🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Por qué las copias de seguridad ya no protegen contra el ransomware

Ransomware 1.0

El ransomware existe desde hace varios años. Sin embargo, últimamente se ha convertido en un gran problema, superando el compromiso del correo electrónico (BEC) para convertirse en el ataque más popular. Lo que hace que el ransomware sea tan rentable es FUD – Fear, Uncertainty, and Doubt (miedo, incertidumbre y duda).

  • El miedo a perder los datos para siempre.
  • La incertidumbre de saber qué hacer en ese momento.
  • La duda de que si al pagar puedes recuperar los datos.

Dar un empujón con un temporizador de cuenta regresiva en la pantalla les da a las víctimas la oportunidad de aprender sobre criptomonedas. Esto porque la mayor parte de los rescates exigidos debe pagarse con criptomonedas.

Los primeros rescates exigidos no eran graves y generalmente se estimaban en cientos de dólares. Actualmente, las demandas de rescate pueden ascender a cientos de miles o incluso millones de dólares

El ransomware ha evolucionado, ya que el dinero detrás de él ha crecido después de que más empresas permitieran el trabajo remoto durante la pandemia.

La forma de actuar de los hacker en un ataque de ransomware típico es:

  1. Elegir el objetivo a comprometer
  2. Cifrar sus datos
  3. Exigir un rescate

Ante este escenario, es muy difícil reanudar las operaciones de cualquier empresa, aunque esta tenga copias de seguridad efectivas. Las copias de seguridad solían ser la única forma en que una empresa víctima podía reanudar sus operaciones sin la necesidad de lidiar con los ciberdelincuentes.

El rescate existe únicamente en el ciberespacio: “doble extorsión”

En el mundo real, un rescate solo termina con dos resultados: la liberación del prisionero o la muerte del prisionero. Pero en el ciberespacio, la creatividad de los ciberdelincuentes es ilimitada. Porque en el mundo digital, puedes liberar al “prisionero” y solicitar nuevamente el rescate.

Una de las razones por las que el costo de los pagos de rescate ha crecido tan rápido es el aumento en las actividades de ataque y el precio de bitcoin. Recordemos que la mayoría de rescates se exigen en Bitcoins.  Además, una de las tendencias recientes de los ataques de ransomware es la nueva ola de ataques que adoptan el enfoque denominado “doble extorsión

El pionero de esta técnica fue “Maze Crew” en noviembre de 2019. El atacante afirmó que había descargado los datos de la víctima de su red y amenazó con liberarla si no realizaban un pago adicional”.

Al adoptar la doble extorsión, los atacantes pueden obligar a las organizaciones a pagar un rescate incluso si pueden recuperar su información utilizando copias de seguridad. La amenaza de una filtración de datos en estos ataques ha sido llamada informalmente “ransomware 2.0”.

Con los ataques de doble extorsión, la disponibilidad de una copia de seguridad podría volverse inútil. La amenaza de una filtración de datos por parte de los atacantes agrega más presión a la necesidad de la víctima de pagar un rescate. El posible daño económico y, lo que es más importante, la reputación de la empresa podría ser más devastadora que la pérdida de datos.

Ransomware + Robo de datos = Ransomware 2.0

Según un informe publicado recientemente, el pago promedio de rescate en los primeros tres meses de 2021 fue de USD220,298. El promedio representa un aumento significativo de USD154,108 en el último trimestre de 2020.

En el informe, observamos que casi la mitad de los ataques de ransomware roban datos antes de que comience el cifradoVemos que cada vez más ataques de ransomware ya no son solo un asunto de continuidad del negocio o recuperación de desastres. Estos también implican robos de datos e incluso una respuesta completa a incidentes de ciberseguridad.

Los criminales ahora imponen varias capas de extorsión. Algunos incluso amenazan con avisar a los medios de comunicación o notificar a sus clientes en caso de un rescate fallido (falta de pago). Los atacantes literalmente amenazan con publicar detalles de los ciberataques.

Esto brinda a los ciberdelincuentes varias oportunidades para monetizar su ataque:

  • Los ciberdelincuentes podrían amenazar con divulgar los datos o venderlos en varios “mercados ilegales” si la víctima no paga el rescate. Por lo general, esto va seguido de una promesa solemne de borrar los datos robados si se pagaba el rescate.
  • Los delincuentes pueden prometer borrar los datos, pero incluso después de recibir el rescate, los venden de todos modos. Esto porque la mayoría de las empresas no investigarán a fondo el impacto posterior al ransomware.
  • Otro grupo de ciberdelincuentes se pone en contacto con una víctima. Este le explica que robó una copia de los datos de la víctima de los ladrones originales y la divulgará (o venderá) a menos que reciba un pago adicional.

Cuando el ransomware no es realmente ransomware

Quizás el patrón más preocupante es, según Kaspersky Labs, que el ransomware no es, de hecho, ransomware. Han determinado que el “ransomware” ExPetr existe sólo para destruir los discos duros y borrar datos de forma permanente.

