Este ciberataque que bloquea el computador o cifra sus archivos y los mantiene secuestrados hasta que el afectado pague, se ha “profesionalizado” ¿Cómo? A continuación, todos los detalles.
Los actores de ransomware han sido una amenaza persistente durante años (y, sin duda, han evolucionado sus prácticas). La buena noticia es que la adopción de tecnologías avanzadas en ciberseguridad y la mejora en los procesos de respuesta contra ellos, han limitado el éxito de los ataques tradicionales. Sin embargo, gracias a la seguridad mejorada, los ciberdelincuentes se han visto obligados a desarrollar mejores estrategias y han encontrado un nuevo camino llamado “ataques de ransomware modernos”.
A continuación, Trend Micro, especialista mundial en ciberseguridad, detalla el desarrollo de este tipo de ataques y cómo las organizaciones los pueden prevenir.
¿Qué es un ataque de ransomware moderno?
Los actores modernos de ransomware identifican y se dirigen a la información valiosa del usuario, donde en lugar de cifrar sus datos, los sustraen de la red corporativa a la cual la víctima está conectada. Esto les da otra vía para una extorsión, amenazando con publicar los datos privados que han sido robados.
Para las empresas que tienen datos de propiedad intelectual, información patentada o de empleados y de clientes, esta es una preocupación seria. Cualquier fuga conlleva a sanciones reglamentarias, demandas y daños a la reputación de la empresa.
Otra característica importante es que los actores son más precisos y están más involucrados en el ataque. Dentro de las consecuencias está que se apoderan de las redes en múltiples etapas las cuales son supervisadas por humanos, alejándose de las actividades automáticas, como, por ejemplo, hacer clic en un enlace. También dedican un tiempo considerable a investigar las diferentes partes de la red de la víctima (un proceso que puede tardar semanas o meses) antes de ejecutar la carga útil del ransomware, lo que hace que dichos ataques se parezcan más a un APT (ataques de amenaza persistente avanzada), que a un incidente tradicional.
Nefilim, un caso de ransomware moderno
El desglose de las herramientas, tácticas y procesos de Nefilim, son un claro ejemplo en el que se revelan características importantes con respecto al modus operandi de dicho incidente:
El acceso de Nefilim a la red, a menudo implica el uso de credenciales débiles en servicios expuestos o externos y en algunos casos, en vulnerabilidades críticas.
Una vez dentro del entorno de la víctima, los atacantes encuentran sistemas importantes en la red que les permite obtener datos confidenciales para robar y cifrar. También utilizan sistemas importantes como puntos de partida para seguir encontrando datos más críticos.
Los atacantes instalan un sistema de llamada a domicilio utilizando el software Cobalt Strike.
En el momento que los atacantes encuentran datos interesantes para robar, proceden a filtrarlos. La información extraída se puede publicar en sitios web ocultos detrás de los servicios Tor y las redes fast flux.
Cuando el atacante está listo, lanza la carga útil del ransomware de manera manual para cifrar los datos con el fin de solicitar un rescate.
Los actores de Nefilim apuntan a empresas multimillonarias de alto perfil ubicadas en todo el mundo.
Se puede ver que los afiliados de ransomware modernos pueden encontrar diferentes formas de ingresar a las grandes empresas a través de agentes de acceso, logrando extraer un montón de datos valiosos y luego tratar de extorsionar a las víctimas de diversas formas. Operaciones como estas están impulsadas por programas avanzados de afiliados, que brindan a los actores de este ataque un arsenal considerable: software personalizable, tecnologías nuevas y fácilmente disponibles para una mejor selección de víctimas y mejores vías de colaboración.
¿Cómo defender las redes corporativas ante los ataques modernos del secuestro de datos?
El cambio en el modelo comercial de estos ciberataques ha permitido que el ransomware moderno sea aún más efectivo y destructivo. Trend Micro, aliado en la ciberseguridad de las empresas, sugiere proporcionar recomendaciones de seguridad a toda la organización, incluyendo el uso de herramientas y tecnologías de detección y respuesta de capas cruzadas, con el fin de ayudar a las empresas a formular una estrategia que ayudará a prevenir y mitigar los efectos de esta nueva y mejorada amenaza dentro de la red corporativa.
Para evitar ser víctimas de este tipo de ataque que diariamente tiene un crecimiento exponencial, Trend Micro presenta una serie de recursos que serán de gran ayuda y evitarán que empresas y corporaciones caigan en esta red de delincuencia, una de las soluciones más completa que podría convertirse en su mejor aliado es XGen™ Security.
Cuatro capas de seguridad: Si bien no existe una solución milagrosa para el ransomware, si es necesario implementar un método de varias capas con distintas prioridades para lograr la mejor mitigación del riesgo. XGen Security, es una solución que involucra cuatro capas y una combinación de técnicas de protección frente a amenazas intergeneracionales que aplica de forma inteligente la tecnología adecuada en el momento indicado.
Protección del correo electrónico y de la web: Los correos electrónicos de phishing son la forma más común que tiene el ransomware de acceder a una organización, y la seguridad avanzada del correo electrónico es la capa más efectiva para detener estos ataques. Trend Micro Email Security, con tecnología XGen, combina machine learning, detección de vulnerabilidades y entorno aislado para detener las amenazas antes de que lleguen a sus usuarios.
Protección de puntos de conexión: Cuando el ransomware consigue llegar a sus puntos de conexión, XGen Security ofrece varias capacidades que lo detienen, incluido el análisis conductual y machine learning de alta fidelidad.
Aunque existen desafíos y complejidades para proteger a las organizaciones de este tipo de amenazas, los eventos recientes muestran que incluso las familias de malware más avanzadas pueden ser derribadas, puesto que la ciberseguridad también evoluciona de manera constante y siempre encuentra nuevas formas de defenderse a través de las herramientas y soluciones indicadas.
