El ransomware evoluciona y se perfila como la principal ciberamenaza del 2021

Image for post
Image for post

por Víctor Ruiz, fundador de SILIKN

Este año el ransomware — tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos — se ha fortalecido convirtiéndose en una de las ciberamenazas más dañinas contra las organizaciones. Y además se espera, que para 2021, sea una de las principales causas de la interrupción de las operaciones de las empresas.

El ransomware se está volviendo cada vez más problemático a medida que los cibercriminales se preparan, prueban nuevas herramientas y piensan en nuevas formas de hacer que sus ataques sean más fáciles de lanzar y más devastadores para las víctimas.

De acuerdo con la unidad de investigación de SILIKN, el ransomware se ha mantenido en constante evolución y generando ataques más inteligentes, con intrusiones que permanecen más tiempo dentro de las empresas y solicitando rescates cada vez más altos. Esta nueva forma de operar de los ciberdelincuentes está atrayendo en gran medida la atención de los directivos de las empresas.

El análisis realizado por la unidad de investigación de SILIKN, presenta que anteriormente los delincuentes solían lanzar ataques de ransomware de forma aleatoria y dispersa, buscando encontrar víctimas. Sin embargo, ahora, estos ataques son cada vez más sofisticados y ya son dirigidos a objetivos específicos, lo cual los hace letales.

Con el tiempo, los atacantes se dieron cuenta de que podían generar más ganancias si derribaban toda una organización en lugar de solo un grupo de sistemas a la vez.

Los atacantes avanzados utilizan técnicas de ingeniería social con las cuales logran tener acceso a las redes de las empresas, después aumentan los privilegios, eliminan las herramientas de detección y seguridad, crean puertas traseras y ejecutan el ransomware. De igual forma, explotan las VPN y las aplicaciones de escritorio remoto para ingresar. En lugar de crear una campaña de phishing, los intrusos escanean la Web en busca de VPN vulnerables y las usan para ingresar a los sistemas. Posteriormente pueden regresar cuando lo decidan y aprovechar los equipos y redes comprometidas para la implementación del ransomware.

Los cibercriminales ahora son más analíticos y estudian las opciones que tienen, esto es, si consideran que el phishing representa un gran esfuerzo y no genera ganancias altas, entonces cambiarán de táctica.

Es entonces cuando los criminales deciden dejar de lanzar ataques aleatorios para concentrarse en objetivos más redituables. Si bien hay menos ganancias financieras a medida que pasan por la fase de compromiso, saben que trabajar en un solo objetivo durante un período de tiempo más largo eventualmente conducirá a un gran pago. Los delincuentes saben que invertir tiempo en una brecha descubierta y moverse lateralmente para obtener acceso a toda la organización genera mejores ganancias y les permite interrumpir las operaciones de las empresas cuando ellos lo desean, provocando que las víctimas paguen los rescates para mantener la continuidad de sus negocios.

Otro problema es el “ransomware como servicio”, que automatiza los ataques repetitivos relacionados con las tradicionales campañas de ransomware. Los atacantes y las víctimas solían negociar el rescate por correo electrónico; ahora, los objetivos se envían a diferentes plataformas donde las víctimas pueden ver las solicitudes de rescate y la información de pago, con la posibilidad de contactar a los delincuentes para negociar la devolución de su información.

El ransomware como servicio tiene como finalidad que los atacantes aumenten de manera más eficaz y eficiente su grupo de víctimas y su beneficio financiero.

Así como los atacantes se han dado cuenta de la recompensa de derribar a toda una organización, también han reconocido el tiempo y los recursos necesarios para hacerlo. Tienen acceso a una gran cantidad de negocios, pero no a suficientes operadores, por lo que han comenzado a centrarse más en contratar afiliados y socios y así hacer crecer sus operaciones.

Si bien los ciberdelincuentes de hoy están adaptando algunas de las mismas tácticas que los grupos avanzados de amenazas persistentes, las mejores tácticas para protegerse son las mismas. En este punto SILIKN se mantiene recomendando las siguientes:

  • Mantener una postura de seguridad de la red que incluya la autenticación multifactor en servicios externos como correo electrónico y VPN y asegurar que no estén ejecutando sistemas operativos, aplicaciones, equipos o sistemas no compatibles.
  • Capacitar a todos los empleados en temas de ciberseguridad, especialmente en temas relacionados con ingeniería social. Es recomendable hacer periódicamente sesiones o simulacros de ataques por phishing, para que el personal reconozca la forma en la que el ransomware puede ingresar a sus sistemas.
  • Respaldar la información de la empresa de forma constante. Tener dos o tres opciones de unidades de respaldo de los datos corporativos en diferentes sitios.
  • Tener una guía clara de las políticas y procedimientos que se deben seguir en caso de ser víctimas de un ataque por ransomware.

Recordemos que la ciberseguridad no es un asunto solo del área de sistemas o de seguridad; es un asunto cultural y empresarial del cual deben estar enterados todos los elementos que conforman una organización.

Para conocer más información, visite: https://www.silikn.com/

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store