Por: Aamir Lakhani / Fortinet
Si el crecimiento de los ataques de ransomware en 2022 indica lo que depara el futuro, los equipos de seguridad de todo el mundo deberían esperar que este vector de ataque se vuelva aún más popular en 2023. Solo en la primera mitad de 2022, la cantidad de nuevas variantes de ransomware que identificamos aumentó en casi 100 % en comparación con el período anterior de seis meses, con nuestro equipo de FortiGuard Labs documentando 10 666 nuevas variantes de ransomware en la primera mitad de 2022 en comparación con solo 5400 en la segunda mitad de 2021. Este crecimiento explosivo en nuevas variantes de ransomware se debe principalmente a que más atacantes se aprovechan de Ransomware- suscripciones como servicio (RaaS) en la dark web.
Sin embargo, incluso con el aumento de las variantes de ransomware, las técnicas que vemos que utilizan los malos actores para entregar ransomware siguen siendo prácticamente las mismas. Esta previsibilidad es una buena noticia porque los equipos de seguridad tienen un plan confiable para protegerse contra estos ataques. Aquí hay una mirada más cercana a las estrategias de mitigación de ransomware y cómo puede implementarlas en su organización.
¿Qué es ransomware?
El ransomware es malware que retiene datos como rehenes a cambio de un rescate. Amenaza con publicar, bloquear o corromper datos, o impedir que un usuario trabaje en su computadora o acceda a ella a menos que cumpla con las demandas del atacante. Hoy en día, el ransomware a menudo se envía a través de correos electrónicos de phishing . Estos archivos adjuntos maliciosos infectan la computadora de un usuario una vez abiertos. El ransomware también se puede propagar a través de descargas ocultas, lo que sucede cuando un usuario visita un sitio web que está infectado. El malware de ese sitio se descarga e instala sin que el usuario se dé cuenta.
La ingeniería social a menudo también juega un papel en un ataque de ransomware. Esto es cuando un atacante intenta manipular a alguien para que divulgue información confidencial. Una táctica común de ingeniería social es enviar correos electrónicos o mensajes de texto para asustar al objetivo para que comparta información confidencial, abra un archivo malicioso o haga clic en un enlace malicioso.
¿Qué es la mitigación de ransomware?
Los intentos de ataques y filtraciones de datos son inevitables, y ninguna organización quiere verse obligada a decidir entre pagar un rescate o perder datos importantes. Afortunadamente, esas no son las únicas dos opciones. El mejor camino a seguir es tomar las medidas adecuadas para proteger sus redes, lo que disminuirá las posibilidades de que su empresa se vea afectada por ransomware. Este enfoque requiere un modelo de seguridad en capas que combine controles de red, punto final, borde, aplicación y centro de datos, así como inteligencia de amenazas actualizada.
Además de implementar las herramientas y los procesos de seguridad adecuados, no olvide el papel que juega la educación en seguridad cibernética en su estrategia de mitigación. Enseñar a los empleados cómo detectar un ataque de ransomware, y educarlos sobre prácticas sólidas de higiene cibernética en general, es una gran defensa contra los atacantes inteligentes.
Comprensión de los riesgos que hacen necesaria la mitigación del ransomware
Mire a su alrededor en cualquier organización y es probable que encuentre “brechas” de seguridad que aumentan las posibilidades de que una empresa sea víctima de un ataque de ransomware. Aquí hay varios desafíos comunes que enfrentan los equipos de seguridad y sus organizaciones, que pueden hacerlos más vulnerables a los incidentes cibernéticos.
- Falta de conocimientos sobre higiene cibernética entre los empleados: el comportamiento humano sigue siendo un factor importante en la mayoría de los incidentes de seguridad. Más allá de comprender los signos del ransomware, la falta de educación general sobre ciberseguridad entre los empleados puede poner en riesgo a su organización. Según el Informe de investigaciones de violación de datos de Verizon 2022 , el 82% de las violaciones que ocurrieron el año pasado involucraron al elemento humano.
- Políticas de contraseña débiles: las políticas insuficientes relacionadas con las credenciales de los empleados, o no tener una política, aumentan la probabilidad de que una organización experimente una brecha de seguridad. Las credenciales comprometidas están involucradas en casi el 50% de los ataques .
- Supervisión y procesos de seguridad insuficientes: ninguna herramienta única ofrece todo lo que su equipo de seguridad necesita para supervisar y protegerse contra posibles incidentes cibernéticos como el ransomware. Un enfoque de seguridad en capas puede ayudarlo a administrar adecuadamente el riesgo de su empresa.
