Blog de WatchGuard

En tiempos de ransom(every)ware, la seguridad unificada es esencial

Tras una serie de ataques de ransomware que han interrumpido servicios críticos en Estados Unidos, el director del FBI, Christopher Wray, ha comparado la amenaza que supone el ransomware con los ataques terroristas del 11 de septiembre de 2001. Según Wray, los recientes ataques contra uno de los mayores operadores de oleoductos de Estados Unidos y una importante organización de procesamiento de carne pueden ser solo un presagio de lo que está por venir.

"Hay muchos paralelismos, hay mucha importancia y nos enfocamos mucho en la interrupción y la prevención", comentó Wray en una entrevista en el Wall Street Journal. "Hay una responsabilidad compartida, no solo entre las agencias gubernamentales, sino también entre el sector privado e incluso el estadounidense medio".

Aunque el ransomware no es nuevo, los comentarios de Wray ponen de manifiesto una realidad importante: todos somos presa fácil para los ciberdelincuentes. Los ataques contra Colonial Pipeline y JBS paralizaron las operaciones de ambas empresas, causando un efecto dominó de escalada de los costes del petróleo y la carne de vacuno, que fue sentido por casi todos los estadounidenses en cierta medida, pero esto es solo el comienzo. El FBI está rastreando activamente alrededor de 100 tipos diferentes de ransomware vistos sobre el terreno, con nuevas amenazas que surgen cada día. Los ciberdelincuentes son muy conscientes del poder que el ransomware pone a su alcance, ya que les permite explotar el valor de los datos y los sistemas que, de otro modo, serían difíciles de monetizar. Y, con los precios de las criptomonedas en máximos históricos, el coste de la recuperación puede ser desalentador.

El apunte de Wray sobre la responsabilidad compartida debe servir como una llamada de atención para las empresas más pequeñas que pueden no verse a sí mismas como objetivos dignos. Con esto en mente, aquí hay diez maneras en las que WatchGuard ayuda a las medianas empresas a defenderse contra el ransomware con protección en capas:

1. Bloquear los intentos de phishing automáticamente con el filtrado de DNS. El phishing a través del correo electrónico es el método más común para iniciar un ataque de ransomware. El bloqueo de correos electrónicos maliciosos con spamBlocker en el Firebox y antispam en el endpoint puede mantener el buzón de su usuario libre de compromisos. ¿Ha perdido un email y un usuario hace clic en un enlace que no debería? DNSWatch permite eliminar los canales de comando y control y bloquear las conexiones con los malos. ¿Necesita proteger a los usuarios de forma remota? DNSWatchGO ofrece la misma protección por usuario, sin necesidad de una VPN.

2. Imponer identidades de usuario robustas con MFA. AuthPoint proporciona una autenticación multifactor eficaz para su personal, protegiendo los activos, las cuentas y los datos de la empresa contra el robo de credenciales, el fraude y los ataques de phishing. Además, la aplicación móvil AuthPoint hace visible cada intento de inicio de sesión y su ADN móvil único garantiza que solo el dispositivo original puede realizar la autenticación contra las sofisticadas amenazas que clonan los dispositivos móviles.

3. Cerrar fácilmente las brechas de seguridad con la gestión de parches. Según el Ponemon Institute, el 57% de las víctimas de ciberataques afirmó que la aplicación de un parche habría evitado que fueran atacados y el 34% dijo que incluso conocía la vulnerabilidad antes del ataque. La solución de gestión de parches de WatchGuard, fácil de usar, para gestionar las vulnerabilidades de los sistemas operativos y las aplicaciones de terceros en estaciones de trabajo y servidores de Windows, puede ayudar a reducir la superficie de ataque contra los ataques de ransomware.

