Ransomware: un clásico que se reinventa y cada vez más peligroso
Por: Daniela Menéndez, Country Manager, Palo Alto Networks México.
Los tiempos contemporáneos se caracterizan por el constante uso de la tecnología y la automatización. Actualmente, no se conciben las tareas diarias tanto personales como corporativas sin la tecnología. En paralelo y con este crecimiento exponencial, también existe el aumento constante de las ciberamenazas.
Una de ellas es el ransomware, un tipo de ciberataque en el que los delincuentes extraen y secuestran la información de sus víctimas. El objetivo de estos ataques es pedir un rescate a cambio de liberar la información secuestrada o para extorsionar a las víctimas con la amenaza de hacer públicos los datos extraídos.
Los atacantes aprovechan las técnicas de evasión sofisticadas, como la ejecución en la memoria y la carga de malware desde máquinas virtuales para eludir las defensas de los endpoints. La seguridad tradicional de redes no se ha mantenido al día con los ataques que evolucionan rápidamente, lo que no ayuda a bloquear este tipo de amenazas.
Ryuk, WastedLocker, REvil y otros grupos de ransomware utilizan técnicas de ataque dirigidas y capacidades similares a las de los gusanos para infectar hosts rápidamente. Una de las soluciones óptimas sería bloquear cada paso del ataque, desde la entrega hasta los movimientos difíciles de detectar, así como poder restaurar rápidamente los hosts comprometidos.
Los ataques de ransomware son cada vez más comunes, y ningún sector está exento de ser objetivo de alguna amenaza. En México, los sectores de Manufactura, Educación, Servicios Profesionales y Legales fueron las principales víctimas de estos incidentes en el último año, seguido de las Bienes Raíces, TI, Entretenimiento, Construcción y Servicios Financieros.
El Informe de ransomware y extorsión de Unit 42 de 2023 clasifica a Brasil como el país con más ataques en Latinoamérica, seguido de México, Argentina y Colombia. Si bien en muchos casos la motivación es financiera, también se han visto indicios de que las extorsiones puede ocurrir para financiar otro tipo de actividades.
Debido a ello, se han logrado observar las diferentes tácticas de extorsión empleadas por los ciberdelincuentes:
- Cifrado: los datos y archivos de una organización genralmente están encriptados, y el atacante exige un pago para restaurar el acceso a ellos. Esta ha sido durante mucho tiempo la principal táctica de extorsión del ransomware.
- Robo de datos: los ciberdelincuentes adquieren los datos de una organización y amenazan con difundirlos a menos que se les pague. Esto a menudo involucra sitios de fugas en la dark web. Actualmente, la información puede ser particularmente sensible, ejemplo de ello son los archivos que contienen información de identificación personal (PII), datos financieros del cliente, información de salud protegida (PHI), etc.
- Denegación de servicio distribuida (DDoS, Distributed Denial of Service): los sitios web u otros recursos son objeto de un ataque DDoS para interrumpir las operaciones y llamar la atención de una organización.
- Acoso: los atacantes pueden llamar, enviar correos electrónicos o comunicarse de otra manera con los empleados o clientes de una organización. También pueden publicar en las redes sociales sobre el incidente o contactar a los periodistas.
Incluso tener respaldos de información no es suficiente, Unit 42 vio incidentes en los que las organizaciones decidieron no pagar el rescate porque tenían fuertes respaldos, pero los atacantes continuaron con campañas de acoso tan intensas que los costos resultantes excedieron el rescate exigido, así como un precio más allá del dinero, pues un ataque de ransomware puede repercutir en la reputación de las empresas al reconocer que fueran afectadas o que no tuvieron los medios para contrarrestarlos.
La ciberseguridad ya no es una opción, sino una necesidad para todas las organizaciones, pues ninguna está exenta de poder sufrir un ataque de ransomware; sin embargo, estas tienen la oportunidad de preparar y reforzar su protección, ahora es el momento de que las organizaciones implementen las mejores prácticas de administración de identidades y accesos (IAM, Identity and Access Management) para proteger sus API en la nube, así como fortalecer sus protocolos de ciberseguridad para mejorar su resistencia al ransomware.