Hace 30 años que los expertos en seguridad informática están batallando en contra de los Ransomware, aquellos programas maliciosos que se infiltran en los dispositivos para bloquear información o accesos y pedir un “rescate” a cambio.
Con el tiempo, este tipo de cibercrimen se fue sofisticando y lo que antes era un ataque hacia un objetivo en particular, ahora se produce de forma masiva. Las víctimas principales son las empresas y los rescates suelen pedirse en criptomonedas.
Dentro de las tendencias 2021 de seguridad se encuentra la irrupción del modelo Ransomware como Servicio (RaaS por sus siglas en inglés) y sus programas afiliados, como botnets, cuya amenaza es aún mayor dada la posibilidad de realizar ataques más complejos y a gran escala. Para los expertos, la eficacia de los ataques durante 2020 lleva a pensar que ya no se trata meramente de Ransomware, sino que se está frente a una Amenaza Persistente Avanzada, o más conocido por su nombre en inglés, Advanced Persistent Threat (APT)
En el siguiente artículo, te explicamos en detalle de qué se trata estos puntos y algunas recomendaciones sobre cómo combatir el Ransomware.
|
Un análisis de Blockchain en 2020 muestra que el monto total pagado por las víctimas de ransomware aumentó en un 311% durante un año y alcanzó casi $350 millones de dólares en criptomonedas. Fuente: Chainalysis |
Ransomware: de los individuos a las entidades
El primer ataque registrado de Ransomware data de 1989 cuando el Dr. Joseph Popp, un biólogo evolutivo recibido de Harvard, distribuyó una serie de disquetes en todo el mundo con información sobre el virus del SIDA. El disquete también incluía un programa malicioso, el troyano AIDS que al cabo de un tiempo bloqueaba accesos y exigía un pago de $189 y otro de $378.
En los ‘90 los ataques de Ransomware se complejizan, pero siempre tenían algo de artesanía. Los códigos maliciosos eran escritos y luego propagados por sus propios autores, y hasta cierto punto las técnicas de cifrado que se utilizaban eran desarrolladas a medida. La popularización del uso del correo electrónico y de las plataformas de comunicación online hicieron que se facilite la propagación masiva mediante técnicas de phishing. Sin embargo, las plataformas pudieron controlarlo a través de sistemas anti-spam.
Quizás te interese seguir leyendo
Que la transformación digital no lo deje vulnerable
A mediados de los 2000, los ataques comenzaron a utilizar algoritmos de cifrado más sofisticados y difíciles de descifrar, como el RSA. A su vez, se implementaron técnicas de ingeniería social más sofisticadas como el spearphishing (una estafa de phishing con mayores niveles de precisión y detalle que logra evadir el control antispam), atacando principalmente a empleados de empresas, entidades gubernamentales y organizaciones.
|
El 85% de las organizaciones han sido blanco de campañas de phishing. Se calcula que el 30% de los correos de estafa son abiertos por los usuarios y el 12% hace click en el archivo adjunto o link malicioso. Fuente: Security Boulevard |
Ransomware como Servicio y la amenaza híbrida
En los últimos años, este tipo de ataque se convirtió en toda una industria e irrumpió en escena lo que se conoce como el Ransomware como Servicio (RaaS), un punto muy crítico de la ciberseguridad para empresas. Grupos organizados de ciberdelincuencia comercializan kits para llevar adelante ataques de Ransomware, ofreciendo los códigos, la infraestructura, los programas y los accesos necesarios para cumplir con el objetivo. El mercado ocurre de forma ilegal en la dark web y las transferencias de dinero se realizan en criptomonedas. Una investigación de Bloomberg señala que se pueden encontrar kits sencillos de utilizar desde 150 dólares.
