Por qué el ransomware se ha convertido en un problema tan grande para las empresas


El ransomware se ha convertido en una amenaza importante para todo tipo de organizaciones. ¿Cómo y por qué es un problema tan generalizado y cómo pueden las organizaciones defenderse mejor de él?

Joven asiático frustrado por un ciberataque de ransomware

Imagen: Getty Images / iStockphoto

Las organizaciones enfrentan una variedad de amenazas cibernéticas, desde campañas de phishing hasta malware, ataques de denegación de servicio distribuido (DDoS), ataques de fuerza bruta y más. Pero el ransomware parece provocar un tipo especial de temor entre las víctimas. Quizás se deba a que una organización afectada por ransomware sufre en muchos niveles diferentes: pérdida de datos críticos, repercusiones financieras, pérdida de confianza entre los clientes, daño a la reputación y una sensación general de vergüenza por ser víctima de esta forma.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (TechRepublic)

El ransomware puede afectar a cualquier organización, grande o pequeña, incluidas empresas, escuelas e instalaciones educativas, hospitales y proveedores de atención médica, agencias gubernamentales y entidades sin fines de lucro. Además, los ciberdelincuentes que implementan un ataque de ransomware exitoso lo hacen en fases, muchas de las cuales requieren planificación, sigilo y astucia.

Existe el paso inicial mediante el cual un atacante obtiene acceso a una red a través de correos electrónicos de phishing o alguna otra forma de compromiso. Existe el análisis de la red y los activos de una organización para ver dónde es vulnerable. Existe el ataque real en el que los archivos están infectados y encriptados para hacerlos inaccesibles.

A continuación, está la notificación de rescate que amenaza a la organización a menos que se realice el pago. Hay que esperar para ver si los delincuentes realmente descifran los datos incluso si se ha pagado el rescate. Y, cada vez más, hay un paso final en el que los atacantes revelan públicamente los datos comprometidos para castigar y humillar aún más a la víctima.

¿Qué tan extendido es el problema del ransomware?

Esta pregunta es difícil de responder con precisión, según el analista de SecurityHQ, Mohsin Khan Mahadik. Esto se debe a que muchas organizaciones victimizadas no informan sobre un ataque de ransomware por temor a perder dinero, negocios o datos privados. Las víctimas a menudo simplemente pagan discretamente a sus atacantes sin notificar a nadie. Para 2019, Statista registró un total de 187,9 millones de casos de ransomware en todo el mundo. Pero el número real probablemente sea mucho mayor.

En un documento sobre "Cómo proteger sus redes del ransomware, "el Departamento de Justicia de EE. UU. informó que se han producido más de 4.000 ataques de ransomware cada día desde el 1 de enero de 2016. Eso es un aumento del 300% con respecto a los 1.000 ataques registrados diariamente en 2015.

VER: Ataque de ransomware: por qué una pequeña empresa pagó el rescate de 150.000 dólares (TechRepublic)

Pero más importantes que las cifras reales son las formas en que el ransomware afecta cada vez más a sus víctimas. Debido al daño que puede infligir el ransomware, se considera una de las formas de ciberataque más extendidas y destructivas.

El pago de rescate promedio es ligeramente superior a 110.000 dólares, según la investigadora de amenazas de Digital Shadows, Kacey Clark. Pero las demandas pueden variar desde unos pocos miles de dólares hasta varios millones. Y los costos financieros van más allá del pago del rescate en sí.

En 2017, FedEx sufrió una pérdida de $ 300 millones como resultado del ataque de ransomware NotPetya. En 2018, la ciudad de Atlanta gastó más de $ 2.6 millones para recuperarse de un ataque del ransomware SamSam. Y en 2019, la ciudad de Baltimore fue obligado a gastar más de $ 18 millones para reconstruir su red de TI tras un ataque en el que se negó a pagar el rescate.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

¿Por qué el ransomware se ha convertido en una amenaza tan importante?

El ransomware comenzó a surgir a principios de la década de 2010 en gran parte debido a las rápidas mejoras en la capacidad de procesamiento de las computadoras, según Mahadik. Las computadoras ahora son tan poderosas que pueden cifrar sus propios archivos en solo unas pocas horas, lo que significa que los delincuentes pueden llevar a cabo un ataque con relativa rapidez sin que los atrapen.

VER: Cómo defender a su organización contra el aumento de los ataques de ransomware (TechRepublic)

Además, el ransomware va mucho más allá de unos pocos grupos criminales sofisticados que lanzan ataques a grandes organizaciones, según Daniel Norman, analista senior de soluciones del Information Security Forum. Cualquiera en el mundo ahora puede comprar e implementar diferentes variedades de ransomware diseñadas para varios sistemas operativos, tecnologías y productos.

