Claves para reducir el riesgo de ransomware

El ransomware, malware que amenaza con bloquear el acceso a un sistema o información hasta que se pague un rescate, es cada vez más habitual, lo que convierte a prácticamente todos los usuarios de internet en víctimas potenciales. Para Proofpoint, “aodría decirse que el ransomware ha superado su fase epidémica y ahora se ha convertido en una amenaza endémica, con más impacto que nunca en la vida cotidiana, y de la que ninguna organización es inmune”, apunta su country manager para España y Portugal, Fernando Anaya.

Año tras año los ciberdelincuentes van actualizando sus tácticas, por ejemplo, incluyendo técnicas de doble e incluso triple extorsión, que están cada vez más extendidas. La posibilidad de mantener el acceso y filtrar grandes cantidades de datos confidenciales permite a los atacantes aumentar las cifras del rescate exigido y conseguir un mayor beneficio. Sin embargo, aunque sus ataques evolucionen, el objetivo es el mismo: conseguir un acceso ilícito.

Ransomware y BEC: ¿dos ciberataques diferentes?
Tradicionalmente, el ransomware y el Business Email Compromise (BEC)  se han atribuido a grupos diferentes de ciberdelincuentes. Sin embargo, aunque es cierto que algunos grupos tienen especialidades, competencias e infraestructuras enfocadas a cada una de estas modalidades de ataque, las técnicas básicas que utilizan son las mismas.

Por este motivo, aunque ambas amenazas sean ligeramente diferentes, tienen asimismo mucho en común desde el punto de vista de la defensa. En la mayoría de casos, los atacantes obtienen el acceso inicial a un entorno mediante phishing por correo electrónico; protocolo RDP, que permite tomar el control de un ordenador a distancia; o malware para robar tokens de autenticación, cookies y credenciales. Además, en los dos casos se suele utilizar el secuestro de hilos para meterse en conversaciones legítimas.

“El hecho de que existan tantas coincidencias entre el ransomware y BEC da a las organizaciones una gran ventaja a la hora de diseñar su estrategia de defensa. Se trata de evitar las mismas actividades, independientemente de cómo los delincuentes quieran rentabilizar el ataque”, puntualiza el directivo experto en ciberseguridad de Proofpoint.

Implementar una defensa para todo tipo de ataques
Las soluciones tradicionales no funcionan en los casos actuales en los que los ciberdelincuentes vulneran las cuentas para robar los datos. Las herramientas que buscan indicadores de compromiso utilizando reglas de clasificación de datos ya no cumplen su objetivo si se utilizan solas.

Los responsables de seguridad tienen que buscar los indicios que encajan con el comportamiento actual de los atacantes. Por ejemplo, si se identifican varios inicios de sesión con la misma cookie, puede ser indicio de que un ciberdelincuente está usando credenciales comprometidas. Y si además se observa en el endpoint de ese mismo usuario la instalación de un programa de compresión de archivos, como 7zip o WinRAR, o la transmisión de una gran cantidad de datos a alguna plataforma para compartir archivos en la nube, es recomendable implementar una respuesta ante incidentes.

Los ciberdelincuentes de hoy en día son muy oportunistas, siempre van a buscar el punto débil de una organización. Intentarán localizar dispositivos VPN o puertos RDP vulnerables, pero sin duda saben que la manera más fácil de acceder es a través de los usuarios. Las cargas maliciosas casi siempre se transmiten mediante el uso de ingeniería social y necesitan de la interacción humana para funcionar, por lo que es suficiente con que un empleado haga clic en un enlace o descargue un archivo adjunto de un mensaje de phishing para que los atacantes consigan su objetivo.

“Proteger a los empleados y formarlos en ciberseguridad refuerza la ciberresiliencia y reduce las posibilidades de que la mayoría de ataques tengan éxito. Si los ciberdelincuentes no pueden acceder a una organización, tampoco pueden cifrar sus archivos, robar sus datos e interrumpir su actividad empresarial. No hay ninguna fórmula mágica, lo más efectivo es equipar y educar al personal para evitar las amenazas y proteger la información”, sostiene Anaya.