El ransomware es la amenaza de ciberseguridad más importante que enfrentan las organizaciones en la actualidad. Pero recientemente, los líderes de la Agencia de Seguridad Nacional y el FBI indicó que los ataques disminuyeron durante la primera mitad de 2022. La combinación de sanciones a Rusia, donde se originan muchas pandillas de ciberdelincuentes, y la caída de los mercados de criptomonedas puede haber tenido un efecto, lo que dificulta que las pandillas de ransomware extraigan fondos y obtengan sus pagos.
Pero aún no estamos fuera de peligro. A pesar de una caída temporal, el ransomware no solo prospera sino que también evoluciona. En la actualidad, el ransomware como servicio (RaaS) ha evolucionado de un modelo automatizado y mercantilizado que se basa en kits de explotación preempaquetados a una operación comercial sofisticada, altamente dirigida y operada por humanos. Esa es la razón para que las empresas de cualquier tamaño se preocupen.
Convertirse en RaaS
Es ampliamente conocido que los ciberdelincuentes de hoy en día están bien equipados, altamente motivados y son muy efectivos. No llegaron a ser así por accidente, y no se han mantenido tan efectivos sin una continua evolucionando sus tecnologías y metodologías. La motivación de la ganancia financiera masiva ha sido la única constante.
Los primeros ataques de ransomware eran ataques simples impulsados por la tecnología. Los ataques impulsaron un mayor enfoque en las capacidades de copia de seguridad y restauración, lo que llevó a los adversarios a buscar copias de seguridad en línea y cifrarlas también durante un ataque. El éxito del atacante condujo a rescates más grandes, y las demandas de rescate más grandes hicieron que fuera menos probable que la víctima pagara y más probable que la policía se involucrara. Las pandillas de ransomware respondieron con extorsión. Pasaron no solo a encriptar datos, sino también a exfiltrar y amenazar con hacer públicos los datos a menudo confidenciales de los clientes o socios de la víctima, lo que presenta un riesgo más complejo de daños a la marca y la reputación. Hoy en día, no es inusual que los atacantes de ransomware busquen la póliza de seguro cibernético de la víctima para ayudar a establecer la demanda de rescate y hacer que todo el proceso (incluido el pago) sea lo más eficiente posible.
También hemos visto ataques de ransomware menos disciplinados (pero igualmente dañinos). Por ejemplo, elegir pagar un rescate a su vez también identifica a una víctima como una opción confiable para un ataque futuro, lo que aumenta la probabilidad de que sea atacada nuevamente, por la misma banda de ransomware o por una diferente. Estimaciones de investigación entre 50% a% 80 (PDF) de organizaciones que pagaron un rescate sufrieron un ataque repetido.
A medida que los ataques de ransomware han evolucionado, también lo han hecho las tecnologías de seguridad, especialmente en áreas de identificación y bloqueo de amenazas. Las tecnologías antiphishing, filtros de correo no deseado, antivirus y detección de malware se han perfeccionado para hacer frente a las amenazas modernas y minimizar la amenaza de un compromiso a través del correo electrónico, sitios web maliciosos u otros vectores de ataque populares.
Este proverbial juego del “gato y el ratón” entre adversarios y proveedores de seguridad que brindan mejores defensas y enfoques sofisticados para detener los ataques de ransomware ha llevado a una mayor colaboración dentro de los círculos ciberdelincuentes globales. Al igual que los ladrones de cajas fuertes y los especialistas en alarmas utilizados en los robos tradicionales, los expertos en desarrollo de malware, acceso a redes y explotación están impulsando los ataques actuales y creó las condiciones para la próxima evolución en ransomware.
El modelo RaaS hoy
RaaS ha evolucionado para convertirse en una operación sofisticada dirigida por humanos con un modelo comercial complejo de participación en las ganancias. Un operador de RaaS que puede haber trabajado de forma independiente en el pasado ahora contrata a especialistas para aumentar las posibilidades de éxito.
Un operador de RaaS, que mantiene herramientas de ransomware específicas, se comunica con la víctima y asegura los pagos, a menudo ahora trabajará junto con un pirata informático de alto nivel, que realizará la intrusión en sí. Tener un atacante interactivo dentro del entorno de destino permite la toma de decisiones en vivo durante el ataque. Trabajando juntos, identifican debilidades específicas dentro de la red, aumentan los privilegios y cifran los datos más confidenciales para garantizar los pagos. Además, realizan reconocimientos para encontrar y eliminar copias de seguridad en línea y deshabilitar herramientas de seguridad. El pirata informático contratado a menudo trabajará junto con un corredor de acceso, que es responsable de proporcionar acceso a la red a través de credenciales robadas o mecanismos de persistencia que ya existen.
Los ataques que resultan de esta colaboración de experiencia tienen la sensación y la apariencia de ataques de estilo de amenaza persistentes avanzados patrocinados por el estado, pero son mucho más frecuentes.
Cómo las organizaciones pueden defenderse a sí mismas
El nuevo modelo RaaS operado por humanos es mucho más sofisticado, específico y destructivo que los modelos RaaS del pasado, pero todavía hay mejores prácticas que las organizaciones pueden seguir para defenderse.
Las organizaciones deben ser disciplinadas en cuanto a su higiene de la seguridad. La TI siempre está cambiando, y cada vez que se agrega un nuevo punto final o se actualiza un sistema, tiene el potencial de introducir una nueva vulnerabilidad o riesgo. Los equipos de seguridad deben permanecer enfocados en las mejores prácticas de seguridad: aplicación de parches, uso de autenticación multifactor, aplicación de credenciales sólidas, escaneo de la Dark Web en busca de credenciales comprometidas, capacitación de empleados sobre cómo detectar intentos de phishing y más. Estas Las mejores prácticas ayudan a reducir la superficie de ataque y minimizar el riesgo de que un corredor de acceso pueda explotar una vulnerabilidad para obtener acceso. Además, cuanto más fuerte sea la higiene de seguridad que tenga una organización, menos "ruido" habrá para que los analistas clasifiquen en el centro de operaciones de seguridad (SOC), lo que les permitirá concentrarse en la amenaza real cuando se identifique una.
Más allá de las mejores prácticas de seguridad, las organizaciones también deben asegurarse de tener capacidades avanzadas de detección y respuesta a amenazas. Debido a que los intermediarios de acceso dedican tiempo a realizar reconocimientos en la infraestructura de la organización, los analistas de seguridad tienen la oportunidad de detectarlos y detener el ataque en sus primeras etapas, pero solo si cuentan con las herramientas adecuadas. Las organizaciones deben buscar soluciones de detección y respuesta extendidas que puedan detectar y correlacionar la telemetría de eventos de seguridad en sus terminales, redes, servidores, correo electrónico y sistemas en la nube, y aplicaciones. También necesitan la capacidad de responder dondequiera que se identifique el ataque para detenerlo rápidamente. Las grandes empresas pueden tener estas capacidades integradas en su SOC, mientras que las organizaciones medianas pueden querer considerar el modelo de detección y respuesta administrada para el monitoreo y la respuesta a amenazas las 24 horas del día, los 7 días de la semana.
A pesar de la reciente disminución de los ataques de ransomware, los profesionales de la seguridad no deben esperar que la amenaza desaparezca pronto. RaaS seguirá evolucionando, con las últimas adaptaciones reemplazadas por nuevos enfoques en respuesta a las innovaciones en ciberseguridad. Pero con un enfoque en las mejores prácticas de seguridad combinadas con tecnologías clave de prevención, detección y respuesta a amenazas, las organizaciones se volverán más resistentes contra los ataques.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