Este es el peor caso al que se puede enfrentar la víctima: paga el rescate, pero los datos se pierden para siempre. Esto refuerza el argumento de que el objetivo principal del ataque ExPetr no fue motivado económicamente sino unicamente por destrucción.

Otros han declarado que es muy probable que este tipo de arma cibernética esté patrocinada por estados. Esto crea problemas importantes con respecto a las operaciones de gobiernos extranjeros, incluida su asegurabilidad.

Lo peor está por venir – ransomware dirigido

Si bien los atacantes adoptan la estrategia de doble extorsión, pasan de un modelo oportunista a un enfoque más específico. Seleccionan cuidadosamente a sus víctimas buscando sistemas vulnerables que estén conectados a Internet para explotar e ingresar fácilmente a la red del objetivo.

Uno de los ejemplos alarmantes es la campaña “DearCry”. Solo 10 días después de que Microsoft lanzara los parches para los servidores de Microsoft Exchange, el número de ataques de ransomware que involucraron al día cero de Exchange se triplicó a más de 50,000 en todo el mundo.

Se acerca otro ataqueRecientemente, VMware anunció una vulnerabilidad crítica con CVSS de 9.8/10 en la plataforma de administración de virtualización, vCenter Server. Algunas investigaciones preliminares de Rapid 7 muestran que alrededor de 6,000 vCenters están expuestos a Internet.

En el blog de VMware, Bob Plankers explicó que la vulnerabilidad de la plataforma podría convertirse en ataques de ransomware costosos y destructivos.

“En esta era de ransomware, es más seguro asumir que un atacante ya está dentro de la red en algún lugar, en un escritorio. Y, tal vez incluso en el control de una cuenta de usuario.  Por lo tanto, recomendamos encarecidamente actuar de emergencia y parchear lo antes posible.”

Además…

Como puedes imaginar, una vez que el ciberdelincuente obtiene acceso a la red de la víctima, él pone las reglas. La creatividad de los ciberdelincuentes también contribuye a elevar el nivel del juego del rescate. En algunas campañas de ataque recientes, los actores de amenazas escanearon las redes de las víctimas.  Escanearon la red en busca de software de tarjetas de crédito y puntos de venta.

Cómo reducir la superficie de ataque

Los ciberdelincuentes no solo son buenos con las computadoras.  Los ciberdelincuentes también están bien entrenados para explotar a los humanos a través de una vulnerabilidad psicológica o ingeniería social. El ransomware es solo una actividad secundaria de este tipo de exploits.

Almacenamiento sin conexión

Algo que puede ayudar a las organizaciones a recuperarse con éxito de un ataque de ransomware es actualizar periódicamente las copias de seguridad. Si ocurre lo peor, es posible restaurar la operación sin ceder a las demandas de rescate. Esta medida hace que ataque no sea tan efectivo para los ciberdelincuentes.

Aunque es más costoso y complejo, almacenar la copia de datos sin conexión podría darte una oportunidad si los archivos de respaldo también están infectados. O, cuando nunca recibes la clave de cifrado, todavía tienes la posibilidad de recuperar los datos.

Higiene cibernética

La forma más confiable de detener un ataque de ransomware es evitar ser víctima de uno en primer lugar. Las mejores prácticas de seguridad cibernética que pueden ayudar a prevenir esto incluyen mejorar la higiene cibernética. Claramente, las empresas deben hacer todo lo posible para identificar y prevenir estos ataques antes de que causen daños importantes.

Por ejemplo, para protegerse contra ataques de fuerza bruta y de rociado de contraseñas, debes aplicar una política de cambio de contraseña eficaz. Aún más, debes combinarlo con la autenticación multifactor tanto en el entorno como para acceder a los recursos internos. La autenticación sólida podría reducir los vectores de ataque y la posibilidad de comprometer aún más si se roba una credencial.

Acceso remoto seguro

Si realmente necesitas proporcionar acceso a nivel de red a los recursos internos a través de una VPN, asegúrate de que los sistemas VPN se actualicen con los últimos parches de inmediato. Si un parche aún no está disponible, debes usar inmediatamente cualquier medida de mitigación.

De manera similar, en RDP, debes bloquear el acceso a los puertos RDP (3389 TCP/UDP) si no es necesario. Además, tienes que limitar el acceso a quienes realmente lo necesiten y utilizar una pasarela para evitar exponer el sistema directamente en Internet.

Arquitectura de confianza cero (Zero Trust Architecture – ZTA)

Es incluso más eficaz adoptar una estrategia de confianza cero. Una arquitectura de confianza cero (ZTA) es el plan de ciberseguridad de una empresa que aplica conceptos de confianza cero. Este abarca las relaciones de los componentes, la planificación del flujo de trabajo y las políticas de acceso. Por lo tanto, una empresa de confianza cero está basada en la infraestructura de red (física y virtual) y los procedimientos operativos que existen.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información