Cómo está evolucionando la defensa contra ransomware con ransomware …


A medida que las amenazas de exfiltración de datos y las solicitudes de rescate más grandes se convierten en la norma, los profesionales de seguridad están avanzando desde el consejo básico de «mantener buenas copias de seguridad».

El ransomware se volvió mortal en 2020.

Las instalaciones sanitarias fueron atacadas a un ritmo alarmante, incluido un incidente en Alemania que conducen a la muerte de un paciente cuando un ataque bloqueó sistemas críticos y una mujer que necesitaba cuidados críticos fue rechazada. Murió después de tener que ser trasladada a otra ciudad para recibir tratamiento.

El ransomware es ahora una de las amenazas de más rápido crecimiento en ciberseguridad, y se prevé que los daños tengan un costo $ 20 mil millones a nivel mundial para 2021, frente a $ 354 millonesion en 2015.

Pero si trabaja en seguridad de información, probablemente lo sabía. No estamos aquí para decirle que el ransomware es un problema. Pero estamos aquí para examinar qué están haciendo los equipos de seguridad para defenderse y qué técnicas están surgiendo como las mejores opciones para mitigar el ransomware.

Francamente, el panorama true no es bueno, según Azeem Aleem de la firma de servicios de tecnología NTT Ltd. Los ataques de ransomware son más agresivos y diversificados que nunca, y utilizan múltiples vectores de ataque. Ahora hay toda una industria dedicada a vender ransomware en el mercado negro (ransomware como servicio), lo que lessen la barrera para la entrada de delincuentes y significa que más atacantes están entrando en este negocio tan rentable.

«La defensa está luchando», dice Aleem. «Algunos grupos de ransomware se están asociando con otros actores de amenazas, donde el compromiso inicial lo realiza un malware básico y luego brindan acceso a un actor de amenazas secundario que opera el ransomware como un servicio».

Pero así como las técnicas criminales mejoran, también deben mejorar las estrategias de defensa.

«La defensa contra ransomware debe seguir evolucionando, pero dado que nunca podremos evolucionar tan rápido como los atacantes y la industria, y el mundo del comercio colectivo nunca será tan ágil como un grupo bien orquestado de adversarios decididos, tenemos que pensar de manera diferente «, agrega Chris Roberts, hacker residente en Semperis.

Aquí hay un vistazo a lo que los equipos de seguridad están recurriendo ahora para luchar contra la enorme amenaza del ransomware.

La tecnología de detección busca comportamientos diferentes

Las primeras defensas de ransomware se basaban inicialmente en detecciones basadas en firmas, que funcionaron bien para ataques de ransomware específicos después de ser identificadas, según Mike Schaub, gerente de seguridad de la información de CloudCheckr. Pero con la aparición de nuevos tipos de ransomware que se comportan de manera diferente hoy en día, ahora se necesitan nuevos tipos de detección.

«Estos incluyen un mejor análisis de comportamiento o heurístico, o el uso de archivos canary o de cebo para una mejor detección temprana de un ataque en capas con protecciones de los propios archivos, como hacer una copia de seguridad de los archivos antes de que un proceso sospechoso los encripte, incluir los procesos de encriptación en la lista blanca». él dice.

Si bien el criptoransomware clásico simplemente bloqueó el acceso a los sistemas, ahora está de moda que los atacantes de ransomware también amenacen a las víctimas con el robo de datos y el doxxing.

«Extorsión no solo mediante el cifrado, sino también mediante la copia de datos y la amenaza de filtrarlos si no se paga un rescate», dice Schaub. «Esta amenaza de exfiltración tiene diferentes comportamientos para buscar en la defensa contra ransomware».

Cazar y prevenir

Roberts de Semperis dice que otra técnica emergente enfatiza el trabajo de defensa proactivo y predictivo.

«La defensa contra ransomware debe evolucionar de reaccionar a las cosas, a predecirlas y luego anticipar el riesgo».

Esta «búsqueda y prevención» en comparación con la antigua estrategia de «detección y respuesta» tiene más equipos de seguridad que colocan recursos en la investigación de ransomware, la búsqueda de amenazas y la simulación de adversarios, dice David Shear, gerente de gobierno de datos de amenazas de Vigilante.

«El futuro de la defensa contra ransomware ya no será simplemente escanear en busca de puntos finales vulnerables y agregar detección de ransomware a la protección de su punto closing, sino una búsqueda más exhaustiva a través de sus redes para detectar actividad anómala, y simular los adversarios del ransomware de los que espera defenderse», dijo. dice.

Aleem de NTT dice que los controles tradicionales alrededor de un marco basado en firmas conducen a una falta de visibilidad de las amenazas de ransomware actuales. Confiar en las herramientas tradicionales, como la detección y respuesta de endpoints (EDR) solo puede detectar alrededor del 1% de los ataques avanzados.

«Serás violado», dice. «Lo que necesitan las organizaciones es pasar de una estrategia reactiva a una proactiva y predictiva utilizando inteligencia de amenazas. Para hacer esto, necesitan una visibilidad completa de la superficie de amenazas para detectar patrones de amenazas en sus redes».

Aleem recomienda mapear tácticas, técnicas y procedimientos que utilizan actualmente los grupos de ransomware para comprender su estrategia, el tiempo que les lleva implementar el ransomware y cuánto tiempo tiene un equipo de respuesta a incidentes para descubrir, escalar y remediar.

Hacer un trato

A medida que el seguro cibernético se vuelve más popular (y la proliferación del ransomware tiene algo que ver con eso), las empresas se sienten más cómodas pagando rescates, y los operadores de ransomware se sienten más cómodos pidiendo pagos mayores y, a veces, algunas negociaciones sobre el precio.

Kurtis Minder, director ejecutivo de GroupSense, una empresa de servicios de protección de riesgos digitales que realiza un reconocimiento de la web oscura y proporciona servicios de negociación de actores de amenazas a las víctimas de ransomware, advierte que las empresas necesitan más información sobre los atacantes antes de poder emitir un juicio informado sobre si deben pagar un rescate en primer lugar. «Y si deciden pagar, necesitan un negociador de ransomware experimentado de lo contrario, corren el riesgo de empeorar el problema al enfurecer al actor de la amenaza», dice.

«Si lo tomaran como rehén en un robo a un banco, no querría que el gerente de la sucursal negociara su liberación, querría un negociador de disaster del FBI. Lo mismo ocurre con la negociación de ransomware».

(continúa en la página 2 de 2: profundizando en los fundamentos)

Joan Goodchild es una periodista, editora y escritora veterana que ha estado cubriendo la seguridad durante más de una década. Ha escrito para varias publicaciones y anteriormente se desempeñó como editora en jefe de CSO On the web. Ver biografía completa

Anterior

1 de 2

próximo

Lectura recomendada:

Más información





Enlace a la noticia first