En los últimos dos años, los ataques generalizados de ransomware, en
los que los delincuentes utilizan malware para cifrar los datos y solicitan un
rescate para devolverlos, han sido sustituidos por ataques más selectivos
contra empresas y sectores concretos. En estas campañas más selectivas, los
atacantes no sólo amenazan con cifrar los datos, sino también con publicar en
línea información confidencial. Esta tendencia fue observada por los investigadores
de Kaspersky en un reciente análisis sobre la actividad del ransomware en
América Latina con Revil (también conocido como Sodinokibi) y NetWalker como
las dos campañas más activas. Los ataques ransomware se consideran uno de los tipos de amenazas más
graves a los que se enfrentan las empresas. No sólo pueden interrumpir las
operaciones comerciales críticas, sino que también pueden provocar pérdidas
financieras masivas y, en algunos casos, incluso la quiebra debido a las multas
y los juicios en los que se incurre como resultado de la violación de leyes y
regulaciones. Por ejemplo, se estima que WannaCry provocó pérdidas financieras
de más de 4.000 millones de dólares. Sin embargo, las nuevas campañas de
ransomware están modificando su modus operandi: amenazan con hacer pública la
información robada a la empresa. Entre las familias de ransomware más activas en Latinoamérica se
encuentran REvil (también conocido como Sodin o Sodinokibi), Maze, Ryuk,
Netwalker, Zeppelin, DoppelPaymer, Dharma y Mespinoza. De entre ellas, Revil y
NetWalker son las que practican este nuevo método de extorsión en América
Latina de forma masiva y han causado pérdidas millonarias a grandes empresas en
la región, principalmente en los sectores de salud, telecomunicaciones y otras
industrias críticas. Revil popularizó el modelo de negocios ransomware-as-a-service, en
donde el desarrollador del programa malicioso permite que otros grupos utilicen
su malware en estafas cobrando una comisión por ello. Esta estafa se propaga, al igual que las familias de ransomware más
activas en la región a través de ataques de fuerza bruta sobre el protocolo de
escritorio remoto (RDP) o aprovechando vulnerabilidades en distintos servicios
corporativos. Entre las vulnerabilidades más utilizadas encontramos a las
asignadas a los CVE-2020-0609 y CVE-2020-0610 que afectan al componente de
Remote Desktop Gateway, y al CVE-2019-2725 que representa una vulnerabilidad en
el componente Oracle WebLogic Server de Oracle Fusion Middleware. El costo por un ataque de ransomware se calcula en 720 mil dólares, y
el rescate promedio en cerca de 111 mil dólares – estos datos son de fuentes
independientes y reportes de víctimas. Esto se debe a que las recompensas en su
mayor parte son demandadas en la criptomoneda Monero ($XMR) que otorga un nivel
de privacidad y anonimidad a los atacantes que intentan evadir el rastreo de
las fuerzas de la ley. "Lo que estamos viendo ahora mismo es el crecimiento del
ransomware 2.0. Los ataques se están volviendo muy selectivos y el enfoque no
es sólo en la encriptación, sino que se basa en la publicación en línea de
datos confidenciales. Hacerlo no sólo pone en riesgo la reputación de las
empresas, sino que también las expone a demandas si los datos publicados violan
regulaciones como la HIPAA o la GDPR. Hay más en juego que las pérdidas
financieras", comenta Dmitry Bestuzhev, Director del Equipo de
Investigación y Análisis para América Latina en Kaspersky. "Las organizaciones deben pensar en la amenaza del ransomware como
algo más que un tipo de malware. De hecho, a menudo, el ransomware es sólo la
etapa final de una brecha en la red. Para cuando el ransomware se despliega, el
atacante ya ha llevado a cabo un reconocimiento de la red, ha identificado los
datos confidenciales y los ha filtrado. Por eso es importante que las
organizaciones apliquen prácticas de ciberseguridad. Identificar el ataque en
una fase temprana, antes de que los atacantes alcancen su objetivo final, puede
ahorrar mucho dinero", añade Fedor Sinitsyn, experto en seguridad de
Kaspersky. Para mantener su empresa protegida frente al ransomware, los expertos
de Kaspersky recomiendan:
No exponer los servicios de escritorio remoto (como el RDP) a redes
públicas, a menos que sea absolutamente necesario, y utilice siempre
contraseñas fuertes para ellos.
Mantener el software actualizado en todos los dispositivos que utilice.
Para evitar que el ransomware se aproveche de las vulnerabilidades, utilice
herramientas que puedan detectarlas automáticamente y descargue e instale
parches.
Instalar cuanto antes los parches disponibles para las soluciones
comerciales de VPN que proporcionen acceso a los empleados remotos y que actúen
como puertas de entrada a su red.
Tratar con precaución los archivos adjuntos de los correos electrónicos,
o los mensajes de personas que no conoce. Si tiene dudas, no los abra
Utilizar soluciones como Kaspersky Endpoint Detection and Response o
Kaspersky Managed Detection and Response para identificar y detener el ataque
en una etapa temprana, antes de que los atacantes completen su objetivo.
Enfocar la estrategia de defensa en la detección de movimientos
laterales y la filtración de datos a Internet. Preste especial atención al tráfico
saliente para detectar conexiones de cibercriminales. Haga copias de seguridad
de los datos regularmente. Asegúrese de que puede acceder rápidamente a ellos
en caso de emergencia cuando sea necesario.
Para proteger el entorno corporativo, educar a los empleados. Los
cursos de formación como los que se ofrecen en Kaspersky Automated Security
Awareness Platform pueden ayudar. Dispone de una formación gratuita sobre cómo
protegerse de los ataques ransomware aquí.
Para los dispositivos personales, utilizar una solución de seguridad
fiable como Kaspersky Security Cloud, que protege contra el malware de cifrado
de archivos y permite retroceder los cambios realizados por las aplicaciones
maliciosas.
Si se trata de una empresa, mejorar su protección con la herramienta
gratuita Anti-Ransomware Tool for Business. Su versión recientemente
actualizada contiene una función de prevención de exploits para evitar que el
ransomware y otras amenazas se aprovechen de las vulnerabilidades del software
y las aplicaciones. También es útil para los clientes que utilizan Windows 7:
con el fin del soporte para Windows 7, las nuevas vulnerabilidades de este
sistema ya no serán parcheadas.
Para obtener una protección superior, utilice una solución de seguridad
para endpoints, como Integrated Endpoint Security, basada en la prevención de
exploits, la detección basada encomportamientos y un motor de remediación capaz de hacer retroceder las
acciones maliciosas.
0 Comentarios