El ransomware va en aumento: por qué no podemos permitirnos bajar la guardia

El underground del cibercrimen, ese mercado clandestino, está en constante evolución. Sin embargo, desde Trend Micro se hace hincapié en que la volatilidad del panorama de las amenazas también dificulta la emisión de predicciones precisas a largo plazo acerca de hacia dónde se dirigen las cosas. Solo hay que tomar el ransomware como ejemplo: el año pasado se vio un descenso significativo en el número de detecciones y nuevas familias. Pero en la primera mitad de 2019, varios ataques bien difundidos contra organizaciones importantes han vuelto a elevar el perfil de la amenaza.

La mala noticia es que las técnicas utilizadas para distribuir ransomware son cada vez más sofisticadas. Para combatir este azote, se insta a los jefes de seguridad TI a que adopten una defensa en profundidad en todas las capas de la infraestructura.

Abajo, pero no fuera

Tal y como se revelaba en el informe de 2018, Trend Micro observó un descenso interanual del 91% en los componentes relacionados con el ransomware, como correos electrónicos, URL y archivos, y una disminución del 32% en el número de nuevas familias detectadas. La compañía cree que parte de la razón de esta caída está en la mejora de las soluciones antiransomware del mercado, y el incremento general del nivel de concienciación sobre la amenaza. Sin embargo, incluso entonces, se observó que el ransomware sigue siendo un medio eficaz para que los ciberdelincuentes generen grandes beneficios y, como tal, será difícil de eliminar.

Así parece hasta ahora en 2019. Un flujo continuo de organizaciones de víctimas de alto perfil debería servir como recordatorio del impacto devastador que puede tener la amenaza en el mundo de los negocios. El productor de aluminio Norsk Hydro sufrió un golpe financiero de 40 millones de dólares tan solo una semana después de que la variante LockerGoga causara interrupciones en marzo. Las ciudades de Estados Unidos también han sido objeto de ataques cada vez mayores en los últimos meses: Baltimore ha cargado con una factura de al menos 18 millones de dólares gracias a un gran apagón que afectó a hospitales, fábricas, aeropuertos y cajeros automáticos. Más recientemente, la empresa industrial belga, Asco, advirtió de una «interrupción grave de todas nuestras actividades» causada por un ataque.

Los ataques se vuelven más inteligentes

La mala noticia es que, si bien los ataques pueden tener un menor volumen que la marca de 2017, cuando WannaCry y NotPetya infectaron a cientos de miles de personas y empresas, se puede decir que hoy en día es más difícil defenderse contra ellos. Parece como si los atacantes de ransomware de nivel de entrada estuvieran utilizando cada vez más herramientas del libro de tácticas de los grupos de ataques dirigidos tradicionalmente más sofisticados para aumentar sus posibilidades de éxito.

Como se informó la semana pasada, los investigadores de Trend Micro han observado campañas de ataque utilizando un paquete de herramientas relacionadas con el famoso volcado de datos de Shadow Brokers. Esto incluye una puerta trasera basada en Eternal Blue y la herramienta de descarga de contraseñas Mimikatz, así como otras herramientas asociadas con el presunto Equation Group apoyado por Estados Unidos. Estos se utilizan para propagar malware de criptominería y ransomware.

Esto se produce a medida que nuevas variedades de ransomware utilizan cada vez más técnicas específicas. SamSam, Ryuk y otras familias podrían comprometer a su víctima inicialmente descifrando una contraseña RDP débil, antes de escalar privilegios, comprometer el software de seguridad y propagarse lo más ampliamente posible por una red antes de encriptarla. También pueden utilizar malware sin archivos o técnicas de “living off the land” («vivir de la tierra») para permanecer ocultos el mayor tiempo posible. Ryuk, en particular, parece estar dirigiéndose a organizaciones del sector industrial, sanitario y otros en los que cree que las víctimas se verán obligadas a pagar grandes sumas de dinero.

Contraatacando

Esta nueva determinación de causar el máximo daño a través de ataques de ransomware específicos representa un nuevo desafío para las organizaciones, pero no debería abrumarlas. De hecho, desde Trend Micro se insiste en que las mejores prácticas probadas son más importantes que nunca. Esto significa garantizar que sus procesos de gestión de vulnerabilidades y parches estén al día, que todas las cuentas estén protegidas con contraseñas seguras o autenticación multifactor y que los privilegios estén restringidos. La segmentación de la red también puede ayudar a prevenir la propagación de malware dentro de la organización. 

Los responsables de seguridad TI deben disponer de seguridad avanzada en capas en los endpoints, redes y servidores para detectar y bloquear de forma proactiva cualquier infección de ransomware. No hace falta decir que Trend Micro ofrece estas herramientas en Deep Security, Deep Discovery, Smart Protection Suites y Worry-Free Business Security. “Nuestro enfoque es la defensa contra amenazas conectada, en la que todas las capas comparten información para mejorar la protección y los tiempos de respuesta, y XGen: una mezcla intergeneracional de diferentes herramientas diseñadas para detener la mayor variedad posible de técnicas de ataque”, apuntan desde Trend Micro.

Este es el tipo de protección que necesitan las empresas a medida que el ransomware se vuelve más inteligente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.