Tres técnicas comunes que utilizan los ciberdelincuentes para propagar un ataque de  ransomware

Ransomware-scaled.jpg

El correo electrónico sigue siendo la técnica más común utilizada por los delincuentes para  gestar un ataque de ransomware. 

• Las compañías más atacadas serán aquellas que tengan información valiosa susceptible de ser  cifrada. 

• Organizaciones necesitan una solución de ciberseguridad que les brinde una completa visibilidad  de todas las comunicaciones del centro de datos. 

De acuerdo al estudio de Guardicore, ahora parte de Akamai “Resurgimiento del ransomware, cómo fortalecer  sus defensas más allá del perímetro” un ataque de ransomware conlleva diversas consecuencias sumamente  perjudiciales como la interrupción en la productividad, daños a la marca, pérdida de lealtad de los clientes, entre  otros, lo cual se resume en pérdidas millonarias estimadas por $20 MMD. En tanto, el costo promedio de un pago  de ransomware es de 84 mil dólares y el tiempo promedio por inactividad durante un incidente de ransomware  es de 16.2 días. 

Dado el gran crecimiento de ciberataques de ransomware en los últimos años, Oswaldo Palacios, Senior Account  Executive para Guardicore (ahora parte de Akamai), opinó que una de las debilidades en las estrategias de  ciberseguridad de las organizaciones que más aprovechan los atacantes es la falta de visibilidad este-oeste en los  centros de datos. Los movimientos laterales pocas veces son detectados oportunamente, lo cual es bien sabido  por los desarrolladores de ransomware, quienes continuamente aprovechan las adolescencias de seguridad y  obtienen acceso a activos críticos por la falta de visibilidad y segmentación.  

El directivo explicó que un ejemplo sencillo de un ataque por ransomware inicia en el momento en que un usuario  infecta su computadora haciendo clic en una pieza de malware. Este código malicioso le da al atacante un punto  de partida para el movimiento lateral hacia sistemas más sensibles. Luego, sin nada que los detenga, pueden  lanzar ransomware sin restricciones en todo el entorno. Los atacantes suelen tomar el controlador de dominio,  comprometen las credenciales, luego encuentran y cifran la copia de seguridad para evitar que el operador  restaure los servicios congelados.

A decir del experto de Guardicore, la forma más utilizada para la propagación del ransomware en una compañía  sigue siendo el correo electrónico, al tener debilidades propias del protocolo, es relativamente sencillo confundir  al usuario diciendo que tiene un paquete pendiente de entrega, una compra rechazada, incluso algunos emails vienen con mensajes tales como “tu pareja te engaña y aquí tengo las pruebas”. El usuario al dar clic en el enlace  sin saber que está instalando un software de cifrado con lo cual su información será secuestrada. O en otros casos  está abriendo la puerta para que el ataque llegue a activos críticos y el daño sea aún mayor.  

A continuación, Oswaldo Palacios detalló algunas técnicas comunes para introducir y propagar malware: 

Correos electrónicos. Estos correos electrónicos pueden ser generales o involucrar tácticas de spear phishing que  adaptan el contenido a una organización o persona específica, con la esperanza de que provoque una interacción,  como abrir un archivo adjunto o hacer clic en un enlace, y brindar a los malos actores un vehículo para entregar  malware. 

URL maliciosas. Las URL maliciosas aparecen comúnmente en campañas de phishing, pero también pueden estar  incrustadas en un sitio web o en cualquier lugar en el que un usuario pueda hacer clic. En el caso del ransomware,  después de que el objetivo interactúa con la URL, el malware a menudo intentará auto instalarse en la máquina  de la víctima, donde puede comenzar a propagarse y extenderse a múltiples activos. 

Protocolo de escritorio remoto. El uso de la infraestructura de escritorio virtual (VDI) se ha convertido en una  superficie de ataque de rápido crecimiento. Un riesgo significativo de VDI incluye el hecho de que toda la  infraestructura y las aplicaciones a menudo se encuentran en el mismo servidor. Si un atacante puede introducir  software malicioso con éxito, puede resultar complicado detectarlo hasta que sea demasiado tarde.  

De acuerdo con Oswaldo Palacios, los directorios activos y aplicaciones críticas son de los puntos más atacados ya  que ahí reside la información de los usuarios y sus permisos, accesos y privilegios dentro de la compañía. Una vez  que un atacante ha tomado posesión del directorio activo estarán comprometidos los accesos de los usuarios a  las aplicaciones del negocio, causando una afectación total o parcial en la operación.  

Las organizaciones de todos los tamaños e industrias corren el riesgo de sufrir un gran ataque de ransomware; las  compañías más atacadas serán aquellas que tengan información valiosa susceptible de ser cifrada y por la que se  pueda pedir un rescate en dinero o bitcoins. 

Una de las mejores defensas contra el ransomware es evitar el movimiento lateral dentro de su perímetro, aseguró  Oswaldo Palacios, quien agregó que esto puede ser difícil de realizar para el tráfico de este a oeste con firewalls  tradicionales. Además, si bien puede lograr cierta segmentación utilizando VLAN, a menudo es amplio y no es  exactamente el enfoque más ágil cuando necesita aislar activos sobre la marcha, como en el caso de una infracción  exitosa. 

«No puedes proteger lo que no puedes ver; por lo tanto, las compañías necesitan una herramienta que les brinde  una completa visibilidad de todas las comunicaciones del centro de datos, no solo entrantes o salientes del  perímetro, sino las que existen dentro de las redes y que al no ser visibles por los firewalls pueden resultar en  amenazas moviéndose lateralmente», aseguró Oswaldo Palacios. 

Por último, el directivo aseguró que existen herramientas de ciberseguridad como la microsegmentación que  cuenta con visibilidad a nivel de proceso dentro de los servidores permitiendo hacer segmentos tan pequeños  como permitir o denegar la comunicación entre procesos de un activo. Este tipo de soluciones brindan una 

granularidad la cual permite tomar acciones preventivas contra cualquier amenaza que se quiera mover  lateralmente.  

scroll to top