5 conclusiones de los ataques del ransomware DarkSide

16. julio 2021
| No hay comentarios

Compartir publicación

El ataque de ransomware DarkSide en el oleoducto Colonial en los EE. UU. es solo uno de los muchos ejemplos globales que muestran que la seguridad no es solo un asunto de TI, sino también de planificación y gestión estratégicas. 5 ideas de los expertos de Sophos.

El ataque de ransomware DarkSide en el oleoducto Colonial, que suministra alrededor del 45 por ciento del diésel, la gasolina y el combustible para aviones de la costa este, es solo un ejemplo que ahora se suma a más de 60 casos conocidos. El servicio de salud de Irlanda, Toshiba Europe y la empresa química con sede en Essen Brenntag también se encuentran entre las presuntas víctimas. Una y otra vez, los análisis forenses de los incidentes apuntan a problemas dentro de la red de TI que ya existían antes del incidente y que contribuyeron a la susceptibilidad a los ataques. Como resultado, surge la pregunta de por qué los afectados no agotaron todas las precauciones de seguridad potencialmente posibles y si existía un oficial de ciberseguridad dedicado en la organización en el momento del ataque de ransomware. John Shier, asesor sénior de seguridad de Sophos, resume las cinco conclusiones principales de los ataques desde mayo de 2021.

prioridad de seguridad informática

Con la situación de riesgo actual, las empresas y organizaciones necesitan a alguien que esté atento a la situación de riesgo actual, que esté familiarizado con la seguridad y que forme parte del consejo de administración de la empresa: el Director de Seguridad de la Información (CISO). Incluso si un CISO dedicado es difícil de justificar para algunas empresas, debe haber una persona adecuada que sepa cómo establecer correctamente las prioridades para la seguridad de TI y que también las haga cumplir. Por ejemplo, en la audiencia colonial ante el Senado, se supo que alrededor de 200 millones de dólares estadounidenses se habían invertido en TI en los últimos cinco años, sin información precisa sobre cuánto fluyó realmente hacia la seguridad de TI.

La capacidad de priorizar la ciberseguridad dentro de la organización, contar con un presupuesto adecuado y tener la autoridad necesaria para hacer cumplir las prioridades son aspectos esenciales de la ciberseguridad.

Normas de seguridad utilizadas

En muchos casos investigados por el equipo de respuesta rápida de Sophos, el punto de entrada inicial a la red es una única contraseña robada, principalmente para servicios remotos. En el caso de Colonial, los atacantes utilizaron la contraseña robada para acceder a un servicio de VPN que no tenía habilitada la autenticación multifactor (MFA). El operador del oleoducto creía que este perfil VPN no estaba en uso y probablemente le prestó menos atención, una situación típica que los expertos observan una y otra vez. Existe una buena posibilidad de que los atacantes hayan obtenido la contraseña a través de un allanamiento anterior, solo para usarla más tarde en su ataque de ransomware. Esto lleva a dos conclusiones extremadamente importantes: las tecnologías de seguridad disponibles, como MFA, siempre deben activarse y los especialistas en seguridad deben tomar en serio los incidentes de seguridad menores y pasados, ya que pueden ser precursores de ataques mayores.

Visibilidad de eventos de red

El equipo de respuesta rápida de Sophos a menudo descubre que las víctimas no se dan cuenta de un ataque de ransomware hasta que el ransomware se inicia y los datos se cifran. Sin embargo, los atacantes suelen estar en Internet mucho antes de que se active el ransomware. Los atacantes pueden tardar días o incluso meses en prepararse para infligir el máximo daño o extorsionar las ganancias. En su Active Adversary Playbook 2021, Sophos asume un tiempo de permanencia promedio de once días para los atacantes en la red de la víctima.. Colonial también fue una de las empresas que no contó con la transparencia y visibilidad necesarias para identificar a los atacantes en una etapa temprana. Por lo tanto, las herramientas de detección y respuesta de puntos finales (EDR) son de gran valor, no solo para prevenir ataques, sino también para permitir que la organización busque amenazas latentes.

