El ransomware sigue siendo una amenaza para las empresas

El ransomware sigue siendo una amenaza grave, por lo que elaboramos un nuevo libro blanco que explica lo que las empresas deben saber y hacer para minimizar los riesgos.

Durante el 2018 los criminales conturaron dirigiendo ataques de ransomware a una gran organización. Y por esta razón tuvo que elaborar un documento técnico que explica por qué el ransomware sigue siendo una amenaza peligrosa para las organizaciones, sin importar su tamaño, y qué pueden hacer para reducir la exposición y el daño ante este tipo de amenazas.

El documento pone el foco en tres vectores peligrosos de ataques de ransomware: acceso remoto, correo, y cadena de suministro. El propósito de este material es ayudar a los CEO, CIO, CISO y administradores de riesgos comerciales para que puedan comprender cuál es el estado real de los ataques de ransomware, así como la evolución de varias áreas que también son motivo de preocupación.

Grandes blancos, altas demandas

Si su organización no se vio afectada por un ataque de ransomware en el último minuto, puede sentirse tentado a asumir que esta clase de amenazas se ha convertido en parte de los archivos de ciberdelincuencia. Y es que los titulares de los medios han descrito al ransomware como un fenómeno que tuvo lugar en 2017 y que su caida está relacionada con el crecimiento de la minería de criptomonedas. Pero en realidad, lo que reflejan los titulares actuales es que mientras ha habido un crecimiento importante en las detecciones de mineros de criptomonedas, algunos de los indicadores más obvios de la actividad del ransomware han decaído; pero esto no quiere decir que el ransomware forma parte del pasado, ya que sigue siendo una amenaza muy seria para las organizaciones.

Como ejemplo, recordemos lo sucedido este año en la ciudad de Atlanta, en Estados Unidos, cuando cinco departamentos gubernamentales de la ciudad fueron impactados por un ataque de ransomware: Sistema Penitenciario, Gestión de Cuencas Hidrográficas, Recursos Humanos, Parques y Recreación, y Planeamiento de la Ciudad. El ataque afectó una serie de funciones de la ciudad, incluida la capacidad de aceptar pagos en línea de facturas de agua y multas de tráfico. El Wi-Fi del Aeropuerto Internacional de Atlanta “Hartsfield-Jackson” estuvo inhabilitado durante una semana. Si bien Atlanta rechazó los $50.000 que exigían los delincuentes para el rescate, el impacto económico ha sido de millones de dólares (y puede haber terminado siendo cercano a los $17 millones).

Como documentamos en este documento técnico, los costosos ataques de ransomware han afectado a numerosas organizaciones relacionadas con los sectores estatal, gubernamental y educativo. Tenemos conocimiento de estos ataques porque entitas vinculadas a estos sectores generamento tienen como requisito hacer públicos estos informes. Lo mismo es cierto en el sector de la salud, donde las regulaciones gubernamentales también exigen la divulgación.

Pero, ¿qué sucede con aquellas organizaciones que no tienen la obligación de divulgar casos de brechas de seguridad? Es razonable pensar que una empresa comercial que se ve afectada por un ataque de ransomware dirigido intentará evitar a toda costa abandonar los medios. Esto significa que no podemos confiar en los informes publicados sobre ataques de ransomware para evaluar el alcance de la amenaza. Lo que sí sabemos, por parte de los equipos de soporte, dispositivos de seguridad y otros, es que el ransomware sigue siendo una amenaza costosa y que las víctimas no son pocas en todos los sectores empresariales.

El factor Protocolo de escritorio remoto (RDP)

Algo más que sabemos es que una parte de los ataques de ransomware que tuvieron lugar durante 2018 y que estaban dirigidos a sectores como la salud o entidades gubernamentales, involucraron a una familia de ransomware conocida como SamSam (detectada por los productos de ESET como MSIL/Filecoder.Samas ). Los ataques SamSam en 2018 han penetrado en las organizaciones a través de la “aplicación de fuerza bruta a los endpoints de RDP” (Departamento de Salud y Servicios Humanos de los Estados Unidos).

Un punto final RDP es un dispositivo, como un servidor de base de datos, que ejecuta el software de Protocolo de escritorio remoto (RDP) para que se pueda acceder al dispositivo a través de una red, como Internet. Si el acceso al servidor solo está protegido con un nombre de usuario y una contraseña, entonces un atacante que haya identificado el servidor como un espacio en blanco hará múltiples intentos para adivinarlos, a menudo con una relación de velocidad muy alta, de ahí el término: ataque forzado bruto. Ante la ausencia de cualquier mecanismo para limitar la presencia de múltiples huéspedes con malas intenciones, este tipo de ataques pueden ser muy efectivos y permitir que este compromiso se extienda por toda la red de una organización. Para hablar de un caso particular, un ataque de ransomware afectó a un gigante de pruebas médicas como Lab Corp en julio de 2018 a través de RDP y alcanzó 7.000 sistemas y 350 servidores de producción en menos de una hora.

Desde el 28 de octubre de 2018, el escáner Shodan indica que más de medio millón de sistemas en Internet estaban ejecutando RDP explícitamente y que más de un millón y medio de esos sistemas estaban funcionando en los Estados Unidos. Para un atacante, todas esas máquinas son blancos potenciales para ser explorados. Una vez comprometidas, pueden ser explotadas o, tal como se detalla en el white paper, las credenciales de acceso pueden ser comercializadas en el mercado negro, como por ejemplo, en xDedic.

Resumen

Las amenazas en el campo de la seguridad son acumulativas. Este fenómeno de "acumulación de amenazas" implica que la existencia de una ola de delincuentes que pretenden abusar de los recursos de procesamiento de los dispositivos de las personas para minar criptomonedas no significa que haya escasez de delincuentes interesados ​​en desarrollar y desplegar técnicas de explotación de RDP con el objetivo de crear un vector de ataque redituable para el ransomware. Del mismo modo, capacitar a su organización en el uso de RDP (lo cual es necesario por múltiples razones) no implica que ya no sea importante realizar las contra el phishing.

El libro blanco deja en claro que, junto con las acciones de capacitación, las organizaciones necesitan contar con políticas de seguridad que sean fáciles de usar y controlar. También se necesita contar con productos de seguridad y herramientas, incluyendo pruebas de respaldo y sistemas de recuperación; además de un plan de respuesta a incidentes que se actualiza constantemente. Incluso con todas estas medidas, sumadas a la vigilancia, nadie tiene asegurada la inmunidad ante los ataques. Pero sin lugar a dudas, de esta manera se establecerán las posibilidades de desviarlos.

Hasta que los gobiernos de todo el mundo alcancen acuerdos globales, la batalla contra el ciberdelito no solo continuará, sino que se ampliará junto con los beneficios que la sociedad obtiene de las nuevas tecnologías. Por suerte, al explicar por qué el ransomware sigue siendo una amenaza seria para las organizaciones y que se puede hacer para defenderse de los ataques de esta naturaleza, este documento se ajuda para asegurar esos beneficios al tiempo que se minimizan las pérdidas provocadas por los actores maliciosos .

Descarga el libro blanco: Ransomware: una perspectiva empresarial.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!