Los programas de afiliados al RaaS han generado una suerte de amenaza híbrida entre los grupos cibercriminales asociados al Ransomware y a otros que, por ejemplo, buscan defraudar a grandes compañías mediante la captura de datos confidenciales asociados a propiedad intelectual o de los clientes, como información de tarjetas de crédito, bancaria e información personal en general. Este híbrido está compuesto por: grupos que manejan grandes botnets (que ya tienen un acceso remoto a sus víctimas), el proveedor del RaaS, y usualmente otro grupo que busca lucrar con la captura de los datos.
Principales Ransomware de la región en el 2020:
- Egrego
- Ryuk
- Ragnar
- Dharma
- Revil/Sodinokibi
- Maze
- Locky
- Doppelpaymer
Sigue leyendo
Amenazas informáticas que desafían las comunicaciones seguras
Una amenaza persistente
Lo que hay que entender de las nuevas tendencias del Ransomware es que claramente se está frente a una APT, es decir, no se trata de casos aislados, sino de técnicas de hackeo continuas, clandestinas, a través de múltiples vectores para acceder a un sistema, dañarlo y permanecer allí durante un tiempo prolongado. El objetivo de las APT siempre son a actores de alto valor: empresas, entidades gubernamentales, marcas reconocidas, etcétera.
En este sentido, los servicios de seguridad en empresas tienen que estar preparados para un escenario complejo. Actualmente los Ransomware se propagan a mayor velocidad, con un ciclo de pago más eficiente, hay mayor frecuencia en los ataques, menores costos y mayor acceso a programas maliciosos. A su vez, la aparición de “ciber-seguros” que cubren ataques informáticos alienta el accionar de ciberdelincuentes.
Cómo eliminar el Ransomware
La realidad es que es muy difícil combatirlo, una vez que se instaló en un dispositivo. Muchos antivirus no lo reconocen.
La cuestión central pasa por la prevención. Es necesario tomar medidas de seguridad corporativa para evitar que alguno de los empleados sea víctima de un ataque. Principalmente, un buen estado de alerta ante el phishing y el spearphishing. Partir siempre de la desconfianza y la sospecha ante cualquier elemento inusual, aunque sea el más mínimo (Zero Trust). Si el correo llega de un remitente conocido, pero hay algo raro (por ejemplo, un archivo adjunto no solicitado) lo mejor es preguntar antes de abrir y cometer errores.
Para ello resulta necesario tener en cuenta que los 3 principales vectores de ataque para ganar el “Acceso inicial” a la red son:
- Acceso Remoto
- Phishing
- Manipulación de aplicaciones de terceros
1. Acceso remoto (como segurizarlo)
Crear reglas que requieran que todos los accesos de RDP sean conducidos por una VPN, asegurados por 2FA (doble factor de autenticación), limitados a roles específicos, en sistemas específicos que estén configurados adecuadamente, con todos los parches de seguridad, monitoreados constantemente, reforzados apropiadamente mediante un firewall, y respaldados regularmente.
Inventario: Tener un inventario de los activos con acceso desde Internet.
Procesos: Tercerizados o empleados no deberían tener acceso a servidores, a no ser que estén correctamente configurados (origen y destino).
2. Correo electrónico
Contar con un AntiSpam – AntiVirus de nueva generación y Concientización
3. Manipulación de aplicaciones
L
os atacantes vulneran la seguridad de aplicaciones legítimas, inyectan código malicioso a los archivos legítimos de actualización de las aplicaciones. Los usuarios que trabajan en forma remota actualizan herramientas y también instalan el backdoor, abriendo camino para el Ransomware.
La primera línea de defensa contra este tipo de ataques es un antivirus de nueva generación, respaldado por tecnología EDR (Detección y Respuesta).
Finalmente, se recomienda contar con un servicio que brinde a la empresa soluciones de seguridad TI que se ajusten a las necesidades específicas. Un buen equipo de profesionales en ciberseguridad es la mejor forma de prevenir y combatir los ataques.
¿Qué medidas han tomado para prevenir ataques de ransomware?
¿Le gustaría saber más?
