El 27% de los incidentes de malware notificados en 2020 fueron atribuidos al ransomware, el cual, de acuerdo con la consultora Gartner, tiene un impacto mayor en una organización que una filtración de datos. Asimismo, pronósticos de Cybersecurity Venture, apuntan que, a nivel mundial en 2021, cada 11 segundos una empresa será víctima de un ataque de ransomware, por lo que los atacantes que usan este tipo de malware están demostrando ser una amenaza continua para la ciberseguridad. 

Un ataque de ransomware comienza generalmente por un correo electrónico de phishing o una vulnerabilidad en el perímetro de la red; el malware comenzará a moverse a través de la red e intentará potenciar el daño. Los delincuentes buscan tomar el mando de un controlador de dominio, comprometer las credenciales y ubicar y cifrar las copias de seguridad existentes para evitar que los servicios infectados sean restaurados. 

Los ciberdelincuentes siguen usando ingeniería social y apelan a la curiosidad humana. Este tipo de ataques en su mayoría vienen ocultos en correos electrónicos con títulos interesantes como: «Aquí está el número de guía de su envío», «Te mando las fotos de las vacaciones pasadas», «Tu pareja te engaña, aquí las pruebas». Por supuesto, el usuario al dar clic en el enlace falso lo que hace es instalar un programa para cifrar información y conectarse a un servidor controlador, para culminar con el mensaje de secuestro de información y respectivo pago en caso de querer de vuelta los datos. 

Si bien cualquiera puede ser objetivo del ransomware, la mayoría de este tipo de ataques continúan estando dirigidos a personas clave de las organizaciones y equipos de trabajo que pueden contener información valiosa, o cuando a través de ellos se puede llegar a activos críticos. Una vez comprometida la PC del usuario, el atacante puede moverse dentro de la red en busca de activos con información valiosa, como servidores de datos, por ejemplo. 

Cualquier empresa que pueda detectar y bloquear el movimiento lateral no autorizado al principio de la cadena de ataque estará en una mejor posición para reducir el impacto del ransomware y otras amenazas similares. La tecnología obsoleta y las estrategias de defensa que se centran únicamente en los perímetros y los puntos finales no son suficientes para detener las campañas de ransomware en evolución. 

En ese sentido, existen herramientas que otorgan visibilidad completa de qué sucede en la red, y pueden crear políticas de microsegmentación a nivel de proceso, de tal forma que se tenga una detección proactiva de las amenazas en una etapa temprana.  Lo mejor es incorporar una solución de ciberseguridad que mitigue todas las etapas de evolución del ransomware, desde que se ejecuta, conecta al servidor controlador, descarga una llave para cifrar información, etcétera.  

La detección temprana es clave, y más cuando el ransomware puede costar a las empresas millones de dólares, por ello lograr una detección rápida permitirá actuar con oportunidad y detener un ataque al principio de la cadena de eliminación antes de que se propague dentro de la red y afecte las aplicaciones y servicios críticos.   

Las siguientes cuatro técnicas servirán a las organizaciones para la detección temprana del imparable ransomware: 

  • Fuerte visibilidad. Comprender la actividad del tráfico de este a oeste en la red ofrece una idea del movimiento lateral no autorizado a medida que cualquier ransomware intente propagarse. La alta visibilidad también permitirá identificar posibles vectores de ataque a aplicaciones críticas de TI. 
  • Políticas de segmentación. La configuración de políticas de segmentación para alertar de cualquier actividad fuera de la rutina brinda una advertencia temprana de actividad inusual, para investigar y tomar medidas si es necesario. 
  • Sistemas de detección de intrusos (IDS) y herramientas de detección de malware. Ayudan a detectar los intentos de propagación de los operadores de ransomware, ya sea que esto signifique el uso de reglas y firmas predefinidas para exploits conocidos o una detección de anomalías más general o automatizada.  Por ejemplo, los IDS detectan tráfico ilegítimo haciendo uso de patrones, que, de cumplirse, harían saltar las alarmas. 
  • Técnicas basadas en la decepción o el engaño. Se construyen y distribuyen trampas y señuelos virtuales en redes corporativas para atrapar y detener a los hackers antes de que logren hacer daño, como pedir un rescate por los datos. Configurar señuelos, honeypots o una plataforma de engaño distribuida que pueda identificar movimientos laterales no autorizados también puede ser una forma eficaz de descubrir una infracción activa en curso. 

Finalmente, incorporar herramientas que apoyen Zero Trust o confianza cero, ayuda a cerrar las brechas de seguridad, y a través de una segmentación definida por software es posible tener un panorama claro de cómo se comunican las aplicaciones entre ellas y con su entorno. Hacer una microsegmentación y conocer exactamente qué procesos se están ejecutando en un servidor, sin importar qué sistema operativo tenga o dónde se encuentre, es vital para lograr una estrategia de mitigación de amenazas exitosa.  

[email protected]