Internacional. Debido a la magnitud de sus ataques, decenas de empresas en la región están perdiendo la batalla contra el ransomware, además los ciberdelincuentes se han vuelto lo suficientemente sofisticados como para utilizar el ransomware para introducirse en grandes empresas, administraciones públicas, infraestructuras globales u organizaciones de salud pública, y paralizarlas.
A partir de 2022, el costo promedio de una sola filtración de datos en todas las industrias en el mundo fue de alrededor de 4,35 millones de dólares. Se descubrió que esto era más costoso en el sector de la salud, y se informó que cada fuga supuso a la parte afectada 10,1 millones de dólares. El segmento financiero le siguió de cerca, cada incumplimiento resultó en una pérdida de aproximadamente 6 millones de dólares, 1,5 millones más que el promedio mundial.
De acuerdo con Patricio Villacura, Especialista de Seguridad Empresarial para Akamai, hay muchas variantes de ransomware. No obstante, buscar los Indicadores de Vulnerabilidades o IoC específicos en función de nombres de dominio sospechosos, direcciones IP y hash de archivos asociados con actividades maliciosas conocidas puede ayudar a obtener más información sobre el origen del ataque y cómo responder.
El experto explicó que la metodología utilizada por los cibercriminales para realizar un ataque de ransomware normalmente obedece a los siguientes cinco pasos:
1) Romper el perímetro. Por medio de alguna de las técnicas existentes como ataques de fuerza bruta, vulnerabilidades, phishing, etcétera, el atacante busca acceder a los sistemas.
2) Ganar privilegios a nivel de administrador. Es en este punto cuando el atacante busca capturar credenciales de usuarios de altos privilegios para poder realizar modificaciones en las configuraciones de los sistemas y aplicaciones con el único fin de evitar la correcta operación de los servicios.
3) Moverse lateralmente. El atacante se mueve de manera lateral con el objetivo de reconocer la infraestructura circundante, servicios potencialmente vulnerables y detectar la existencia del repositorio de datos de respaldo.
4) Infección. Una vez entendido el entorno se busca avanzar al cuarto paso que es continuar con la infección de dichos servidores ya sea atacando protocolos potencialmente vulnerables como RDP, SMB o SSH que precisamente son de fácil presencia en la operación normal de los sistemas o la ejecución de herramientas maliciosas como EthernalBlue, Zerologon, entre otras.
5) Cifrar. Todo lo que pueda ser cifrable como archivos de sistemas, datos sensibles de usuarios, bibliotecas con los detalles de configuración de sistemas incluyendo permisos, entre otros datos que sean vitales para la operación normal del día a día de las empresas e instituciones.
Patricio Villacura destacó que los controles específicos que pueden ser establecidos en cada una de estas etapas son variadas para detectar y frenar cada una de ellas, pero es la Microsegmentación la solución que puede, desde una etapa temprana, evitar que no solo se pueda proteger la infraestructura crítica y los servicios que la sustentan, sino además disminuir la superficie de ataque.
Así es cómo la Microsegmentación ayuda a prevenir el ransomware
La Microsegmentación es la forma más rápida de visualizar y segmentar los activos en el centro de datos, la nube o la infraestructura de nube híbrida. El elemento de segmentación basado en software de la Microsegmentación separa los controles de seguridad de la infraestructura subyacente y ofrece a las organizaciones flexibilidad para ampliar la protección y la visibilidad en cualquier lugar.
A decir del experto, es importante entender cómo una solución de Microsegmentación actuaría ante un ciberataque, para ello expuso un ejemplo muy famoso que pudo evitarse con una estrategia utilizando esta herramienta.
El directivo informó que el 8 de Mayo de 2022, el presidente de Costa Rica, Rodrigo Chaves, se vio obligado a declarar estado de emergencia nacional por la exfiltración de aproximadamente 700GB de información sensible de los ciudadanos viéndose afectados ocho organismos gubernamentales debido al ataque producido por el grupo de Ransomware Conti.
Los atacantes aprovecharon brechas de código fuente de aplicaciones y brechas en la validación de accesos públicos a bases de datos SQL de los servicios de gobierno; posteriormente ejecutaron un cifrado de la información sensible de los ciudadanos para después pedir un pago por el rescate de la información antes de ser divulgada.
De acuerdo con Patricio Villacura, una solución de Microsegmentación podría haber evitado la expansión de este ataque sobre la operación de los servicios de los ministerios por medio del control de las rutas de comunicación de las herramientas usadas por Conti, luego por la capacidad de restricción de acceso a los recursos compartidos de archivos que guardan información sensible de los ciudadanos y finalmente, por la limitación del acceso a las bases de datos y servidores de copia de seguridad.