- Escasez de personal entre los equipos de seguridad y TI: no es ningún secreto que debe tener personas con las habilidades adecuadas en su equipo para respaldar los esfuerzos de monitoreo y mitigación de riesgos para combatir el delito cibernético de manera efectiva. Sin embargo, los datos muestran que la brecha de habilidades en ciberseguridad presenta un desafío continuo para los CISO: cómo atraer y retener nuevos talentos mientras se asegura que los miembros actuales del equipo obtengan la capacitación necesaria y las oportunidades de mejora.
Últimos ataques de ransomware de los que aprender
El ransomware continúa volviéndose más desagradable y más costoso, lo que afecta a empresas de todos los sectores y geografías. Si bien la mayoría de nosotros recordamos los recientes ataques de ransomware de alto perfil que involucraron a compañías como Colonial Pipeline y JBS , ocurren innumerables otros incidentes de ransomware que no aparecen en las noticias nacionales. Sin embargo, muchos ataques de ransomware se pueden prevenir mediante la aplicación de sólidas prácticas de higiene cibernética, incluida la oferta de capacitación continua de concientización cibernética para los empleados, y al centrarse en implementar medidas de acceso a la red de confianza cero (ZTNA) y seguridad de punto final.
5 mejores prácticas de protección contra ransomware
La detección efectiva de ransomware requiere una combinación de educación y tecnología. Estas son algunas de las mejores formas de detectar y prevenir la evolución de los ataques de ransomware actuales:
- Eduque a sus empleados sobre las características del ransomware: la capacitación en conciencia de seguridad para la fuerza laboral actual es imprescindible y ayudará a las organizaciones a protegerse contra una variedad de amenazas en constante evolución. Enséñeles a los empleados cómo detectar signos de ransomware, como correos electrónicos diseñados para parecer de empresas auténticas, enlaces externos sospechosos y archivos adjuntos cuestionables.
- Use el engaño para atraer (y detener) a los atacantes: un señuelo es un señuelo que consiste en repositorios falsos de archivos diseñados para parecer objetivos atractivos para los atacantes. Puede detectar y detener el ataque cuando un pirata informático de ransomware persigue su honeypot. La tecnología de engaño cibernético como esta no solo usa las propias técnicas y tácticas del ransomware contra sí mismo para activar la detección, sino que descubre las tácticas, herramientas y procedimientos (TTP) del atacante que lo llevaron a su éxito en la red para que su equipo pueda identificar y cerrar esas brechas de seguridad.
- Monitoree su red y puntos finales: al realizar un monitoreo continuo de la red, puede registrar el tráfico entrante y saliente, escanear archivos en busca de evidencia de ataque (como modificaciones fallidas), establecer una línea de base para la actividad aceptable del usuario y luego investigar cualquier cosa que parezca fuera de lugar. común. La implementación de herramientas antivirus y antiransomware también es útil, ya que puede usar estas tecnologías para incluir sitios aceptables en la lista blanca. Por último, es esencial agregar detecciones basadas en el comportamiento a su caja de herramientas de seguridad, particularmente a medida que las superficies de ataque de las organizaciones se expanden y los atacantes continúan subiendo la apuesta con ataques nuevos y más complejos.
- Mire fuera de su organización: Considere la posibilidad de adoptar una visión fuera de la red de los riesgos que se plantean para una organización. Como extensión de una arquitectura de seguridad, un servicio DRP puede ayudar a una organización a ver y mitigar tres áreas de riesgo adicionales: riesgos de activos digitales, riesgos relacionados con la marca y amenazas subterráneas e inminentes.
- Aumente su equipo con SOC como servicio si es necesario: la intensidad actual que vemos en el panorama de amenazas, tanto en velocidad como en sofisticación , significa que todos debemos trabajar más duro para estar al tanto de nuestro juego. Pero eso solo nos lleva hasta cierto punto. Trabajar de manera más inteligente significa subcontratar tareas específicas, como la respuesta a incidentes y la búsqueda de amenazas. Esta es la razón por la cual es útil confiar en un proveedor de Detección y respuesta administrada (MDR) o en una oferta de SOC como servicio . Aumentar su equipo de esta manera puede ayudar a eliminar el ruido y liberar a sus analistas para que se concentren en sus tareas más importantes.
Si bien el volumen de ransomware no se está desacelerando, hay numerosas tecnologías y procesos disponibles para ayudar a su equipo a mitigar los riesgos asociados con este ataque. Desde los programas de educación cibernética en curso hasta el fortalecimiento de los esfuerzos de ZTNA, podemos mantener a raya a los atacantes astutos.
