5 señales de que tu organización será víctima de ransomware
De acuerdo con el estudio El estado del ransomware 2020 de Sophos, el 51% de las organizaciones a nivel global fueron víctimas de este tipo de ‘secuestros de datos’ durante 2019, lo que representa pérdidas para las empresas de hasta 1,4 millones de dólares.
Cuando en Sophos trabajamos con víctimas de ransomware, hacemos una revisión a las últimas dos semanas previas a la detección del ataque. En ese periodo es común encontrar algunos indicadores que nos hacen saber de inmediato en dónde fue vulnerado el sistema afectado. Cualquiera de los indicadores que enlistamos a continuación es una señal de que los delincuentes ya tenían una idea de cómo es la red afectada y cómo podrían obtener las cuentas y los accesos necesarios para lanzar sus ataques.
Actualmente, los atacantes utilizan herramientas de administración legítimas para preparar el escenario para lanzar sus ataques. Estas cinco señales se pueden pasar por alto fácilmente o ser difíciles de detectar por el personal de TI de una empresa, pero son indicadores muy claros de que se avecina un ransomware:
1. Escáneres de red, especialmente en un servidor
Los atacantes generalmente comienzan por obtener acceso a una máquina donde buscan información básica; si es una Mac o Windows, cuál es el dominio y el nombre de la empresa, qué tipo de derechos de administrador tiene la computadora y más. Luego, querrán saber qué más hay en la red y a que pueden acceder. La forma más fácil de determinar esto es escanear la red. Si se detecta un escáner de red, como AngryIP o Advanced Port Scanner, se debe acudir de inmediato al personal de TI para saber si este escáner fue instalado por ellos. Si nadie resulta responsable, es hora de investigar.
2. Herramientas para deshabilitar el software antivirus
Una vez que los atacantes tienen derechos de administrador, a menudo intentarán deshabilitar el software de seguridad utilizando aplicaciones creadas para la eliminación forzada de software, como Process Hacker, IOBit Uninstaller, GMER y PC Hunter. Este tipo de herramientas comerciales son legítimas, pero en las manos equivocadas son muy peligrosas. Si al detectarse que no hay algún software que requiera ser eliminado, entonces el personal de ciberseguridad debe encender las alertas y preguntarse seriamente por qué aparecieron de repente.
3. Presencia de MimiKatz
Primero entendamos qué es MimiKatz: se trata de una aplicación de código abierto que permite robar datos de identificación y credenciales de usuarios de una red para brindar acceso de forma ilegal a los sistemas y explotar vulnerabilidades del mismo. Esta herramienta fue creada para detectar vulnerabilidades en Windows, y es muy usada por atacantes actualmente.
Cualquier detección de esta aplicación debe ser de inmediato investigada. Los atacantes también suelen usan Microsoft Process Explorer, incluido en Windows Sysinternals, que es una herramienta legítima que se infiltra en los equipos creando un archivo en formato .dmp. Una vez dentro, instalan MimiKatz para extraer de forma segura los nombres de usuario y las contraseñas.
4. Patrones de comportamiento sospechoso
El personal de TI debe estar atento a cualquier patrón de comportamiento que ocurra a la misma hora todos los días, o de forma repetitiva, ya que esto es a menudo una indicación de que algo sospechoso sucede, incluso si se han detectado y eliminado archivos maliciosos.
5. Ataques de ‘prueba’
Ocasionalmente, los atacantes implementan pequeños ataques de prueba en algunas computadoras para ver si el método de implementación y el ransomware se ejecuta con éxito, o si el software de seguridad lo detiene. Si las herramientas de seguridad detienen el ataque, cambian sus tácticas e intentan nuevamente. Esto les ayudará a saber qué tan limitado es su tiempo de ataque y que tan fuertes son las medidas de seguridad implementadas en el objetivo. A menudo es cuestión de horas antes de que se lance un ataque mucho más grande, por lo que ante un ataque de este tipo la acción debe ser inmediata.
Las empresas en la actualidad deben estar atentas al ransomware ya que se trata de algo más común de lo que parece. De acuerdo con el estudio El estado del ransomware 2020 de Sophos, el 51% de las organizaciones a nivel global fueron víctimas de este tipo de ‘secuestros de datos’ durante 2019, lo cual representa para las empresas pérdidas de hasta 1,4 millones de dólares.
Everything is very open with a precise clarification of the issues.
It was really informative. Your site is very useful.
Thanks for sharing!
Wow, marvelous weblog layout! How lengthy have you ever been blogging
for? you made running a blog look easy. The total glance of your website is magnificent, let alone the content!
My developer is trying to persuade me to move to .net from PHP.
I have always disliked the idea because of the costs.
But he’s tryiong none the less. I’ve been using Movable-type on numerous websites for about a year
and am concerned about switching to another platform.
I have heard good things about blogengine.net. Is there a
way I can transfer all my wordpress content into it?
Any kind of help would be greatly appreciated!
Hello, yes this paragraph is really pleasant and I have learned lot of things from it regarding
blogging. thanks.
Hello to all, for the reason that I am in fact eager of
reading this webpage’s post to be updated daily.
It carries pleasant data.
I have been surfing online more than 3 hours today,
yet I never found any interesting article like yours.
It is pretty worth enough for me. In my opinion, if all
site owners and bloggers made good content as you did, the web will be a lot more useful than ever before.
A motivating discussion is worth comment. I think that you need to
write more about this topic, it might not be a taboo matter but generally people don’t speak about these issues.
To the next! Best wishes!!
Quality articles is the key to invite the viewers to pay a visit the
website, that’s what this web page is providing.
That is a really good tip especially to those fresh to the blogosphere.
Brief but very accurate info… Many thanks for sharing this one.
A must read article!
I have read so many articles or reviews about the blogger
lovers however this article is in fact a good article, keep it
up.
Very rapidly this website will be famous amid all blog users,
due to it’s fastidious posts
Does your site have a contact page? I’m having trouble locating
it but, I’d like to shoot you an email. I’ve got
some ideas for your blog you might be interested in hearing.
Either way, great site and I look forward to seeing it expand over time.
Hello i am kavin, its my first time to commenting anywhere,
when i read this post i thought i could also make comment due to this good article.