Las tendencias de los ataques de ransomware siguen evolucionando, y las iteraciones actuales observadas durante la pandemia no son una excepción. Durante este tiempo, los actores maliciosos han atacado organizaciones sanitarias, ensayos médicos, colegios y operadores logísticos. Según un reciente informe de FortiGuard Labs sobre el panorama global de las amenazas, el ransomware sigue siendo una amenaza prolífica que aumentó en 2020 y se volvió aún más disruptiva. 

Como metodología de ataque el ransomware tiene el potencial de causar graves daños, más allá de las pérdidas financieras y la falta de productividad que a menudo se asocia con la caída de los sistemas. Los investigadores de amenazas ven cada vez más versiones cifradas de los datos que se publican online -no sólo para pedir un rescate- junto con la amenaza de que, si no se paga el rescate, todos los datos se harán públicos o se venderán a un comprador. Como resultado, han empezado a aparecer organizaciones en la Dark Net con un modelo de negocio centrado en la negociación de rescates. Y aunque sistemas como éste pueden parecer una solución fácil, en realidad pueden tener efectos negativos a largo plazo, como la normalización de comportamientos delictivos. 

Además, a medida que los sistemas de TI y OT convergen, los ataques de ransomware comienzan a dirigirse a nuevos tipos de datos y tecnologías. Los dispositivos y sensores de campo se han convertido en nuevos objetivos provocando que los servicios de red eléctrica, las infraestructuras de gestión del transporte, los sistemas médicos y otros recursos críticos estén más amenazados que nunca. Y este cambio afecta a algo más que a la información sensible. En el perímetro OT, estos dispositivos IIoT también son responsables de la seguridad física de las personas, lo que demuestra la gravedad de los ataques a estas redes.

Cuando se ven afectadas por un ataque de ransomware, a algunas organizaciones les resulta más fácil pagar que hacer que su equipo de TI pase días intentando recuperar los datos, todo ello mientras las operaciones de la empresa permanecen paralizadas. El Tesoro de Estados Unidos advirtió recientemente que facilitar el pago de rescates en nombre de las cibervíctimas podría tener consecuencias legales, ya que sienta un mal precedente. Además no hay que obviar que pagar un rescate no garantiza que la amenaza desaparezca al instante. En algunos casos, la información que las organizaciones se esforzaron en proteger ya había sido expuesta y puede causar problemas adicionales a largo plazo.  

El ransomware aprovecha los ataques de ingeniería social, aprovechando los miedos para ejecutar código malicioso en los dispositivos. Teniendo esto en cuenta, la conversación en torno a la ciberhigiene debe impulsarse desde la propia junta directiva de la organización porque no olvidemos que el hogar es hoy la nueva oficina y una puerta de acceso a la red corporativa.

Un enfoque descendente para crear una sólida estrategia de mitigación del ransomware debe contemplar la actualización continua a los empleados sobre las nuevas metodologías de ataque de ingeniería social para que sepan a qué atenerse y el establecimiento de una estrategia de acceso de confianza cero (ZTA por sus siglas en inglés) que incluya la segmentación y la microsegmentación. Asimismo, es más que recomendable realizar periódicamente copias de seguridad de los datos, almacenándolos fuera de la red para garantizar una rápida recuperación y cifrar todos los datos dentro de la red para evitar su exposición. Se debe practicar regularmente estrategias de respuesta para garantizar que todas las partes responsables sepan qué hacer en caso de ataque, reduciendo así el tiempo de inactividad. 

Otro factor clave para desarrollar una postura de seguridad sólida es trabajar de forma conjunta con todas las partes interesadas internas y externas, incluidas las fuerzas del orden. Más datos garantizan respuestas más eficaces. Compartir información con las fuerzas del orden y otras organizaciones de seguridad globales es la única manera de acabar con el cibercrimen, ya que vencer un incidente de ransomware no reduce el impacto global. La colaboración público-privada ayuda a las víctimas a recuperar sus datos cifrados, reduciendo en última instancia los riesgos y los costes asociados al ataque.

Además, el trabajo conjunto amplía la visibilidad. Si una entidad bancaria sufre un ataque de ransomware y no comparte la información de forma responsable con las fuerzas del orden se pierde una ventana de oportunidad enorme ya que ese cuerpo del estado podría estar investigando el ataque a una empresa de tarjetas de crédito también afectada por el mismo grupo de ciberdelincuentes y disponer de la información es clave para comprender el alcance completo de la organización criminal. La ciberdelincuencia no tiene fronteras. La inteligencia sobre amenazas con visibilidad global ayuda a los sectores público y privado a pasar de un enfoque reactivo a uno proactivo.

Del mismo modo, al desarrollar y compartir playbooks, que ofrecen una visión detallada de las “huellas” de los ciberdelincuentes, las organizaciones pueden mejorar su respuesta. Detallar cómo trabajan los grupos de ciberdelincuentes conocidos permite a los defensores ser más fuertes y estratégicos. Los playbooks del equipo azul (defensivo) proporcionan a los defensores estrategias ganadoras contra los ciberataques presentes y futuros. Y cuando se combinan con la Inteligencia Artificial (IA), los equipos de seguridad pueden aprovecharlos para construir un marco de protección avanzado y proactivo, que les permita responder a las nuevas amenazas en tiempo real. La IA también les proporciona las herramientas necesarias para evolucionar sus metodologías al mismo ritmo que los ciberdelincuentes, de modo que puedan crear respuestas más refinadas y granulares en una fase más temprana del ciclo de ataque.

About Author

Derek Manky

Chief of Security Insights, Global Threat Alliances en Fortinet

Deja un comentario