Lo que los ejecutivos deben saber sobre los ataques de ransomware

20 Abril 2022
| No hay comentarios
Lo que los ejecutivos deben saber sobre los ataques de ransomware

Compartir publicación

Como la mayoría de las industrias, los ciberdelincuentes se han adaptado y cambiado en los últimos dos años a medida que han cambiado las circunstancias. Tienen una gran cantidad de herramientas en evolución en su arsenal y pueden aprovechar muchos vectores para llegar a su destino: los valiosos datos empresariales. Los expertos de Varonis explican lo que todo ejecutivo necesita saber sobre los ataques de ransomware modernos.

Así es como los atacantes modernos han aprendido a lanzar campañas de ransomware aún más disruptivas. Al mismo tiempo, se han vuelto más eficientes y hábiles para evitar el enjuiciamiento. Así es como los grupos de ransomware se reagrupan después de una (rara) ruptura, construyen una nueva infraestructura y se dan un nuevo nombre. Como DarkSide, el grupo de ransomware detrás de varios ataques de alto perfil, ahora posiblemente conocido como BlackMatter. A menudo, después de una realineación de este tipo, los ciberdelincuentes vuelven más fuertes, aprendiendo de sus experiencias y utilizando nuevas técnicas y vulnerabilidades. Tienen una gran cantidad de herramientas en evolución en su arsenal y pueden aprovechar muchos vectores para llegar a su destino: los valiosos datos empresariales.

El desmantelamiento de la infraestructura de REvil por parte de las autoridades rusas y la confiscación de al menos parte del botín es ciertamente notable y alentador. Por supuesto, esta no es una razón para dar el visto bueno: luchar contra los ciberdelincuentes es como apagar un incendio en un bosque seco. Se puede extinguir, pero puede volver a estallar en cualquier lugar y en cualquier momento.

El ransomware como modelo de negocio

La extorsión cibernética promete grandes ganancias, impulsando el desarrollo y la innovación por parte de los delincuentes. Los intentos de regular las criptomonedas como Bitcoin y limitar su anonimato parecen sensatos pero difíciles de aplicar. Además, los atacantes ya están utilizando monedas digitales como Monero, que son más difíciles de rastrear. Mientras las condiciones subyacentes no cambien fundamentalmente, las empresas deben asumir que las bandas de ransomware seguirán existiendo, refinar sus técnicas y enfocarse en sus datos críticos.

La mayoría de los ciberdelincuentes ahora confían en el modelo eficiente de ransomware-as-a-service (RaaS), que permite a los atacantes independientes atacar rápidamente y comenzar. Puede combinar este servicio con sus propias herramientas y técnicas para atacar eficazmente a las víctimas y mantener sus datos como rehenes. Los atacantes siguen cada vez más el enfoque de "doble extorsión", en el que los datos se roban antes de cifrarlos para presionar aún más a las víctimas al amenazar con publicarlos. Además, los atacantes ahora a menudo amenazan con denunciar a las autoridades oficiales de protección de datos, sabiendo que las empresas temen las multas amenazadas allí y quieren evitar ser denunciadas en público.

Para maximizar sus ganancias, los atacantes revisan los archivos de sus víctimas para estimar su margen de maniobra financiero y averiguar si su seguro cibernético pagaría y cuánto pagaría en caso de un ataque. La demanda de rescate se establece en consecuencia.

Distintos enfoques, mismo objetivo

Con el tiempo, cada grupo desarrolla un modus operandi específico. Por ejemplo, BlackMatter a menudo manipula los controles de acceso, es decir, la configuración de seguridad que determina quién puede acceder a qué datos en la red, para que cada empleado tenga acceso a grandes cantidades de datos. En otras palabras, no rompen la bóveda, la abren por los aires, lo que hace que las organizaciones sean aún más vulnerables a futuros ataques. Otros atacantes reclutan activamente a miembros de la empresa, como empleados y otras personas que ya están en la red de la empresa. Los empleados insatisfechos en particular son a menudo propensos a esto. Para aumentar la presión sobre las víctimas, algunos ciberdelincuentes también liberan pequeñas cantidades de datos robados.

Así es como se puede fortalecer la defensa contra el ransomware

Michael Scheffler, Country Manager DACH en Varonis Systems (Imagen: Varonis).

Mientras el ransomware prometa ganancias masivas para los delincuentes, seguirán buscando y encontrando víctimas. Para las empresas, se trata de no ser una víctima fácil y aumentar su propia resiliencia frente a las amenazas relacionadas con los datos.

