El ransomware aumentó durante 2020 con un perfil cada vez más profesional y sofisticado
El año 2020 ha confirmado el aumento de la amenaza del ransomware, con ataques cada vez mejor preparados y un enfoque más profesional. Esta tendencia está obligando a las empresas a replantearse sus estrategias de defensa y a mejorar su capacidad de contraataque. Stormshield examina el principal fenómeno del cibercrimen del pasado año.
Desde que existe esta forma de extorsión, su objetivo final siempre ha sido el mismo: secuestrar datos y exigir el pago de un rescate para su recuperación. Algo semejante ocurre a nivel técnico. El modus operandi del malware consiste en escanear a través de un disco, buscar archivos por tipo de extensión y cifrar lo que pueda tener un mayor impacto en la actividad comercial del blanco elegido.
A la contra, a lo largo de los años, si han ido variando determinados aspectos como los métodos de infección de los sistemas o la mecánica de extorsión, con la introducción de nuevas formas de pago que, como el Bitcoin, hacen más complejo el seguimiento del rescate. Al respecto de esta moneda digital, el FBI estima que, entre 2013 y 2019, las operaciones de extorsión relacionadas con ransomware alcanzaron los 144,35 millones de dólares en Bitcoin, aunque la cifra podría ser mayor.
En cuanto a su propagación, los ciberdelincuentes están constantemente innovando, a la caza de vulnerabilidades en los sistemas de información para lanzar oleadas de ransomware. En este aspecto, y aunque los correos electrónicos con archivos infectados siguen siendo un medio muy popular, estos actores aprovechan también vulnerabilidades o fallos en las redes privadas virtuales (VPN) así como el uso de redes de bots para distribuir este tipo de amenazas. Un ejemplo reciente ha sido la vulnerabilidad de Zerologon, muy explotada por los operadores del software de rescate de Ryuk.
Del ataque oportunista a un perfil más profesional
El incremento en la inversión realizado por las empresas para proteger sus perímetros ha obligado a los hackers a buscar nuevos medios, como la ingeniería social, para burlar esa seguridad. En la actualidad, y a tenor de la situación provocada por el COVID-19, cualquier noticia sobre salud y economía puede despertar la curiosidad del usuario, por lo que el phishing se ha alzado como un medio idóneo para comprometer los buzones de correo y permitir que el ransomware, o incluso ataques de spear phishing, se lancen desde dentro de la empresa.
Sin embargo, estos ataques parecen ser principalmente de naturaleza oportunista, y no deben oscurecer la principal tendencia del pasado año: el ransomware como servicio (RaaS), tras su primera aparición en 2016, cobró fuerza en 2020.
“Ahora se puede comprar realmente el software de rescate, e incluso tutoriales que enseñan cómo usarlo”, afirma Edouard Simpère, responsable técnico de Stormshield. “Todo se comercializa como un servicio, de la misma manera que el malware se ofrece en forma de herramientas preparadas que han estado disponibles durante mucho tiempo en la web oscura”.
Este enfoque cada vez más profesional de los atacantes va de la mano del aumento de los ataques dirigidos contra grandes empresas y organizaciones de sectores como energía, finanzas, construcción, biomedicina, aeronáutica e, incluso, telecomunicaciones. Asimismo, y además del robo de datos y la extorsión los atacantes juegan con nuevas formas de chantaje como la publicación de datos exfiltrados en foros oscuros de la web o la realización de subastas.
Estrategia de protección
El mundo del ransomware es cada vez más profesional y los ataques más sofisticados y precisos por lo que su detección es muy compleja para las empresas que, a su vez, han de organizarse de forma rigurosa si quieren luchar contra esta tendencia cibercriminal.
Por ello, y para evitar verse en la disyuntiva de pagar o no pagar este tipo de rescates o enfrentarse al miedo de si una vez realizado el abono se recuperarán los datos secuestrados o si dicha acción -o una semejante- volverá a ocurrir en un futuro cercano, una estrategia de concienciación (no ceder al chantaje) y de seguridad adecuada puede resultar clave.
Para ayudar a las organizaciones, desarrolladores y fabricantes se están esforzando por contrarrestar el aumento de las superficies de ataque y la propagación de ransomware mediante el desarrollo de soluciones cibernéticas adecuadas. Las empresas, por su parte, deben asumir aspectos clave como la formación de los empleados en materia de higiene digital, la aplicación de políticas adecuadas de gestión de parches, la adopción de una política rigurosa de administración de derechos y autorizaciones y la capacitación de los equipos de seguridad para detectar comportamientos sospechosos. Todas las compañías necesitarían tener equipos de respuesta a incidentes, y la capacidad de cerrar los servicios y restaurarlos de nuevo para proporcionar una respuesta rápida a una intrusión, evitar la entrega de la carga útil y asegurar que los servicios puedan ser restaurados lo más rápidamente posible.
Además de estos medios disponibles, hay una solución que proporciona una defensa efectiva contra este tipo de rescate: el backup. Cualquier empresa, incluso la más pequeña, necesita implementar una política de respaldo, y los sistemas de todas las estructuras organizativas deben estar equipados con soluciones de este tipo. La copia de seguridad es la piedra angular de una política eficaz contra el software de rescate, y esto incluye la aplicación de sistemas de copia de seguridad fuera de línea que no pueden ser encriptados, y también un sistema de procedimientos regulares de control de la copia de seguridad.