planificación para emergencias

En particular, las grandes empresas u operadores de importantes infraestructuras suelen tener buenos planes de emergencia para eventos en producción, para defectos, accidentes y otros eventos tradicionalmente clásicos. Sin embargo, los peligros cibernéticos rara vez parecen estar anclados en dichos planes; este también es el caso de Colonial. Los planes de contingencia son esenciales para la supervivencia. Las organizaciones de todos los tamaños deben realizar una evaluación de seguridad y planificar cómo responder a posibles incidentes. Algunas de las evaluaciones se pueden realizar internamente, otras con especialistas externos. Luego, elabore planes para a) asegurar mejor las áreas más débiles, b) tener un proceso implementado en caso de que algo salga mal, y c) probar las mitigaciones contra el plan de mejora y respuesta.

También se debe incluir información de fuentes como el Centro de Análisis e Intercambio de Información (ISAC), especialmente para empresas y organizaciones en áreas particularmente importantes. Estas organizaciones recopilan, analizan y difunden información sobre amenazas y proporcionan herramientas para mitigar el riesgo y mejorar la resiliencia.

Pagar o no pagar

Las empresas siempre están dispuestas a pagar altos rescates a los atacantes en una situación de emergencia. Hay muchos ejemplos en los que las empresas se han visto obligadas a cumplir porque sus copias de seguridad estaban dañadas o faltaban. Otros quieren que la red vuelva a funcionar lo antes posible y otros optan por pagar porque parece más barato que el costo de restaurarla. Otra razón común es evitar que los datos robados se vendan o se pongan a disposición del público. Colonial también alegó uno de estos motivos como justificación del pago.

Pero el pago de extorsiones no sólo debe ser visto críticamente desde el punto de vista legal. Uno debe ser consciente del hecho de que pagar un rescate no es una garantía de ningún tipo. En el Informe sobre el estado del ransomware 2021 Sophos descubrió que después de pagar un rescate, las empresas solo podían recuperar un promedio del 65 por ciento de sus datos. Solo el 8 por ciento de las empresas pudo recuperar todos sus datos y el 29 por ciento pudo salvar menos de la mitad mediante el pago. Además del rescate, se deben tener en cuenta los altos daños indirectos para reparar el daño causado por el ataque y la interrupción del negocio y para garantizar que algo así no vuelva a suceder.

esencia de la evaluacion

La creciente intensidad criminal, la creatividad y la inteligencia de los atacantes no se pueden contener, los desarrollos de los últimos años describen lo contrario. Sin embargo, existen muchas posibilidades, ya menudo desaprovechadas, para reducir el riesgo potencial.

“No debería ser necesario un ataque para que una empresa u organización se vuelva más fuerte en ciberseguridad. Ahora debe tomarse el tiempo y los recursos para evaluar la situación de seguridad para luego, de inmediato y con el más alto nivel de competencia, tanto internamente como con especialistas externos, establecer una defensa mejor y más temprana siempre que sea posible", resume John Shier.

Más en Sophos.com

 

Acerca de Sophos

Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

Seguridad informática: base para LockBit 4.0 desactivada

Trend Micro, en colaboración con la Agencia Nacional contra el Crimen (NCA) del Reino Unido, analizó la versión inédita que estaba en desarrollo. ➡ Leer más

MDR y XDR a través de Google Workspace

Ya sea en una cafetería, en una terminal de aeropuerto o en la oficina en casa, los empleados trabajan en muchos lugares. Sin embargo, este desarrollo también trae desafíos ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

FBI: Informe sobre delitos en Internet contabiliza daños por valor de 12,5 millones de dólares 

El Centro de Denuncias de Delitos en Internet (IC3) del FBI ha publicado su Informe sobre delitos en Internet de 2023, que incluye información de más de 880.000 ➡ Leer más

Sophos, Stories
, , , ,