Entradas
Por Stefano Alei.
Los ciberataques aumentaron persistentemente en 2021, y la pandemia exacerbó esta tendencia y proporcionó un terreno fértil para comportamientos nefastos. El ransomware es cada vez más el ataque cibernético de elección, lo que tiene un impacto devastador en las organizaciones empresariales. Aunque siempre en aumento, ha sido particularmente frecuente durante la pandemia. Antes de sumergirnos, creo que vale la pena definir claramente qué es un ataque de ransomware.
A un alto nivel, podemos clasificar el ransomware como un software malicioso que afecta negativamente a la disponibilidad, la confidencialidad o la integridad de los datos. Los datos, vitales para la continuidad del negocio, son un producto básico por el que las empresas pagarán un rescate para recuperar el control y el acceso. Pero está claro: no hay garantía de que las organizaciones realmente recuperen datos después de pagar un rescate. Además, es cada vez más común presenciar una nueva ola de ransomware, conocida como doble extorsión, en la que los atacantes exfiltran datos poniendo a sus víctimas bajo una presión adicional para pagar el rescate.
Si nos fijamos bien en algunos números relacionados con la propagación de este tipo de ciberdelincuencia, somos capaces de entender dos aspectos: qué tan extendido está y las razones por las que eso sucede.
Si observamos el cuadro anterior, está claro que se ha creado un círculo vicioso durante el tiempo. Con los años, más empresas pagaron el rescate y recuperaron sus datos. Esta evidencia alienta a los ciberdelincuentes a continuar atacando a organizaciones en todas las industrias, incluidos los gobiernos y las organizaciones públicas. Debido a la gran cantidad de oportunidades, hay más recursos disponibles para los atacantes cibernéticos para construir herramientas cada vez más sofisticadas para apuntar a más organizaciones.
Otra tendencia aterradora a notar es la creación de un marco de franquicia para equipar a los ciberdelincuentes. Al igual que el modelo de software como servicio (SaaS), ransomware como servicio (RaaS) es un modelo basado en suscripción que permite a prácticamente cualquier persona lanzar ataques de ransomware con poco esfuerzo y experiencia limitada. El organizador comparte el software, proporciona orientación y apoyo sobre cómo realizar el ataque y, a continuación, recibe un porcentaje del rescate. RaaS ha facilitado un aumento masivo de los ataques de ransomware.
Ahora que hemos entendido la ventaja comercial detrás de este tipo de actividades delictivas, veamos qué tan impactante es en las organizaciones.
Son cifras inquietantes.
¿Quiénes son estas infames bandas de ransomware? Aquí algunos de los grupos de ataque más conocidos, pero también existen otros, así como nuevos atacantes que surgen todo el tiempo.
- REvil/Sodin
- Ryuk/Conti
- Netwalker
- Lado oscuro
- DoppelPaymer
- LockBit
Entre las herramientas más utilizadas por estas organizaciones se encuentran Emotet y Trickbot, son troyanos que acceden a las redes y facilitan su propagación a través de entornos que desean atacar. Otras herramientas de ransomware populares incluyen Phorpiex y SmokeLoader. La lista es larga y cambia constantemente a medida que se desarrollan nuevas herramientas.
Los expertos dicen que muchos ciberdelincuentes de ransomware tienen su sede en Europa del Este y pueden tener vínculos con organizaciones de inteligencia. A finales del año pasado, una importante organización gubernamental arrestó a varios miembros de la pandilla de ransomware REvil: un momento épico en el delito cibernético. Desafortunadamente, los ataques cibernéticos están en aumento desde el comienzo de la invasión de Ucrania.
Curiosamente, una de estas organizaciones de ataque, Darkside, se presenta como el Robin Hood del cibercrimen: robar a empresas ricas para dar dinero a la caridad. Ninguna organización benéfica ha aceptado dinero de este tipo de delitos.
Si bien encontramos información aterradora, también hay buenas noticias.
Primero, el ransomware no surge "de la nada". Hay una miríada de indicadores muy conocidos que aparecen durante las fases comunes de un ataque durante los cuales las organizaciones pueden centrarse para evitar el ataque. El objetivo del adversario es ser sigilosamente persistente dentro del entorno de una organización y moverse lateralmente buscando datos para robar o cifrar silenciosamente. A la mayoría de las empresas les toma más de seis meses, o aproximadamente 200 días, detectar una violación de datos.
Lo que es primordial para mitigar el riesgo de un ataque de ransomware, es poder identificar los primeros indicadores comprometidos e inmediatamente tomar las contramedidas apropiadas.
Sin embargo, hay algo preliminar sobre lo cual reflexionar: demasiadas empresas no cuentan con las mejores prácticas de seguridad. Tal vez no hacen una copia de seguridad adecuada de sus datos o no aplican una política de privilegios mínimos, o sus empleados no tienen el nivel de conciencia de seguridad adecuado.
Otro gran error para una organización es confiar solo en los productos y la tecnología para una falsa sensación de seguridad. La falta de profesionales con las habilidades de ciberseguridad necesarias es una de las razones por las que esto sucede. Desde una perspectiva de seguridad empresarial, carecer de experiencia en ciberseguridad en el mundo actual es increíblemente peligroso: un estudio de la fuerza laboral de ciberseguridad realizado por (ISC)² estima que la brecha de cobertura es de aproximadamente el 30%.
Con estos antecedentes, está claro que cualquier primer paso efectivo debe comenzar con una evaluación de seguridad de la postura de seguridad dentro del entorno de una organización. Sólo entonces tiene sentido avanzar implementando las contramedidas más apropiadas. Por último, pero no menos importante, una organización puede obtener apoyo para adoptar el mejor enfoque para mitigar el riesgo de verse afectada por el ransomware. ¿Cómo? Piense en la seguridad como una "película", no como una "pintura". Es algo vivo, con múltiples partes en movimiento, que requiere observación.
Las organizaciones deben aprovechar todas las capacidades de visibilidad y monitoreo que tienen para detectar cualquier elemento que muestre algo anómalo.
Es importante considerar una solución de extremo a extremo que comience con una evaluación de seguridad y agregue enfoque en la protección del punto final, la red y las capas de datos.
Los pasos descritos anteriormente no son ni sencillos ni fáciles. Si la implementación de una seguridad de mitigación de riesgos de ransomware parece desalentadora, VMware Professional Services puede ayudar. El equipo de consultores de VMware es experto en la implementación de la seguridad de redes en una variedad de entornos, utilizando las mejores prácticas de la industria y la experiencia de trabajar con empresas globales.
