Red Seguridad 093

64 red seguridad segundo trimestre 2021 seguridad en el endpoint monográfico Las técnicas de ransomware comenza- ron hace, al menos, 30 años; aunque su éxito comercial se inició en 2014. Desde entonces, han evolucionado continua- mente aprovechando las vulnerabilida- des, moviéndose de un ordenador a otro a través de gusanos informáticos y, últi- mamente, robando archivos para chan- tajear a sus propietarios. Hoy en día, distintos grupos de ciberdelincuentes han optado por implantar un modelo de negocio basado en el ransomware como servicio, trabajando a las órdenes de unos clientes que, a su vez, tienen como objetivo final empresas con un alto valor de mercado y altos ingresos, a las que amenazan con publicar información ro- bada si optan por no pagar el rescate so- licitado. Sanidad, Transporte, Educación e infraestructuras críticas son algunos de los sectores a los que se ataca con mayor frecuencia. El ransomware puede adoptar múlti- ples formas y se puede distribuir a través de varias vías. El dirigido a usuarios do- mésticos se envía, a menudo, a través de mensajes de spam manipulados con archivos adjuntos infectados o median- te aplicaciones comprometidas que se hacen pasar por cracks de software . Los ataques contra las compañías, sin em- bargo, son más complejos. En ellos, los piratas informáticos pueden: Comprar credenciales robadas de la compañía, conectarse de forma remo- ta a los ordenadores corporativos e infectar los sistemas manualmente. A partir de ahí, el malware puede viajar lateralmente a través de la red empre- sarial y comprometer un sistema tras otro hasta que toda la organización se vea afectada. Buscar vulnerabilidades en equipos de acceso o servidores mal configurados e implementar ransomware . Utilizar exploits de N-day ( exploits con- tra vulnerabilidades conocidas, pero sin parchear), de modo que cuando los empleados visiten páginas especí- ficas o accedan a algunos documen- tos, instalen automáticamente el ran- somware en sus ordenadores. No es raro que los ciberdelincuentes tengan también como objetivo a los contratistas que tienen acceso a la in- fraestructura corporativa de la empresa víctima, ya que estos pueden ser más fáciles de explotar que la propia corpora- ción. Una vez que se obtiene acceso a la red del contratista, los atacantes pueden cambiar a la infraestructura de destino. Prevención Dada la desenfrenada evolución de este tipo de ataques, la prevención es un as- pecto crucial. Aunque resulte obvio, la mejor forma de evitar los ataques de ran- somware es no infectarse. No hay que olvidar que los ciberdelincuentes recu- rren al robo de datos (ya sea propiedad intelectual, correspondencia interna, lis- tas de clientes…) y amenazan con divul- garlos o venderlos a otros grupos de ata- cantes si no se paga el rescate. Aunque las copias de seguridad puedan resolver la pérdida de datos, la publicación de in- formación interna puede acarrear graves consecuencias para la marca y provocar pérdidas económicas, de reputación o acciones legales por parte de clientes que puedan verse afectados. Las empresas deberían invertir en soluciones de seguridad integrales que utilicen el aprendizaje automático para detectar muestras de ransomware emer- gentes nunca antes vistas. También ten- drían que realizar auditorías de seguri- dad periódicas y pruebas de penetración externas para identificar configuraciones incorrectas o sistemas sin parchear, así como cubrir esos huecos antes de que los delincuentes puedan utilizarlos. Por último, pero no menos importante, la monitorización constante a nivel de red y la formación continua sobre con- cienciación en seguridad también debe- rían formar parte de las medidas básicas de ciberseguridad. Los ataques de ‘ransomware’ no son tan nuevos como pensamos B ogdan B otezatu Director de Investigación e Informes de Amenazas en Bitdefender