4. Evitar la ejecución de aplicaciones desconocidas. Nuestro exclusivo Zero-Trust Application Service permite la supervisión, detección y clasificación continua de toda la actividad de los endpoints para revelar y bloquear comportamientos anómalos de usuarios, máquinas y procesos. Endpoint Protection Detection and Response mitiga automáticamente el ataque, bloqueando la ejecución de cualquier aplicación desconocida hasta que sea validada como fiable por nuestro sistema de aprendizaje automático y/o equipo de ciberseguridad.

5. Eliminar las cargas útiles de malware iniciales en el firewall. Los firewalls como el Firebox de WatchGuard están en buena posición para bloquear los archivos de malware de primera etapa, como los droppers, que a menudo son seguidos por activos más maliciosos. El Firebox ofrece tres niveles de protección contra el malware: Gateway AV (firmas y heurística), IntelligentAV (prevención potenciada por IA sin firmas) y APT Blocker (sandbox avanzado en la nube).

6. Supervisar los ataques activos con visibilidad de los endpoints en tiempo real. Por naturaleza, el ransomware infecta los dispositivos endpoint. Tener visibilidad de la actividad de los eventos en estos dispositivos hace posible detectar y remediar las amenazas antes de que el daño esté hecho. Endpoint Protection Detection and Response proporciona una visibilidad clara y oportuna de la actividad maliciosa en toda la organización. Esta visibilidad permite a los equipos de seguridad evaluar rápidamente el alcance de un ataque y adoptar las respuestas adecuadas.

7. Correlacionar la telemetría en todo el grupo para obtener un mayor contexto. Los ciberdelincuentes son ninjas a la hora de burlar los sistemas de seguridad tradicionales. Utilizan ataques sigilosos y dirigidos para suavizar sus pasos y esconderse en las sombras, haciendo que los ataques sean fáciles de pasar por alto. Parte de WatchGuard Firebox, nuestra solución ThreatSync utiliza un sensor de host ligero, y el poder de la Nube para correlacionar automáticamente los datos de telemetría de múltiples puntos en su stack de seguridad para rápidamente detectar y eliminar las amenazas que de otro modo habrían pasado desapercibidas.

8. Detener el cifrado de archivos no autorizado. Host Ransomware Prevention aprovecha un motor de análisis de comportamiento y un honeypot de directorio señuelo para supervisar una amplia variedad de características que determinan si una acción determinada está asociada a un ataque de ransomware o no. Si se determina que la amenaza es maliciosa, HRP puede prevenir automáticamente un ataque de ransomware antes de que se produzca el cifrado de archivos en el endpoint. 

9. Restaurar los endpoints con facilidad. Durante su ejecución, el malware a menudo crea, modifica o elimina los ajustes de los archivos del sistema y del registro y cambia los ajustes de configuración. Estos cambios, o los restos que quedan, pueden causar inestabilidad en el funcionamiento del sistema o incluso una puerta abierta a nuevos ataques. Endpoint Protection Detection and Response, en aquellos casos residuales en los que se permite la ejecución de malware, restaura los endpoints a su estado de confianza previo al malware.1

10. Minimizar el tiempo de detección. El servicio de investigación y threat hunting de WatchGuard ayuda a detectar técnicas emergentes de hacking y living-off-the-land. Utilizando nuestros expertos en seguridad, analizamos los casos sospechosos para encontrar nuevas y únicas técnicas de evasión (conocidas como TTPs) en el flujo de eventos. A partir de ahí, creamos reglas que representan nuevas TTPs que pueden ser enviadas a sus endpoints para protegerlos rápidamente contra nuevos ataques.

En este periodo de ransom(every)ware, las organizaciones deben darse cuenta de que las amenazas se presentan de numerosas formas y utilizan técnicas avanzadas, incluso contra las empresas más pequeñas. Por lo tanto, contar con una plataforma de seguridad unificada que permita a su equipo actuar antes de que se explote cualquier vulnerabilidad potencial y acelerar la respuesta en caso de que se produzca una brecha, puede contribuir en gran medida a evitar ataques que paralicen la actividad empresarial.