This post is also available in: Português Español
El ransomware comenzó con atacantes de encriptado de archivos de usuarios particulares, donde pedían dinero y luego de recibir el pago, se le daba a la víctima una llave para desbloquear sus archivos.
No era algo muy elaborado, ni pedían tanto dinero. Claro no justifica el hecho, sin embargo, con una velocidad inusual, los ataques de ransomware se transformaron en una amenaza mucho más peligrosa y costosa, que se aprovecha principalmente de organizaciones y empresas.
Los grupos de ransomware se han vuelto más osados. Sólo en este año consiguieron grandes objetivos, como Kaseya, Colonial Pipeline, JBS, Tiendas Renner, entre otras grandes empresas.
A pesar que la situación ya es preocupante, y que los ataques sean más frecuentes, peligrosos y costosos, sabemos que puede empeorar.
¿Qué es un ransomware?
Sorprendentemente, algunas personas no saben o nunca escucharon hablar sobre ransomware.
Ransomware es un tipo de malware que tiene como finalidad el secuestro de datos con el fin de solicitar un rescate para liberar los datos. Lo que ocurre porque por naturaleza el ransomware encripta los archivos y carpetas en los sistemas operacionales de los usuarios, para que no puedan acceder a ellos, hasta que el rescate solicitado no sea realizado.
A través de esta estrategia de encriptado fuerte, los dados que son usados por determinadas aplicaciones, como banco de datos, un archivo de configuración, o incluso archivos comunes como documentos, planillas, etc, son encriptados y no pueden ser leídos.
Para liberar los datos los cibercriminales piden el pago de determinadas cantidades, generalmente pagadas con moneda virtual bitcoin, cuya rastreabilidad es altamente compleja, protegiendo el anonimato así como aupando a las personas mal intencionadas a realizar, o contratar, este ataque como servicio (RaaS – Ransomware as a Service) en la Deepweb.
¿Por qué los ataques de ransomware están creciendo tanto?
Así como la mayoría de las empresas, los grupos de ransomware aprecian la eficacia. Los ataques de ransomware usualmente son de baja complejidad y alto lucro. Los invasores puede que se esfuercen relativamente poco (en comparación con otros tipos de ciberataques) y obtener una gran recompensa. Como resultado de eso, los grupos de ransomware se están volviendo cada vez más osados en cada ataque.
Los actores detrás de las campañas de ransomware también son persistentes. Que una pandilla haya sido eliminada, no significa que las personas que actuaban tras de ella están fuera del juego de ransomware, más bien, analizan sus acciones para usar nuevas tácticas la próxima vez. Ellos pueden reorganizarse usando nombres nuevos y atacar a nuevas empresas, y aún conservan algunas tácticas y motivaciones que impulsan las tendencias del ransomware.
Triple extorsión y nuevos vectores de ataque
Por mucho tiempo, los grupos de ransomware realizaron un solo nivel de extorsión: encriptado de archivos con exigencia de rescate para la entrega de una llave de descriptografía. Mientras que las empresas optimizaban sus procesos de backup, las pandillas se adaptaban y recurrieron a la doble extorsión.
Ahora, antes de encriptar datos, los grupos, como REvil, por ejemplo, extraen información confidencial de la red antes de encriptar archivos o anunciar su presencia. De esa forma, además de mantener los datos encriptados para su rescate, pueden incentivar el pago por el rescate para evitar la exposición pública de los datos extraídos de sus objetivos.
Y eso no es todo, el próximo paso para los cibercriminales es añadir una tercera capa de extorsión, con terceros en la mira. No solo las empresas estarán en riesgo, los clientes también. Los invasores usarán datos robados en ataques para extorsionar a los verdaderos propietarios de la información confidencial.
Además, el phishing ha sido la forma clásica de introducirse en los sistemas y redes de las empresas. Spear phishing, normalmente dirigido a los líderes de las empresas con mensajes sofisticados utilizando detalles encontrados en las redes sociales y a través de otros métodos de inteligencia de código abierto (OSINT), también es una de las tácticas preferidas.
El riesgo de spear phishing está aumentando a medida que más organizaciones adoptan aplicaciones en nube, como plataformas SaaS.
Pero a medida que aumenta la autenticación de dos factores y la concienciación sobre el phishing, los ciberdelincuentes están yendo más allá y se están centrando en la tecnología de acceso remoto para conseguirlo.
Utilizan nuevos métodos para determinar los puntos débiles y acceder a las redes. Las tecnologías más antiguas son fáciles de comprometer y cada vez más empresas utilizan tecnologías de acceso remoto, gracias al aumento del trabajo en casa desde el inicio de la pandemia de COVID-19.
Manténgase seguro
Con el aumento de ataques, la sofisticación de los mismos y los nuevos vectores usados por los cibercriminales, es importante tomar algunas medidas de seguridad. Por ello, hemos separado algunos consejos para que pueda mantener su negocio aún más seguro. Descúbralos:
- Tenga cuidado con los archivos adjuntos y los enlaces en los correos electrónicos, especialmente los mensajes provenientes de bancos, tiendas o autoridades judiciales. El contenido de este tipo de correo electrónico induce a los usuarios desprevenidos a hacer clic en el enlace o el archivo adjunto;
- Esté alerta en las redes sociales y los servicios de mensajería instantánea, como Facebook, Instagram, LinkedIn y WhatsApp, por ejemplo. Incluso si el mensaje proviene de una persona conocida, el dispositivo puede estar comprometido y el mensaje puede haber sido enviado automáticamente;
- Nunca descargue archivos de sitios sospechosos o inseguros, y active las funciones de seguridad y privacidad del navegador;
- Mantenga su sistema operativo y sus aplicaciones siempre actualizados, esto reduce el riesgo de que se aprovechen las vulnerabilidades;
- Utilice una buena solución antivirus paga de un proveedor fiable y bien recomendado;
- No se conecte a redes inalámbricas que no sean de confianza ni a redes públicas. Cuando sea necesario, utilice una VPN para realizar tales conexiones;
- Realice copias de seguridad de sus archivos con regularidad y tenga una copia actualizada off-line. Así podrá recuperarlos en caso de secuestro de datos, pero tenga en cuenta que los ataques están evolucionando hacia la exposición de datos, por lo que la estrategia de prevención sigue siendo clave.
- Diseñe un plan de respuesta adecuado en caso de siniestro, desconecte físicamente los sistemas para minimizar los impactos y evaluar los daños del entorno off-line;
- Revise las políticas de seguridad, herramientas de protección y módulos de los sistemas periódicamente;
- Oriente a los empleados con frecuencia, especialmente en lo que respecta al uso de los computadores, Internet y el correo electrónico, entre otros. Reforzar el factor humano es fundamental en una estrategia de seguridad.
El ransomware, además de ser peligroso, puede causar muchos dolores de cabeza y pérdidas económicas.
Es importante mantener la seguridad de sus dispositivos y redes para no convertirse en objetivo de los ciberdelincuentes.
Si tiene alguna pregunta, no dude en ponerse en contacto con nosotros, estaremos a su disposición para aclaraciones y orientación.
This post is also available in: Português Español