Así se propagan los ataques de ransomware

De acuerdo al estudio de Guardicore, ahora parte de Akamai “Resurgimiento del ransomware, cómo fortalecer sus defensas más allá del perímetro” un ataque de ransomware conlleva diversas consecuencias sumamente perjudiciales como la interrupción en la productividad, daños a la marca, pérdida de lealtad de los clientes, entre otros, lo cual se resume en pérdidas millonarias estimadas por $20 MMD. En tanto, el costo promedio de un pago de ransomware es de 84 mil dólares y el tiempo promedio por inactividad durante un incidente de ransomware es de 16.2 días.

Dado el gran crecimiento de ciberataques de ransomware en los últimos años, Oswaldo Palacios, Senior Account Executive para Guardicore (ahora parte de Akamai), opinó que una de las debilidades en las estrategias de ciberseguridad de las organizaciones que más aprovechan los atacantes es la falta de visibilidad este-oeste en los centros de datos. Los movimientos laterales pocas veces son detectados oportunamente, lo cual es bien sabido por los desarrolladores de ransomware, quienes continuamente aprovechan las adolescencias de seguridad y obtienen acceso a activos críticos por la falta de visibilidad y segmentación.

El directivo explicó que un ejemplo sencillo de un ataque por ransomware inicia en el momento en que un usuario infecta su computadora haciendo clic en una pieza de malware. Este código malicioso le da al atacante un punto de partida para el movimiento lateral hacia sistemas más sensibles. Luego, sin nada que los detenga, pueden lanzar ransomware sin restricciones en todo el entorno. Los atacantes suelen tomar el controlador de dominio, comprometen las credenciales, luego encuentran y cifran la copia de seguridad para evitar que el operador restaure los servicios congelados.

A decir del experto de Guardicore, la forma más utilizada para la propagación del ransomware en una compañía sigue siendo el correo electrónico, al tener debilidades propias del protocolo, es relativamente sencillo confundir al usuario diciendo que tiene un paquete pendiente de entrega, una compra rechazada, incluso algunos emails vienen con mensajes tales como “tu pareja te engaña y aquí tengo las pruebas”. El usuario al dar clic en el enlace sin saber que está instalando un software de cifrado con lo cual su información será secuestrada. O en otros casos está abriendo la puerta para que el ataque llegue a activos críticos y el daño sea aún mayor.

A continuación, Oswaldo Palacios detalló algunas técnicas que los cibercriminales utilizan para introducir y propagar malware:

1. Correos electrónicos. Estos correos electrónicos pueden ser generales o involucrar tácticas de spear phishing que adaptan el contenido a una organización o persona específica, con la esperanza de que provoque una interacción, como abrir un archivo adjunto o hacer clic en un enlace, y brindar a los malos actores un vehículo para entregar malware.

2. URL maliciosas. Las URL maliciosas aparecen comúnmente en campañas de phishing, pero también pueden estar incrustadas en un sitio web o en cualquier lugar en el que un usuario pueda hacer clic. En el caso del ransomware, después de que el objetivo interactúa con la URL, el malware a menudo intentará auto instalarse en la máquina de la víctima, donde puede comenzar a propagarse y extenderse a múltiples activos.

3. Protocolo de escritorio remoto. El uso de la infraestructura de escritorio virtual (VDI) se ha convertido en una superficie de ataque de rápido crecimiento. Un riesgo significativo de VDI incluye el hecho de que toda la infraestructura y las aplicaciones a menudo se encuentran en el mismo servidor. Si un atacante puede introducir software malicioso con éxito, puede resultar complicado detectarlo hasta que sea demasiado tarde.

De acuerdo con Oswaldo Palacios, los directorios activos y aplicaciones críticas son de los puntos más atacados ya que ahí reside la información de los usuarios y sus permisos, accesos y privilegios dentro de la compañía. Una vez que un atacante ha tomado posesión del directorio activo estarán comprometidos los accesos de los usuarios a las aplicaciones del negocio, causando una afectación total o parcial en la operación.

Las organizaciones de todos los tamaños e industrias corren el riesgo de sufrir un gran ataque de ransomware; las compañías más atacadas serán aquellas que tengan información valiosa susceptible de ser cifrada y por la que se pueda pedir un rescate en dinero o bitcoins.

Una de las mejores defensas contra el ransomware es evitar el movimiento lateral dentro de su perímetro, aseguró Oswaldo Palacios, quien agregó que esto puede ser difícil de realizar para el tráfico de este a oeste con firewalls tradicionales. Además, si bien puede lograr cierta segmentación utilizando VLAN, a menudo es amplio y no es exactamente el enfoque más ágil cuando necesita aislar activos sobre la marcha, como en el caso de una infracción exitosa.

"No puedes proteger lo que no puedes ver; por lo tanto, las compañías necesitan una herramienta que les brinde una completa visibilidad de todas las comunicaciones del centro de datos, no solo entrantes o salientes del perímetro, sino las que existen dentro de las redes y que al no ser visibles por los firewalls pueden resultar en amenazas moviéndose lateralmente", aseguró Oswaldo Palacios.

Por último, el directivo aseguró que existen herramientas de ciberseguridad como la microsegmentación que cuenta con visibilidad a nivel de proceso dentro de los servidores permitiendo hacer segmentos tan pequeños como permitir o denegar la comunicación entre procesos de un activo. Este tipo de soluciones brindan una granularidad la cual permite tomar acciones preventivas contra cualquier amenaza que se quiera mover lateralmente.