  • Elimine las contraseñas débiles y reutilizadas y habilite la autenticación multifactor (MFA). Este importante paso es uno de los más simples que puede tomar para proteger su negocio. Muchos grupos, como BlackMatter, adquieren nombres de usuario y contraseñas en la dark web y los usan para ataques de fuerza bruta.
  • Reconocer actividades inusuales. En la mayoría de las organizaciones, sus empleados y contratistas cumplen con los horarios de trabajo diarios, acceden a los mismos archivos y usan los mismos dispositivos desde ubicaciones conocidas. La actividad inusual, como iniciar sesión desde una nueva ubicación y acceder a archivos que no se necesitan para el trabajo, puede indicar cuentas o dispositivos comprometidos. La actividad inusual, especialmente cuando está asociada con cuentas de administración y servicio, debe monitorearse con alta prioridad y detenerse rápidamente si es necesario.
  • Observe sus datos en busca de signos de ataques de ransomware. El ransomware no se comporta como su especialista en recursos humanos o su equipo de contabilidad. Cuando se implementa el ransomware, rápidamente comienza a abrir una gran cantidad de datos, evaluarlos y luego, si es necesario, cifrar también estos archivos. Los empleados también cifran legítimamente los archivos. Sin embargo, el malware tiende a comportarse de manera diferente a un usuario humano, por lo general cambia o cifra los archivos en lotes y con alta frecuencia. Esto sucede a menudo fuera de las horas de trabajo. Esto hace que el reconocimiento sea mucho más difícil y los archivos se pueden cifrar sin obstáculos.
  • Adopte un enfoque centrado en los datos. A pesar de la explosión de puntos finales, la mayoría de los datos se almacenan en las instalaciones y en la nube con grandes almacenes de datos centralizados. Al mismo tiempo, hay una enorme cantidad de vectores para obtener estos datos. Incluso si pudiera anticiparlos y monitorearlos por completo, probablemente se vería inundado con alertas de seguridad. En lugar de comenzar "afuera" con todos los puntos finales y vectores y avanzar hacia los datos, tiene mucho más sentido comenzar a proteger sus grandes almacenes de datos centralizados.
  • La mayoría de las empresas desconocen la cantidad de datos que son fácilmente accesibles y sin vigilancia. Un solo usuario comprometido tiene el potencial de acceder y comprometer grandes cantidades de datos confidenciales. El informe de riesgo de datos para el sector financiero, que en realidad es sensible a la seguridad, muestra que cada empleado tiene acceso a un promedio de casi 11 millones de archivos desde su primer día de trabajo, y en empresas más grandes incluso a alrededor de 20 millones: una enorme explosión. radio.

Si desea que su negocio sea resistente, comience con su mayor activo. Las empresas saben lo que quieren los atacantes: los datos. El modelo de privilegios mínimos permite a las empresas otorgar a sus empleados solo el acceso que realmente necesitan para su trabajo. Al limitar sistemáticamente el acceso a los datos y monitorearlos más de cerca, se lo hace mucho más difícil a los atacantes.

Más en Varonis.com

 

Sobre Varonis

Desde su fundación en 2005, Varonis ha adoptado un enfoque diferente para la mayoría de los proveedores de seguridad de TI al colocar los datos corporativos almacenados tanto en las instalaciones como en la nube en el centro de su estrategia de seguridad: archivos y correos electrónicos confidenciales, información confidencial de clientes, pacientes y pacientes. Registros de empleados, registros financieros, planes estratégicos y de productos, y otra propiedad intelectual. La plataforma de seguridad de datos (DSP) de Varonis detecta amenazas internas y ataques cibernéticos mediante el análisis de datos, la actividad de la cuenta, la telemetría y el comportamiento del usuario, previene o mitiga las infracciones de seguridad de los datos mediante el bloqueo de datos confidenciales, regulados y obsoletos, y mantiene un estado seguro de los sistemas. a través de una automatización eficiente.,

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

Seguridad informática: base para LockBit 4.0 desactivada

Trend Micro, en colaboración con la Agencia Nacional contra el Crimen (NCA) del Reino Unido, analizó la versión inédita que estaba en desarrollo. ➡ Leer más

MDR y XDR a través de Google Workspace

Ya sea en una cafetería, en una terminal de aeropuerto o en la oficina en casa, los empleados trabajan en muchos lugares. Sin embargo, este desarrollo también trae desafíos ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Stories
, , , , ,