Cómo evoluciona el ransomware como amenaza para las organizaciones


Los ciberdelincuentes saben que pueden ganar dinero con ransomware y siguen siendo más audaces con sus demandas, dice la Unidad 42 de Palo Alto Networks.

Joven asiático frustrado por un ciberataque de ransomware

Imagen: Getty Photos / iStockphoto

El ransomware se ha convertido en una de las amenazas de seguridad más perniciosas para las organizaciones y ha demostrado ser lucrativo para los delincuentes que lo practican. Muchas víctimas simplemente optan por pagar el rescate para volver a funcionar, especialmente si carecen de una forma feasible de recuperar sus datos. Pero los operadores de ransomware se están volviendo más inteligentes y atrevidos, lo que genera incidentes cada vez más costosos para las organizaciones comprometidas.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (TechRepublic)

Un informe publicado el miércoles por Device 42, el equipo de inteligencia de amenazas de Palo Alto Networks, analiza cómo ha evolucionado el ransomware y brinda consejos sobre cómo proteger su organización. Para crear su «Informe de amenazas de ransomware 2021, «Unit 42 trabajó con Palo Alto Networks &#39 Equipo de respuesta a incidentes de Crypsis para analizar el ransomware en función de sus datos colectivos en EE. UU., Canadá y Europa.

El estado del ransomware

En primer lugar, Unit 42 encontró un aumento en las demandas de ransomware que afectan a organizaciones de todo el mundo. En 2020, la demanda promedio de ransomware alcanzó los $ 312,493, casi el triple de la cantidad de $ 115,123 en 2019. La demanda más alta alcanzó los $ 30 millones el año pasado, frente a los $ 15 millones de los años anteriores. Además, la cantidad más alta pagada por una víctima se disparó a $ 10 millones en 2020 desde $ 5 millones en 2019.

La pandemia de coronavirus allanó el camino para audaces ataques contra hospitales y centros de salud, que fue el sector más atacado el año pasado. Los ciberdelincuentes atacaron a este tipo de organizaciones sabiendo que no podían permitirse perder el acceso a datos críticos mientras buscaban realizar una investigación sobre COVID-19 y ayudar a los pacientes afectados por el virus.

La táctica de la doble extorsión también ganó más tracción en 2020. En este tipo de ataque, los delincuentes amenazan con filtrar los datos cifrados públicamente a menos que se pague el rescate. Como tal, incluso las organizaciones victimizadas que tienen copias de seguridad de los datos robados pueden estar más dispuestas a pagar el rescate para evitar la exposición. Al menos 16 variantes de ransomware diferentes ahora están usando la trama de doble extorsión, según la Unidad 42.

Muchos atacantes han cambiado sus campañas de modelos de gran volumen de «rociar y rezar» a enfoques más centrados en «permanecer y jugar». Con este último, los piratas informáticos se toman más tiempo para conocer a sus víctimas y redes después de la violación inicial.

Los operadores de ransomware continúan violando las redes a través de los métodos habituales. Entre ellos se incluyen campañas de phishing, que utilizan credenciales de Protocolo de escritorio remoto débiles o comprometidas y explotan las vulnerabilidades del program. Para el acceso inicial, muchos confían en malware básico como Dridex, Emotet y Trickbot. Después de irrumpir en una red, los atacantes suelen utilizar herramientas integradas como PSExec y PowerShell para moverse lateralmente.

Algunas de las principales familias de ransomware observadas por Device 41 incluyen Ryuk, Maze (ChaCha), Defray777, WastedLocker, GandCrab + REvil, NetWalker, DoppelPaymer, Dharma, Phobos y Zeppelin. Cada grupo tiene su propio conjunto de tácticas y especialidades. Por ejemplo, Ryuk united states campañas de rociar y orar para atacar a agencias gubernamentales, centros de salud y organizaciones de alta tecnología. Maze participa en ataques más específicos contra los sectores de finanzas, transporte y logística, telecomunicaciones y comunicaciones.

ransomware-number-victim-Organizations-unit-42.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/03/16/2cc4aff6-4c91-494e-a3e4-7e8687b5a364 /resize/770x/e16aa77def11f4526fab34b2b495b369/ransomware-number-victim-organizations-unit-42.jpg

El número de organizaciones victimizadas afectadas por cada familia de ransomware con sus datos filtrados públicamente en 2020.

Imagen: Unidad 42

El futuro del ransomware

En cuanto al futuro del ransomware, Device 42 anticipa algunas tendencias en curso y en constante aumento. Es possible que se expanda el modelo de ransomware como servicio, en el que las personas contratan un trabajo de ransomware con delincuentes a sueldo. Se espera que más atacantes aprovechen la estrategia de doble extorsión. Se seguirán creando e implementando variantes de ransomware nuevas y actualizadas. Y mientras se siga pagando a los atacantes, la demanda de ransomware seguirá aumentando.

Recomendaciones

Para ayudar a su organización a protegerse contra el ransomware, Palo Alto Networks ofrece los siguientes consejos:

  • Combatir el acceso inicial. Las organizaciones deben mantener la conciencia de los usuarios y la capacitación para la seguridad del correo electrónico, así como considerar formas de identificar y corregir el correo electrónico malicioso tan pronto como ingrese a la bandeja de entrada de un empleado. Las organizaciones también deben realizar una gestión adecuada de los parches y revisar qué servicios pueden estar expuestos a Web. Los servicios de escritorio remoto deben configurarse y protegerse correctamente, utilizando el principio de privilegios mínimos siempre que sea posible, con una política establecida para detectar patrones asociados con ataques de fuerza bruta.
  • Tener un proceso de copia de seguridad y recuperación eficaz. Las organizaciones deben continuar respaldando sus datos y mantener un proceso de recuperación adecuado. Los operadores de ransomware apuntarán a las copias de seguridad en el sitio para el cifrado, por lo que las organizaciones deben asegurarse de que todas las copias de seguridad se mantengan de forma segura fuera de línea. Los procesos de recuperación deben implementarse y ensayarse con las partes interesadas críticas para minimizar el tiempo de inactividad y los costos para la organización en caso de un ataque de ransomware.
  • Emplee los controles de seguridad adecuados. Las formas más efectivas de protección contra ransomware son la seguridad de endpoints, el filtrado de URL o la protección world-wide-web, la prevención avanzada de amenazas (amenazas desconocidas / sandboxing) y las soluciones anti-phishing implementadas en todos los entornos y dispositivos empresariales. Si bien estos no garantizarán la prevención, reducirán drásticamente el riesgo de infección por variantes comunes y proporcionarán medidas provisionales, lo que permitirá que una tecnología ofrezca una línea de aplicación donde otra puede no ser efectiva.

Ver también



Enlace a la noticia original