Vulnerabilidades antiguas y no críticas, campo abonado para el ransomware

De forma que los ciberdelincuentes parecen haber encontrado la ecuación perfecta, el ransomware, que ha demostrado ser una de las ciberamenazas más rentables, con problemas antiguos que aún persisten.

Este contenido fue publicado en el número de Octubre de la revista IT Digital Security, disponible desde este enlace.

También te puede interesar... Formación y concienciación para mejorar la seguridad Especial Ciberseguridad Industrial Especial Cloud

¿Por qué tienen tanto éxito el ransomware? Es tipo de amenaza, que empezó a chantajear a los usuarios y empresas pequeñas, a quienes pedía un rescate por recuperar sus sistemas o archivos, se ha profesionalizados y ahora no sólo impacta contra empresas pequeñas, sino multinacionales o incluso gobiernos. Y tiene tanto éxito porque a diferencia de otras amenazas, su objetivo principal es maximizar el dolor comercial y operativo para la empresa víctima, es decir, congelando sus datos y su capacidad para funcionar. Esto hace que cualquiera sea un objetivo potencial; además, los ciberdelincuentes no necesitan que los datos sean valiosos y luego tener que revenderlos en el mercado negro, solo deben serlos para la víctima, que pagará probablemente en bitcoins o cualquier otra moneda digital.

Si bien el volumen general de ataques comenzó a disminuir en 2018, el impacto en las empresas ha seguido aumentando. A diferencia del enfoque oportunista del ransomware de consumo, el ransomware empresarial se ha desplazado a ataques maliciosos mucho más específicos y de mayor impacto que generan mayores demandas de rescate. Si bien los costos de ransomware en 2017 se estimaron en 5.000 millones en total, las estimaciones han aumentado a 11.500 millones en 2019, incluso cuando el volumen total de ataques de ransomware ha disminuido.

Los ataques de ransomware se están aprovechando de vulnerabilidades que podrían pasar desapercibidas para los equipos de seguridad, con más de la mitad de las vulnerabilidades explotadas con una puntuación inferior a 8 en el CVS, que es como el Common Vulnerabilities and Exposures puntúa los fallos de seguridad que no son críticos. “Estas vulnerabilidades menos que críticas, de algunos años, están dando lugar a importantes desafíos de seguridad en forma de peligros de ransomware para gobiernos, organizaciones de atención médica y empresas”, dice un reciente informe de RiskSense.

Entre los hallazgos clave del informe, casi el 65% de los ataques de ransomware se dirigió a activos de alto valor como servidores, cerca del 55% tenía puntuaciones CVSS v2 inferiores a 8 y las vulnerabilidades de WannaCry todavía se están utilizando en la actualidad.

El estudio recoge que el 35% de las vulnerabilidades explotadas en los ataques de ransomware tienen más de 3 años, un tiempo de actualización que parece significativo si se tienen en cuenta los más de 8.000 millones de dólares que el ransomware costó a las empresas en 2018.

El estudio identificó las 57 vulnerabilidades más comúnmente utilizadas en ataques de ransomware, y detectó que algunas tenían más alcance que otras. En concreto se encontraron 15 vulnerabilidades dirigidas por múltiples familias de ransomware empresarial. Además, dado que la tecnología a menudo se reutiliza en múltiples productos, las vulnerabilidades suelen afectar a más de un proveedor; a este respecto se identificaron 17 vulnerabilidades que afectan a más de un proveedor de tecnología.

Wannacry

Las vulnerabilidades MS17-010, popularizadas por primera vez por el exploit EternalBlue y el ransomware WannaCry, continúan usándose en varias familias de ransomware hoy en día, incluidos Ryuk, SamSam y Satan. SamSam fue el ransomware que impactó en la ciudad de Atlanta el año pasado, con costes de más de 17 millones de dólares.

Estas vulnerabilidades permiten a los atacantes propagarse rápidamente de un host a otro en toda la red. El hecho de que estén siendo utilizadas por las familias más recientes y dañinas de ransomware son señales claras de que muchas organizaciones aún no las han parcheado.

Explica RikSense en su informe que todas las vulnerabilidades analizadas en el conjunto de datos permitieron la ejecución remota de código (RCE) o la escalada de privilegios (PE), dos características que continúan siendo altamente estratégicos para los atacantes y deben considerarse atributos importantes a la hora de priorizar los esfuerzos de parcheo.