Internacional. Guardicore compartió que los ciberdelincuentes, al momento de propagar un ataque ransomware, utilizan con mayor frecuencia correos electrónicos, URL maliciosas y el protocolo de escritorio remoto.
Según estudio de Guardicore (parte de Akamai) “Ebook para la defensa contra ransomware de 5 pasos, cómo fortalecer sus defensas más allá del perímetro” un ataque de ransomware conlleva diversas consecuencias sumamente perjudiciales como la interrupción en la productividad, como daños a la marca y pérdida de lealtad de los clientes, entre otros.
Dichos daños se calculó que sucederían cada once segundos en 2021 y costarían $ 20 mil de dólares. En tanto, el costo promedio de un pago de ransomware es de 84 mil dólares y el tiempo promedio por inactividad que deja este tipo de incidente a una empresa es de 16,2 días.
Teniendo en cuenta el desbordado crecimiento de ciberataques tipo ransomware en los últimos años, Oswaldo Palacios, Senior Account Executive para Guardicore, opinó que una de las debilidades en las estrategias de ciberseguridad de las organizaciones que más aprovechan los atacantes es la falta de visibilidad este-oeste en los centros de datos.
Así mismo, agregó que los movimientos laterales pocas veces son detectados oportunamente, asunto de conocimiento de los desarrolladores de ransomware, quienes aprovechan las debilidades de seguridad y obtienen acceso a activos críticos, por esa falta de visibilidad y segmentación.
El experto de Guardicore fue enfático en que la forma más utilizada para la propagación del ransomware en una compañía sigue siendo el correo electrónico, pues al tener debilidades propias del protocolo, se aprovecha que es relativamente sencillo confundir al usuario diciendo que tiene un paquete pendiente de entrega, una compra rechazada o nombres llamativos.
3 formas más comunes de introducir y propagar ransomware
En palabras de Oswaldo Palacios las técnicas comunes para generar y esparcir un ciberataque usando malware son:
1. Correos electrónicos: Estos correos electrónicos pueden ser generales o involucrar tácticas de spear phishing que adaptan el contenido a una organización o persona específica, con la esperanza de que provoque una interacción, como abrir un archivo adjunto o hacer clic en un enlace, y brindar a los malos actores un vehículo para entregar malware.
2. URL maliciosas: Las URL maliciosas aparecen comúnmente en campañas de phishing, pero también pueden estar incrustadas en un sitio web o en cualquier lugar en el que un usuario pueda hacer clic. En el caso del ransomware, después de que el objetivo interactúa con la URL, el malware a menudo intentará auto instalarse en la máquina de la víctima, donde puede comenzar a propagarse y extenderse a múltiples activos.
3. Protocolo de escritorio remoto: El uso de la infraestructura de escritorio virtual (VDI) se ha convertido en una superficie de ataque de rápido crecimiento. Un riesgo significativo de VDI incluye el hecho de que toda la infraestructura y las aplicaciones a menudo se encuentran en el mismo servidor. Si un atacante puede introducir software malicioso con éxito, puede resultar complicado detectarlo hasta que sea demasiado tarde.
Palacios, también aseguró que los directorios activos y aplicaciones críticas son de los puntos más atacados, ya que ahí reside la información de los usuarios como sus permisos, accesos y privilegios dentro de la compañía. Por eso una vez que un atacante ha tomado posesión del directorio activo estarán comprometidos los accesos de los usuarios a las aplicaciones del negocio, causando una afectación total o parcial en la operación.
Defensa contra el ransomware
En ese sentido el experto comentó que una de las mejores defensas contra el ransomware es evitar el movimiento lateral dentro de su perímetro, asunto que puede ser difícil de realizar para el tráfico de este a oeste con firewalls tradicionales.
También hizo hincapié en que si bien se consigue cierta segmentación utilizando VLAN, a menudo es amplio y no es exactamente el enfoque más ágil cuando se precisa aislar activos sobre la marcha, como en el caso de una infracción exitosa.
"No puedes proteger lo que no puedes ver; por lo tanto, las compañías necesitan una herramienta que les brinde una completa visibilidad de todas las comunicaciones del centro de datos, no solo entrantes o salientes del perímetro, sino las que existen dentro de las redes y que al no ser visibles por los firewalls pueden resultar en amenazas moviéndose lateralmente".
Finalmente, el directivo aseguró que existen herramientas de ciberseguridad como la microsegmentación que otorga visibilidad a nivel de proceso dentro de los servidores, permitiendo hacer segmentos tan pequeños como para permitir o denegar la comunicación entre procesos de un activo.
