques han provocado que pacientes de emergencia sean redirigidos a otros hospitales, se pierdan registros médicos, se detengan las transacciones de propiedades, los sistemas de vigilancia se desconecten y otras consecuencias muy reales, dijo Emsisoft.

Varios desarrollos sugieren que la situación en 2020 probablemente será al menos igual de mala, si no peor.

Una tendencia preocupante es el crecimiento en instancias de grupos de amenazas que colaboran entre sí para permitir la entrega más fácil de malware. La firma de seguridad SentinelOne informó recientemente sobre cómo los operadores del troyano bancario TrickBot han comenzado a vender el acceso a redes que anteriormente había comprometido a otros grupos de amenazas, incluidos aquellos que buscan distribuir ransomware.

Dicha colaboración está permitiendo que los grupos de amenazas distribuyan ransomware más fácilmente sin tener que hacer una violación inicial de una purple por su cuenta.

Carl Wearn, jefe de e-criminal offense en Mimecast, explain el advenimiento de la colaboración entre grupos criminales con diferentes especialidades como uno de los desarrollos de ransomware más significativos en 2019. «Los actores de amenazas de malware están intercambiando cada vez más su trabajo», dice. «Esto lleva a los hackers a vender acceso a redes ya comprometidas».

El uso altamente selectivo de ransomware a través de infecciones precursoras para determinar un pago de rescate adecuado es otro gran problema, dice Wearn.

En muchos ataques, los actores de amenazas primero infectaron una red objetivo con malware como Emotet y Trickbot para tratar de reunir tanta información sobre los sistemas en la red como sea posible. El objetivo es encontrar los sistemas de alto valor y cifrar los datos para que las víctimas tengan más probabilidades de pagar.

«Si observamos el panorama basic, descubriremos que lo que está cambiando es el enfoque de los actores de la amenaza para distribuir a los troyanos y seleccionar a sus víctimas», dice Sinitsyn. Si hace cinco años, casi todo el ransomware era a gran escala y el vector de distribución principal era a través de correo no deseado, hoy en día muchos delincuentes están utilizando ataques dirigidos.

«Los actores de amenazas llevan a cabo un reconocimiento para encontrar una gran corporación o una entidad gubernamental o una red municipal y tratar de violar sus defensas», dice Sinitsyn. Como los delincuentes saben con quién están tratando, tienden a establecer un monto de rescate significativamente alto.

Otra tendencia a tener en cuenta es el aumento de los incidentes en los que los delincuentes no solo cifran los datos de la víctima, sino que también extraen parte de ellos durante la infección, dice Sinitsyn. Le da a los actores de la amenaza una influencia adicional para extorsionar dinero. «En caso de que la víctima sea reacia a pagar, (porque) por ejemplo, tienen copias de seguridad consistentes fuera del sitio, los delincuentes amenazarán con divulgar algunos de los datos robados al público», agrega. Un ejemplo de uso de ranomware de esta manera es Maze, una herramienta que algunos creen que se usó en un ataque reciente a Pensacola, donde los actores de amenazas exigen un rescate de $ 1 millón.

Creciente sofisticación de malware

La mayoría de las familias de ransomware desplegadas en la naturaleza es de la variedad de cortador de galletas. Incluso el ransomware que utiliza la ofuscación para evitar algún tipo de detección generalmente termina siendo detectable cuando realmente comienza a cifrar archivos. Sin embargo, algunos actores de amenazas están utilizando herramientas muy sofisticadas, dice Andrew Brandt, investigador principal de Sophos. Como un ejemplo, señala el ransomware que usa «listas de asesinatos» para tratar de terminar las herramientas anti-malware.

Otro ejemplo es el ransomware que se configura como un servicio que se ejecuta en el modo seguro incorporado de Windows, luego reinicia el sistema en modo seguro antes de comenzar a cifrar el disco duro, dice. «Arrancar en modo seguro termina efectivamente casi todas las herramientas de protección de punto final», dice Brandt. Sophos visto recientemente la función de arranque seguro agregada a Arrebatar, Una muestra de ransomware utilizada en ataques dirigidos que el proveedor de seguridad ha estado rastreando durante un año.

«Entre los avances más notables se encuentra un aumento en los atacantes de ransomware que emplean ataque activo automatizado técnicas «, dice Brandt. Estos son ataques en los que los actores de amenazas utilizan malware automatizado para perfilar rápidamente un entorno infectado y propagarse lateralmente dentro de una crimson específica o desencadenar infecciones simultáneas en varias máquinas dentro del mismo entorno», dice Brandt.

Según Sophos, muchas de las campañas de ransomware recientes más problemáticas, incluidas las relacionadas con Ryuk, Lockergoga, Robbinhood y Sodinokibi, han implicado el uso de técnicas de ataque activo.

Investigadores de Kaspersky en diciembre también reportado identificando un nuevo tipo de ransomware dirigido a dispositivos de almacenamiento conectado a la red (NAS) que las organizaciones usan para hacer una copia de seguridad de los datos. El proveedor describió el malware como un nuevo riesgo para las organizaciones porque los dispositivos NAS generalmente se perciben como tecnología segura.

Yendo móvil

Si todo esto no fuera suficiente, algunos creen que los dispositivos móviles también podrían comenzar a ser atacados.

Joel Windels, director de internet marketing de NetMotion Software, señala los datos del Informe de investigaciones de violación de datos de Verizon de 2019 que muestran a los usuarios como más susceptibles a los ataques de phishing en dispositivos móviles, y otro informe sobre los piratas informáticos chinos que violan a 10 proveedores de servicios celulares globales. «Todas las piezas están en su lugar para un aumento de ransomware móvil en 2020», dice Windels.

«Esperamos ver los primeros ataques de ransomware concertados dirigidos a aplicaciones móviles que se ejecutan en Android», dice.

La misma combinación de factores (sistemas no compatibles, desactualizados y sin parches) que condujo al aumento de los ataques de ransomware en los gobiernos locales y otros impulsará los ataques en dispositivos móviles. «A medida que la fragmentación del sistema operativo se convierte en un problema mayor para los dispositivos Android, en distinct, muchos dispositivos no se admiten con software program antiguo y parches de seguridad menos frecuentes», señala Windels.

Comentarios relacionados:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más suggestions





Enlace a la noticia primary