▪ Cuatro fases resumen la cadena de ataque de ransomware: infección inicial, movimiento lateral, cifrado y propagación.
▪ El ransomware persistió como el principal método de ataque observado en 2021, tanto globalmente como en Latinoamérica.
▪ La microsegmentación interrumpe la cadena de ataques de ransomware en las fases más tempranas, antes de que se produzcan los daños.
Los ciberdelincuentes y los hackers de estado se han vuelto lo suficientemente sofisticados como para utilizar el ransomware e introducirse en grandes empresas, administraciones federales, infraestructuras globales u organizaciones de salud pública y paralizarlas. De hecho, se estima que, en 2011, hubo un ataque de ransomware cada once segundos en el mundo, con un costo global de 20 000 millones de dólares.
Ante dicho panorama, Oswaldo Palacios, Senior Account Executive para Guardicore (ahora parte de Akamai), resaltó la importancia de conocer toda la cadena de ataque de ransomware y los pasos que preceden al despliegue del mismo, con lo cual será posible aumentar drásticamente la capacidad para limitar la probabilidad y el impacto de este tipo de amenazas.
El directivo mencionó que un ataque de ransomware es producto de la curiosidad humana, al dar clic a un correo llamativo: “aquí tienes tu envío de DHL”, “tu pareja es infiel… aquí tienes las pruebas”, “su cuenta de Amazon está comprometida”, etcétera. Por ello, será relevante conocer el modus operandi de estos ciberdelincuentes y tener en cuenta todos los posibles puntos débiles, desde la red hasta la nube.
De acuerdo con el informe IBM Security X-Force Threat Intelligence Index 2022, el ransomware persistió como el principal método de ataque observado en 2021, tanto globalmente como en Latinoamérica, representando el 29% de los ataques en América Latina, con grupos de ransomware sin mostrar signos de detenerse, a pesar del repunte en defensas contra éste. REvil fue el tipo de ransomware más común que se observó. Según dicho estudio, el promedio de vida de una banda antes de cerrar o cambiar su marca es de 17 meses.
De acuerdo con Oswaldo Palacios, una cadena de ataque generalmente se divide en cuatro fases:
1) Infección inicial. El hacker deberá primero vulnerar el perímetro, Los entes maliciosos deben conseguir un punto de apoyo inicial. Normalmente, este no es un objetivo lucrativo ni un administrador.
2) Movimiento lateral. El atacante debe obtener los privilegios necesarios para el cifrado, mientras avanza hacia los sistemas y activos valiosos.
3) Cifrado. Si el ransomware entra de alguna manera en un equipo de destino, una política de segmentación adecuada minimiza el daño.
4) Propagación. La propagación a copias de seguridad, archivos valiosos y cargas de trabajo que posibilitan la actividad empresarial crea una catástrofe.
Oswaldo Palacios mencionó como un caso real que ejemplifica esta cadena de ataque de ransomware el ciberataque a Colonial Pipeline, una de las compañías de oleoducto más importante de Estados Unidos que terminó pagando casi cinco millones de dólares al grupo de ransomware DarkSide y provocó el corte de suministro de combustible en gran parte de los Estados Unidos. “Los ciberdelincuentes lograron acceder a la red a través de una cuenta de red privada virtual que permitía a los empleados acceder de forma remota a la red de la compañía, entonces tuvieron un acceso al perímetro, luego avanzaron hacia la escalada de privilegios con el objetivo de acceder a los datos más valiosos y confidenciales para luego cifrarlos. Definitivamente fueron muy agresivos, por esta razón el ataque fue muy exitoso”.
Así puede evitarse un ataque de ransomware
A decir de Oswaldo Palacios, la microsegmentación interrumpe la cadena de ataque de ransomware en las fases más tempranas antes de que se produzcan los daños. De acuerdo con la consultora Forrester, la microsegmentación consiste en dividir una red hasta un nivel granular de forma que los equipos de seguridad tienen la flexibilidad para aplicar el nivel correcto de protección a cada carga de trabajo basándose en la sensibilidad y en el valor del negocio.
El directivo de Guardicore destacó que la microsegmentación ofrece tres ventajas principales: 1. Una visibilidad completa del centro de datos a nivel de proceso; 2. Crear políticas que permitan tener un ambiente Zero Trust, y 3. Visualización y control en el proceso de comunicación.
El enfoque de microsegmentación comienza con la visualización. Uno de los grandes obstáculos a los que se enfrentan muchas organizaciones es la falta de una visión clara de la actividad en todos los entornos locales y en la nube. “La microsegmentación recopila y muestra información granular sobre los usuarios, los sistemas y los flujos de comunicación, utilizando la inteligencia artificial y las integraciones con las fuentes de datos existentes para añadir contexto”, explicó Oswaldo Palacios.
El directivo agregó que con unos pocos clics desde el mapa interactivo, o seleccionando de una biblioteca de recomendaciones de políticas, es posible implementar políticas altamente granulares, hasta el nivel de procesos y usuarios individuales si es necesario. “Por último, podemos empezar a aplicar la política que interrumpirá la cadena de ataques, existe la posibilidad de crear políticas personalizadas que se adapten a las necesidades únicas de una empresa”, indicó.
Para finalizar, Palacios reiteró que la combinación de visibilidad completa y la creación de políticas impulsadas por el contexto es lo que hace que una solución de microsegmentación aporte un valor increíble a las empresas y ofrezca más oportunidades para interrumpir la cadena de ataques de ransomware en las fases más tempranas.