Cómo esquivar nuevas tácticas de ransomware

Los ciberdelincuentes son cada vez más estratégicos y profesionales ransomware. Cada vez más están emulando cómo operan las empresas legítimas, incluido el aprovechamiento de una creciente cadena de suministro de delitos cibernéticos como servicio.

Este artículo describe cuatro tendencias clave de ransomware y brinda consejos sobre cómo evitar ser víctima de estos nuevos ataques. 

1. Los IAB en aumento

El ciberdelito se está volviendo más rentable, como lo demuestra el crecimiento de los corredores de acceso inicial (IAB, por sus siglas en inglés) que se especializan en vulnerar empresas, robar credenciales y vender ese acceso a otros atacantes. Los IAB son el primer eslabón de la cadena de destrucción del ciberdelito como servicio, una economía sumergida de servicios disponibles que cualquier posible delincuente puede adquirir para construir cadenas de herramientas sofisticadas para ejecutar casi cualquier delito digital imaginable.

Los principales clientes de los IAB son operadores de ransomware, que están dispuestos a pagar por el acceso a víctimas preparadas mientras centran sus propios esfuerzos en la extorsión y la mejora de su malware.

En 2021, hubo más de 1,300 listados de IAB en los principales foros sobre ciberdelincuencia supervisados ​​por el Centro de Inteligencia Cibernética KELA, y casi la mitad proviene de 10 IAB. En la mayoría de los casos, el precio de acceso oscilaba entre $1,000 y $10,000, con un precio de venta promedio de $4,600. De todas las ofertas disponibles, las credenciales de VPN y el acceso de administrador de dominio se encontraban entre Lo más valioso.

2. Los ataques sin archivos pasan desapercibidos

Los ciberdelincuentes están siguiendo el ejemplo de las amenazas persistentes avanzadas (APT) y los atacantes de estados-nación al emplear técnicas de vida de la tierra (LotL) y sin archivos para mejorar sus posibilidades de evadir la detección para implementar ransomware con éxito.

Estos ataques aprovechan herramientas de software legítimas y disponibles públicamente que a menudo se encuentran en el entorno del objetivo. Por ejemplo, el 91% de Ransomware DarkSide Los ataques involucraron herramientas legítimas, y solo el 9% utilizó malware, según para informar por Picus Seguridad. Se han descubierto otros ataques que no tenían ningún archivo.

De esta manera, los actores de amenazas evaden la detección evitando indicadores de "malos conocidos", como nombres de procesos o hashes de archivos. Las listas de aplicaciones permitidas, que permiten el uso de aplicaciones confiables, tampoco restringen a los usuarios malintencionados, especialmente para aplicaciones ubicuas. 

3. Grupos de ransomware dirigidos a objetivos de bajo perfil

El alto perfil Oleoducto colonial El ataque de ransomware en mayo de 2021 afectó la infraestructura crítica con tanta gravedad que desencadenó una crisis internacional y respuesta del gobierno superior.

Estos ataques que acaparan los titulares provocan un escrutinio y esfuerzos concertados por parte de las agencias policiales y de defensa para actuar contra los operadores de ransomware, lo que lleva a la interrupción de las operaciones criminales, así como a arrestos y procesamientos. La mayoría de los delincuentes prefieren mantener sus actividades fuera del radar. Dada la cantidad de objetivos potenciales, los operadores pueden darse el lujo de ser oportunistas y al mismo tiempo minimizar el riesgo para sus propias operaciones. Los actores del ransomware se han vuelto mucho más selectivos a la hora de atacar a las víctimas, gracias a la firmografía detallada y granular proporcionada por los IAB.

4. Los iniciados se sienten tentados con un pedazo del pastel

Los operadores de ransomware también han descubierto que pueden reclutar empleados deshonestos para que les ayuden a obtener acceso. La tasa de conversión puede ser baja, pero la recompensa puede valer la pena.

A encuesta realizada por Hitachi ID Tomado entre el 7 de diciembre de 2021 y el 4 de enero de 2022, encontró que el 65% de los encuestados dijeron que actores de amenazas se habían acercado a sus empleados para ayudarlos a proporcionar acceso inicial. Los insiders que muerden el anzuelo tienen diferentes razones para estar dispuestos a traicionar a sus empresas, aunque la insatisfacción con su empleador es el motivador más común.

Cualquiera sea el motivo, las ofertas realizadas por los grupos de ransomware pueden resultar tentadoras. En la encuesta de Hitachi ID, al 57% de los empleados contactados se les ofreció menos de 500,000 dólares, al 28% se les ofrecieron entre 500,000 y 1 millón de dólares y al 11% se les ofreció más de 1 millón de dólares.

Pasos prácticos para mejorar la protección

Las tácticas en evolución que se analizan aquí aumentan la amenaza de los operadores de ransomware, pero hay medidas que las organizaciones pueden tomar para protegerse:

• Siga las mejores prácticas de confianza cero, como la autenticación multifactor (MFA) y el acceso con privilegios mínimos, para limitar el impacto de las credenciales comprometidas y aumentar las posibilidades de detectar actividad anómala.
• Centrarse en mitigar las amenazas internas, una práctica que puede ayudar a limitar las acciones maliciosas no sólo de los empleados sino también de los actores externos (que, después de todo, parecen ser internos una vez que obtienen acceso).
  
• Llevar a cabo una búsqueda regular de amenazas, lo que puede ayudar a detectar ataques sin archivos y actores de amenazas que trabajan para evadir sus defensas de manera temprana.

Los atacantes siempre están buscando nuevas formas de infiltrarse en los sistemas de las organizaciones, y las nuevas tácticas que estamos viendo ciertamente aumentan las ventajas que tienen los ciberdelincuentes sobre las organizaciones que no están preparadas para los ataques. Sin embargo, las organizaciones están lejos de estar indefensas. Al tomar las medidas prácticas y comprobadas descritas en este artículo, las organizaciones pueden hacerles la vida muy difícil a los IAB y a los grupos de ransomware, a pesar de su nueva gama de tácticas.