Una de las principales razones por las que el ransomware ha prosperado tanto se debe a la llegada de “ransomware como servicio” (RaaS, por sus siglas en inglés). RaaS es un modelo de servicio, donde en lugar de proporcionar acceso a aplicaciones de software legítimas, los grupos de ransomware brindan el software malicioso (ransomware) y la infraestructura necesaria para facilitar el ataque mientras este confía en terceros, conocidos como afiliados, para hacer el trabajo sucio real de obtener acceso inicial a una organización antes de implementar el ataque.
Ante esta situación, las empresas, gobiernos y profesionales dedicados a la protección cibernética de las organizaciones pueden seguir las siguientes 10 estrategias sugeridas por Tenable, para que eviten que este grupo delictivo robe sus archivos internos y posteriormente amenace con publicarlos a cambio de dinero.
1. Implementar la autenticación multifactor para todas las cuentas fuera o dentro de una organización:
Los grupos de ransomware compran acceso a organizaciones a través de Intermediarios de Acceso Inicial (IABs, por sus siglas en inglés) que brindan credenciales o vulnerabilidades que revelan las credenciales de inicio de sesión. Al agregar autenticación multifactor como requisito, se suma una capa adicional para los atacantes de ransomware que tienen que superar.
2. Usar contraseñas fuertes:
Confiar en contraseñas débiles o predeterminadas facilita que los grupos de ransomware obtengan acceso a cuentas. Garantizar que los requisitos de contraseña incluyan palabras largas y no incluidas en el diccionario, así como marcar contraseñas que ya han sido expuestas como parte de una violación de datos.
3. Auditar constantemente los permisos para las cuentas de usuarios dentro de la organización:
Una vez dentro de una organización, los grupos de ransomware y sus afiliados intentarán crear nuevas cuentas con permisos administrativos o abusar de cuentas existentes con permisos de administración, incluso cuentas vinculadas a empleados que ya no pertenecen a su organización. Por eso es importante auditar las cuentas existentes y recién creadas para garantizar que no haya configuraciones incorrectas.
4. Identificar y aplicar parches a los activos vulnerables de tu red en el momento oportuno:
Sabemos que los grupos de ransomware son expertos en aprovechar las vulnerabilidades heredadas sin parches, por lo que es importante que las organizaciones identifiquen activos vulnerables dentro de sus redes y apliquen parches disponibles.
5. Revisar y fortalecer el Protocolo de Escritorio Remoto (RDP):
Dejar RDP abierto a Internet es el escenario perfecto para los grupos de ransomware. Si no se está utilizando, desactívelo. Si lo necesita, asegúrese de que el requisito de contrase- ña segura esté en lugar para RDP.
6. Fortalecer la seguridad de Active Directory:
Una vez dentro de una organización, los grupos de ransomware y sus afiliados a menudo buscarán aprovechar las configuraciones incorrectas dentro de la seguridad de Active Directory de una organización. Es vital que su entorno de Active Directory esté siendo monitoreado.
7. Establecer y realizar periódicamente actualizaciones programadas para copias de respaldo cifradas fuera de red:
El ransomware tiene éxito a través de ataques de doble extorsión que incluyen el cifrado de archivos dentro de la red de una organización. Este proceso puede provocar un tiempo de inactividad no planificado y puede influir en la decisión de una organización de pagar la demanda de rescate. Los grupos de ransomware no tienen miedo de apuntar a las copias de seguridad, por lo que es importante establecer una práctica regular de almacenar copias de seguridad cifradas fuera de línea.
8.Utilice el software adecuado para identificar el malware en su red:
Debido a que el spearphishing con archivos adjuntos maliciosos o enlaces a malware a menudo conduce a infecciones de ransomware, es importante usar soluciones como antivirus o antimalware para ayudar a detectar amenazas como troyanos de descarga.
9. Propiciar una cultura corporativa de ciberseguridad:
Los ataques de ingeniería social, incluido el spearphishing a través del correo electrónico o en las redes sociales, son otra forma en que los ciberdelincuentes introducen malware en los sistemas dentro de su red. Al proporcionar capacitación de concientización del usuario, sus empleados y el personal pueden recibir orientación sobre cómo identificar vectores de ataque comunes utilizados por los ciberdelincuentes que jugarán un papel importante protegiendo sus redes.
10. Planifique la respuesta ante un ataque:
A menudo no es una cuestión de si ocurrirá un ataque, sino cuándo. Por eso es imperativo que su organización ejecute un escenario de ejemplo utilizando ejercicios de simulación que pueden ser usados para ayudar a prepararse para un ataque en el mundo real.
Mayor información en https://www.tenable.com/