Red Seguridad 089
acceder a un enlace y, sobre todo, ataques mediante RDP (Protocolo de Escritorio Remoto), algo a lo que ha ayudado mucho el importante incre- mento del teletrabajo en España. Y es que, si bien en 2019 solo el cinco por ciento de los empleados trabajaba desde casa, esta cifra ha aumentado en lo que llevábamos de año hasta el 34 por ciento, debido a la crisis sanitaria provocada por el COVID-19. Algunas fuentes señalan un incre- mento del 40 por ciento de ata- ques relacionados con ransomware durante 2019, y los datos obtenidos por Eset y mostrados en el informe correspondiente al primer trimes- tre de 2020 parecen corroborarlos. Además, desde finales de 2019 se empezó a popularizar una tenden- cia que consiste no solo en cifrar la información de la empresa atacada, sino también en robarla y amenazar con hacerla pública si no se cede al chantaje. Existen numerosas familias de ransomware que aplican esta tácti- ca, con variantes destacadas como Maze. Algunas de ellas cuentan con web propia, donde van publican- do la información robada a aquellas empresas que no han pagado el res- cate. Esta medida de presión parece surtir efecto, ya que las cantidades solicitadas no dejan de aumentar y algunas investigaciones indican que, durante el primer trimestre de 2020, la media se situaría en más de 100.000 euros. Profesionalización A lo comentado anteriormente se tie- nen que añadir ataques muy elabo- rados a algunas empresas que usan técnicas reservadas habitualmente a las APT (amenazas persistentes avanzadas). En estos casos, los ope- radores del ransomware han llegado incluso a comprometer la cadena de suministro de la empresa objetivo, atacando primero a alguno de sus proveedores para conseguir el acce- so a la red corporativa. También se han observado inci- dentes donde los ciberdelicuentes han conseguido comprometer la seguridad de un MSP para, segui- damente, acceder a varias empresas que tenían en su punto de mira. E incluso se han utilizado vulnerabilida- des Zero Day para conseguir sobre- pasar las defensas. Una vez dentro de la red corpo- rativa objetivo, se inicia una fase de reconocimiento y movimiento late- ral para intentar acceder a aquellos sistemas que contienen la informa- ción más interesante. Esto se realiza con herramientas conocidas como Mimikatz, el framework Metasploit o alguna más especializada y usada por algunos grupos criminales (pero también por profesionales de la audi- toría y Red Teams), como Cobalt Strike o Empire. Cuando se ha identificado la infor- mación confidencial más crucial, se sustrae y se cifra con el objetivo de solicitar el rescate. Todo esto se rea- liza mediante acciones que pueden durar días o incluso varias semanas, operando sin ser detectados y consi- guiendo persistencia en aquellos sis- temas a los que consiguen acceder. La previsión es la mejor defensa No cabe duda de que esta profesio- nalización paulatina que ha experi- mentado el mundo del ransomware está provocando importantes que- braderos de cabeza a empresas y organizaciones de todo el mundo. Por ese motivo, es importante tomar las medidas adecuadas para detec- tar este tipo de ataques, bloquearlos, monitorizar posibles intentos de acceso no autorizado a redes corpo- rativas y contar con una solución de copia de seguridad lista para ser restaurada en caso de que todo lo anterior falle. red seguridad segundo trimestre 2020 37 amenazas opinión Algunas fuentes señalan un incremento del 40% de ataques relacionados con 'ransomware' en 2019, y los datos del informe de Eset del primer trimestre de 2020 parecen corroborarlo
Made with FlippingBook
RkJQdWJsaXNoZXIy ODM4MTc1