Cómo parar los ataques de ransomware más sofisticados
El número y la frecuencia de los ciberataques de ransomware no para de aumentar cada año: la agencia europea para el ciberespionaje (ENISA) ha registrado un crecimiento del 150% solo en el 2020 y ya constituye la primera amenaza en ciberseguridad desde el año pasado. Por si fuera poco, el coste de recuperación y el tiempo de inactividad que generan puede ser incluso de 10 a 15 veces mayor que el precio del rescate que exigen los ciberatacantes. Estos son algunos de los datos más llamativos que recoge el nuevo eBook de WatchGuard “Escape the Ransomware Maze”.
El documento también describe cómo los ciberatacantes actuales utilizan tácticas sofisticadas para evadir las medidas de detección de ransomware tradicionales y se aprovechan de los procesos comunes para introducirse en los sistemas. De esta manera, se mueven lateralmente por la red buscando la sustracción y el cifrado de datos. Una vez que tienen lo que necesitan, amenazan con vender o filtrar los datos exfiltrados o la información de autenticación si no se paga el rescate. Además, también señala los patrones que suelen seguir para lograr este objetivo:
- Los ciberatacantes logran el acceso a la organización utilizando uno de los siguientes vectores de ataque: robo de contraseñas, fuerza bruta, vulnerabilidades de software o phishing.
- Una vez que han obtenido el acceso inicial a la red, el atacante intentará encontrar identidades clave dentro de la organización para obtener credenciales de acceso que le permitan seguir avanzando, eludiendo así las medidas de ciberseguridad tradicionales
- Tras la intrusión, los ciberatacantes emplean una serie de herramientas para llevar a cabo el ciberataque: o bien entran con un malware que contiene un paquete con todas las herramientas necesarias o, tras la intrusión, descargan las otras herramientas necesarias estableciendo comunicación con un servidor de control y mando (Command-and-Control server).
- En la etapa final del ciberataque, el ransomware ya ha sido descargado e instalado en el sistema y comienza a hacer aquello para lo que fue diseñado. Intentará desactivar las medidas de ciberseguridad y tratará de sacar información sensible, destruir las copias de backup y, finalmente, inutilizar los sistemas y cifrar los datos de la organización.
En este contexto, ¿cómo pueden frenar las organizaciones unos ciberataques de ransomware que cada vez utilizan técnicas más sofisticadas, ocurren con mayor frecuencia y que son capaces de evadir las soluciones de ciberseguridad comunes con asombrosa facilidad? El eBook responde a esta cuestión proponiendo una serie de buenas prácticas, como contar con backups adecuadamente protegidos y separados de la red conectada de la organización, tener completamente actualizados los sistemas y el software de terceros con los últimos parches y gestionar adecuadamente las contraseñas y los permisos de acceso dentro de la organización, etc.
Pero también advierte que estas medidas aunque preventivas, no son infalibles, y que es necesario que combinarlo con una solución de ciberseguridad integral que proporcione la capacidad de detectar y responder ante este tipo de amenazas avanzadas. Para ello, se considera de vital importancia contar soluciones de seguridad que incorporen tecnologías enfocadas en un modelo Zero-Trust, y que basen las capacidades en la protección, detección y respuesta en el endpoint, ayudar a reducir la superficie de ataque parcheando vulnerabilidades conocidas, gestión de identidades mediante autenticación multifactor (MFA), tener funcionalidades anti-phishing, anti-exploit, anti-tampering y disponer de un servicio de clasificación automática de procesos y aplicaciones y un servicio de Threat Huting.