"El mercado de 'ransomware-as-a-service' se ha disparado en los últimos años", dijo Norman a TechRepublic. "Cualquiera con acceso a la Dark Web puede comprar kits de ransomware fácilmente disponibles por menos de $ 100. Con paquetes listos para usar disponibles para cualquier ciberdelincuente, no sorprende por qué esta técnica de ataque ha proliferado".

Otros jugadores de nicho han allanado sus propios caminos hacia el ransomware, según Norman. Los corredores de acceso inicial adquieren y anuncian el acceso a redes comprometidas. Los afiliados de ransomware ayudan a los operadores de ransomware a ampliar sus capacidades. Los grupos de ransomware también han publicado mensajes en foros de la Dark Web que buscan reclutar personas con acceso a la red o habilidades de prueba de penetración.

VER: Política de respaldo de datos del usuario final (TechRepublic Premium)

¿Cómo son las organizaciones vulnerables al ransomware?

Entre los 187,9 millones de ataques de ransomware informados por Statista para 2019, el 67% de ellos fueron iniciados por correos electrónicos no deseados y de phishing, según Mahadik. Alrededor del 36% se debió a una formación deficiente en ciberseguridad, el 30% debido a contraseñas débiles y una gestión de activos ineficaz, el 25% debido a malas prácticas de los usuarios, el 16% debido a sitios web maliciosos y el 16% debido a clickbait.

¿Pagar o no pagar?

Las organizaciones afectadas por un ataque de ransomware exitoso tienen que tomar una decisión clave: si pagan el rescate. Pagar el rescate a veces puede parecer la forma más rápida y fácil de mitigar el problema, especialmente si no hay copias de seguridad de datos confiables u otros medios de recuperación. Pero como señala Mahadik, las víctimas harían bien en recordar que no hay honor entre los ladrones.

VER: Los ataques de ransomware continúan dominando el panorama de amenazas (TechRepublic Premium)

"Una vez que tienen sus datos, no hay garantía de que si los paga, sus datos serán devueltos o descifrados", dijo Mahadik. "Tampoco hay garantía de que no seas un objetivo por segunda vez. A menudo, una vez que se realiza un ataque, el mal actor venderá los detalles a sus asociados para que vayan tras la víctima nuevamente después del despliegue, porque la carga útil aún puede estar ahí, activado y desactivado ".

¿Cómo pueden las organizaciones protegerse mejor contra el ransomware?

Entrenamiento de usuario. La formación de usuarios es un área clave. Los usuarios deben recibir información sobre seguridad y educación sobre la amenaza del ransomware y las formas en que se puede distribuir, dijo Norman.

Parches. Asegurarse de que todos sus sistemas estén parcheados y actualizados puede ayudar a contrarrestar un ataque de ransomware.

Soluciones de seguridad. Una sólida solución antivirus y antispam debería escanear periódicamente los dispositivos en busca de malware para ayudar a prevenir un ataque de ransomware.

El equipo y el plan adecuados. Una organización también debe tener un plan de respuesta a incidentes o gestión de crisis para eventos de ransomware que describa a qué empleados contactar y qué hacer, dijo Norman. Este plan debe ensayarse con regularidad para que las personas adecuadas sepan cómo responder.

"Las organizaciones deben crear un programa sólido de concientización sobre seguridad que capacite a los empleados para identificar correos electrónicos maliciosos e informarlos a una autoridad de respuesta a incidentes", dijo Clark a TechRepublic. "Restringir (protocolo de escritorio remoto) RDP detrás de una puerta de enlace RDP y habilitar la autenticación de nivel de red puede proporcionar beneficios de seguridad si se requiere que RDP esté orientado a Internet. Además, las organizaciones deben priorizar la aplicación de parches en función del impacto que una vulnerabilidad tiene en sus datos".

Mahadik también ofreció los siguientes consejos para ayudar a prevenir un ataque de ransomware.

  • Realice copias de seguridad de sus computadoras y servidores con regularidad.
  • Unidades de red asignadas seguras con una contraseña y restricciones de control de acceso.
  • Evite manipular archivos o enlaces URL en correos electrónicos, chats o carpetas compartidas de fuentes no confiables.
  • Ejecute software con los mínimos privilegios.
  • Supervise sus puntos finales 24×7 mediante la implementación de tecnología EDR para detectar ciberataques avanzados.
  • Pólizas de seguros asociadas que cubren el costo en caso de ataque.

VER: 5 cosas más que debe saber sobre el ransomware (TechRepublic)

"Los pasos adicionales que se deben considerar al planificar un posible ataque de ransomware incluyen 1) identificar qué tipo de información se almacena en las copias de seguridad, cómo se almacenan y si es factible volver a las copias de seguridad durante un incidente; 2) realizar un análisis de riesgo de ciberseguridad; 3) capacitar al personal sobre las mejores prácticas de ciberseguridad y 4) realizar pruebas de penetración para evaluar la seguridad del sistema y fortalecer las defensas ”, dijo Clark.

Ver también



Enlace a la noticia original