El ransomware corre desenfrenado, entonces, ¿cómo puede combatir esta amenaza?


Un nuevo artículo explica cómo el ransomware se ha convertido en una de las principales amenazas cibernéticas del día y cómo su organización puede evitar convertirse en la próxima víctima.

La comunidad de infosec ha estado advirtiendo durante mucho tiempo que el ransomware tiene el potencial de convertirse en la ciberamenaza número uno para las empresas. Sin embargo, dado que las demandas de rescate eran bajas y la distribución de malware period mucho menos efectiva hace unos años, muchas organizaciones no prestaron atención a esas predicciones y ahora están pagando grandes rescates.

Avance rápido hasta hoy: con innumerables informes de incidentes de ransomware en los medios y cientos de millones de ataques de fuerza bruta diarios, una puerta de entrada común para el ransomware, permanecer indefenso ya no es una opción. En la última actualización de nuestro well-liked libro blanco, Ransomware: un arte prison de código malicioso, presión y manipulación, explicamos qué llevó al preocupante aumento en la gravedad de los ataques de ransomware, pero también qué deben hacer los defensores para mantener a sus organizaciones fuera de la zona de peligro.

Comencemos con los números. Entre enero de 2020 y junio de 2021, la protección contra ataques de fuerza bruta de ESET evitó más de 71 mil millones ataques contra sistemas con puertos de Protocolo de escritorio remoto (RDP) de acceso público, lo que demuestra la popularidad de ese protocolo entre los ciberdelincuentes como superficie de ataque. Si bien el crecimiento más notable se produjo en la primera mitad de 2020, reflejando los bloqueos causados ​​por la pandemia world wide, las cifras diarias más altas se registraron en la primera mitad de 2021.

Figura 1. El número de ataques de fuerza bruta ha ido en aumento desde principios de 2020, alcanzando las cifras diarias más altas en el primer semestre de 2021.

La comparación del primer semestre de 2020 y el primer semestre de 2021 muestra un enorme crecimiento del 612% de estos ataques de adivinación de contraseñas contra RDP. El número medio diario de clientes únicos que informan de este tipo de ataques también ha aumentado significativamente, pasando de 80.000 en el primer semestre de 2020 a más de 160.000 (+ 100%) en el primer semestre de 2021.

Figura 2. Según la telemetría de ESET, la tendencia de detección de ataques de fuerza bruta RDP muestra un crecimiento continuo con varios picos importantes en 2021.

Pero RDP no es el único canal de distribución que utilizan actualmente las bandas de ransomware. Las campañas de spam que entregaban documentos poco fiables, macros maliciosos, hipervínculos dañinos y binarios de botnets no llegaron a ninguna parte y siguen bombardeando a las víctimas potenciales además de los miles de millones de ataques de fuerza bruta.

Además de RDP, el aumento de la actividad de ransomware también ha sido impulsado por la técnica de doble extorsión (o doxing), iniciada en 2019 por la ahora desaparecida banda Maze. Además de cifrar los datos de las víctimas, este infame grupo de ransomware también comenzó a robar la información más valiosa y smart de las víctimas y amenazó con publicarla a menos que se pagara el rescate.

Otras familias de ransomware, incluidas Sodinokibi (también conocido como REvil), Avaddon, DoppelPaymer y Ryuk, pronto siguieron su ejemplo, basándose en esta base eficaz de doble extorsión. Se introdujeron nuevos métodos dirigidos no solo a los datos de las víctimas, sino también a sus sitios website, empleados, socios comerciales y clientes, lo que aumentó aún más la presión y, por lo tanto, la disposición a pagar.

Debido a la mayor efectividad de estas técnicas de extorsión y una gama más amplia de canales de distribución, se estima que cientos de millones de dólares han terminado en las cuentas de estos ciberdelincuentes técnicamente capacitados. Rescates impactantes, como el $ 70 millones exigidos por Sodinokibi en el Ataque de Kaseya o la $ 40 millones pagados por CNA, demuestran la escala que ha alcanzado este problema en 2021.

Las grandes sumas que fluyen hacia las arcas de las bandas de ransomware también les permiten desarrollar su modelo de negocio de ransomware como servicio (RaaS) e incorporar numerosos nuevos afiliados. Aliviados del «trabajo sucio» de encontrar y extorsionar a las víctimas, algunos de los actores más avanzados incluso comenzaron a adquirir vulnerabilidades de día cero y comprar credenciales robadas, ampliando aún más el grupo de víctimas potenciales.

Pero estos actores de amenazas no se detienen ahí. El creciente número de incidentes de ransomware conectados directa o indirectamente a ataques a la cadena de suministro representa otra tendencia preocupante que podría indicar la dirección en la que estas pandillas se dirigirán a continuación.

Con dinero, ambición y enfoque principalmente en el lado de las bandas de ransomware, aprender de las historias de pesadillas reportadas diariamente y los análisis de malware se ha convertido en una necesidad para cualquier profesional de TI y seguridad. Desde principios de 2020, se ha demostrado una y otra vez que las políticas aplicadas, configuración adecuada del acceso remoto, y las contraseñas seguras, combinadas con la autenticación multifactor, pueden ser los elementos decisivos en la lucha contra el ransomware. Muchos de los incidentes mencionados en el Ransomware: un arte prison de código malicioso, presión y manipulación El documento técnico también destaca la importancia de aplicar parches a tiempo, ya que las vulnerabilidades conocidas y reparadas (pero no parcheadas) se encuentran entre los vectores de referencia de estas bandas.

Pero incluso una buena higiene cibernética y una configuración correcta no detendrán a todos los atacantes. Para contrarrestar a los actores de ransomware que utilizan vulnerabilidades de día cero, botnets, malspam y otras técnicas más avanzadas, se necesitan tecnologías de seguridad adicionales. Estos incluyen una solución de seguridad de punto final de múltiples capas, capaz de detectar y bloquear amenazas en el correo electrónico, detrás de hipervínculos o entrantes a través de RDP y otros protocolos de purple y herramientas de respuesta y detección de endpoints para monitorear, identificar y aislar anomalías y signos de actividad maliciosa en el entorno de la organización.

Las nuevas tecnologías, si bien aportan beneficios a la sociedad, también constituyen un campo de oportunidades en constante expansión para los ciberdelincuentes. Con suerte, al explicar qué tan grave se ha vuelto una amenaza ransomware y qué se puede hacer para defenderse de ella, este informe ayudará a asegurar esos beneficios, al tiempo que minimiza las pérdidas causadas por los malos actores.



Enlace a la noticia first