El ransomware no es una tendencia nueva, y ciertamente no es algo desconocido para las empresas. En el año 2020, los atacantes aprovecharon al máximo el caos de COVID-19, con una evolución explosiva de la extorsión en línea. El año pasado, casi el 40% de las nuevas familias de ransomware descubiertas utilizaron tanto el cifrado como el robo de datos en sus ataques.
Un informe reciente de F-Secure examinó el aumento de los ataques de ransomware para el robo de datos, en los que los delincuentes extorsionan a las organizaciones amenazando con filtrar los datos robados si no pagan. Un método burdo pero eficaz. Con la pandemia que obliga a las empresas a pasar a una plantilla distribuida y a una red más amplia, se podría pensar que es una oportunidad de oro para que los atacantes apunten a credenciales y puntos finales desprotegidos. Pero también estamos viendo un preocupante enfoque en los datos sanitarios, con un gran número de ciberataques contra hospitales y unidades de investigación médica. Entonces, ¿hay otras sorpresas clave del ransomware que las empresas deberían conocer?
Tendencias del ransomware en 2020
Calvin Gan, director de la Unidad de Defensa Táctica de F-Secure, explica cómo funcionan las tendencias del ransomware: «Sí, el ransomware existe desde hace muchos años, pero las tácticas han evolucionado constantemente, de forma similar a la moda». Continúa explicando que fue un grupo de ransomware el que se atrevió a iniciar la tendencia de la doble extorsión (robar los datos antes de cifrarlos) y otros grupos siguieron su ejemplo cuando vieron lo efectivo que era.
En el informe de F-Secure, las principales amenazas de malware por tipo fueron los infosecadores, los troyanos de acceso remoto (RAT) y los troyanos, que representaron el 33%, el 32% y el 17% de los ataques, respectivamente. Los dos infostealers más frecuentes fueron Lokibot y Formbook, programas que roban información sensible y confidencial de un sistema infectado. Lokibeat incluye un componente de registro de teclas que roba las credenciales de los navegadores, programas de intercambio de archivos y clientes de correo. Mientras que Formbook, como su nombre indica, tiene capacidades de captura de formularios y es comúnmente un malware como servicio.
Una vez que los infostealers obtienen acceso a las credenciales, las transmiten a los grupos de ransomware, que a su vez se dirigen a las personas u organizaciones adecuadas para que les paguen.
Cadenas de suministro
La siguiente tendencia significativa es el aumento de los ataques a las cadenas de suministro. El más grande que me viene a la mente es el ataque a la cadena de suministro de SolarWinds el año pasado. Alrededor de 18.000 empresas instalaron una actualización de software corrupta del proveedor, lo que afectó a varias empresas de alto perfil y organizaciones gubernamentales.
En 2020, los software/servicios más comunes que fueron atacados en la cadena de suministro fueron el software de utilidad (32%) y el software de aplicación (24%). Suelen ser editores de texto, gestores de archivos e incluso clientes de BitTorrent. Los atacantes también pueden aprovechar el código abierto, modificando los repositorios de código, que son de interés para las empresas.
Envío de malware por correo electrónico
El siguiente en esta lista de ransomware es el malware de correo electrónico. El correo electrónico se utilizó para más de la mitad de los intentos de infección de malware en 2020, proporcionando el 52% de las cargas útiles maliciosas y se considera el método más común de propagación de malware en los ciberataques.
Y lo que es más interesante, el método utilizado para propagar el malware es a través de archivos adjuntos, ya que aproximadamente uno de cada tres correos electrónicos de spam contenía un archivo adjunto, mientras que el resto tenía URLs maliciosas. Los archivos adjuntos más peligrosos fueron los PDF, que produjeron el 32% de los ataques con archivos adjuntos en los últimos seis meses.
Eso tiene sentido, teniendo en cuenta la popularidad del tipo de archivo. Dado que la mayor parte del mundo trabaja a distancia, los PDF son bastante fáciles de compartir en diferentes plataformas y dispositivos. Y cuando algunas personas son más reacias a hacer clic en los enlaces, un PDF es el señuelo perfecto en el que muchos harían clic para comprobarlo de todos modos.
«Todos somos crédulos de alguna manera y es aquí donde los actores de las amenazas se aprovechan en su beneficio. El phishing es tan eficaz porque el contenido es algo que desencadena nuestra emoción para actuar por miedo a perderlo (FOMO). Si pudiéramos adquirir el hábito de pensar en un correo electrónico antes de actuar, tal vez podríamos reducir la tasa de éxito de un ataque de phishing», dijo Gan. «Es importante que, como usuarios, nos demos cuenta de que los phishers pueden enviar fácilmente oleadas de correos electrónicos de phishing en cualquier momento y sólo hace falta una víctima para caer en la trampa».
Vulnerabilidad de la herencia y seguridad más inteligente
Tampoco es de extrañar que los atacantes estén esperando para explotar las vulnerabilidades de los sistemas y el software heredados. Los departamentos de TI se enfrentan a un reto importante a la hora de mantener la seguridad de las infraestructuras heredadas. Y así lo demuestra el hecho de que el 61% de todos los problemas encontrados en las redes empresariales tenían al menos cinco años de antigüedad, desde 2015 o antes. La seguridad es un proceso continuo que debe abordar la prevalencia de vulnerabilidades antiguas y sin parches.
Entonces, ¿cómo pueden las empresas y los equipos de TI defenderse mejor contra los ataques de ransomware? ¿Y qué tipo de medidas de seguridad deberían poner en marcha?
«En seguridad, hacemos mucho hincapié en proteger a las organizaciones con perímetros de seguridad robustos, mecanismos de detección para identificar rápidamente las brechas, y planes y capacidades de respuesta para contener las intrusiones. Sin embargo, las entidades de todos los sectores también deben colaborar para abordar los problemas de seguridad en los niveles superiores de la cadena de suministro. Los grupos de amenazas persistentes avanzadas están claramente preparados y dispuestos a comprometer a cientos de organizaciones mediante este enfoque y debemos trabajar juntos para contrarrestarlos», comenta Gan.
Los datos críticos y sensibles deben ser encriptados para dificultar el acceso a ellos. Si un archivo ya no es necesario, debe desinstalarse, los servicios basados en Internet deben desactivarse cuando no se utilicen y sólo los usuarios autorizados deben poder acceder a determinados tipos de archivos. Y sí, aunque las copias de seguridad también son buenas, deben ser más inteligentes y estar mejor protegidas: las nuevas copias de seguridad deben desconectarse de la red lo antes posible. Y con las cadenas de suministro, podría ser una buena idea tratar a los proveedores como lo haría con las operaciones internas: deberían incluirse en las auditorías rutinarias y en las pruebas de seguridad.
Los ataques de ransomware son de naturaleza oportunista, explotando viejas vulnerabilidades y el descuido de la gente. Los equipos de seguridad deben ser de naturaleza proactiva para contrarrestar estas posibles infracciones.
CambioDigital OnLine
