Infoblox: una mirada de cerca al ransomware
El ransomware permite grandes recompensas con una mínima posibilidad de ser atrapado físicamente. Los actores de las amenazas de ransomware suelen estar a miles de kilómetros de sus objetivos, hay poca o ninguna interferencia de las fuerzas del orden y la extradición por delitos de ransomware es rara o inexistente.
El impacto y el costo de los ataques de ransomware exitosos pueden ser devastadores para una organización. En 2020, los pagos asociados con el ransomware se estimaron en 370 millones de dólares. Sin embargo, los costos del ransomware no se refieren solo al pago del rescate. Se estima que el daño total asociado con el ransomware es mucho mayor que los pagos, tal vez $ 20 mil millones de dólares.
El 35 % de las empresas que han pagado rescates proporcionaron entre $ 350 mil a $ 1,4 millones, y el 7% de las empresas pagaron rescates de más de $1.4 millones de dólares.
Aproximadamente 2/3 de los ataques de ransomware durante 2020 provinieron de plataformas basadas en RaaS
Las plataformas RaaS incluyen soporte, foros comunitarios, documentación, actualizaciones y más. Están diceñados según el tipo de soporte ofrecido con productos SaaS legítimos. Algunos sitios web de RaaS ofrecen documentación de apoyo de marketing y testimonios de usuarios. El costo es relativamente bajo. En algunos casos, los afiliados pueden registrarse por una tarifa única o por una suscripción mensual. Algunas plataformas RaaS pueden tener cargos por funciones especiales, como la visualización de la cantidad de archivos cifrados y la información de pago.
El uso de ataques RaaS altamente dirigidos ha sido lucrativo para los ciberdelincuentes. Los actores que utilizan RaaS para apuntar a grandes organizaciones pueden, a su vez, solicitar grandes rescates. En estos casos altamente específicos, los actores de amenazas a veces usan tácticas cuidadosamente investigadas, como correos electrónicos bien elaborados, para atraer a los objetivos a hacer clic en URL peligrosas o abrir archivos adjuntos maliciosos. En otros casos, pueden apuntar a una vulnerabilidad que es particular o comúnmente utilizada por su grupo de víctimas objetivo.
Iván Sánchez, director de Ventas de Latinoamérica de Infoblox, señala: ‘El ransomware vuelve a ocupar un lugar destacado en nuestro informe trimestral de amenazas. Este año ha resultado ser uno de los peores para el ransomware porque ahí es donde está la gran cantidad de dinero. El gran retorno de la inversión potencial hace que las actividades de extorsión de ransomware sean muy atractivas para los actores de amenazas’.
Métodos de distribución de ransomware
Aunque no es exhaustivo, los cuatro métodos de distribución son sitios web maliciosos, correo electrónico malspam, protocolo de escritorio remoto y memorias USB. De acuerdo a las empresas encuestadas para el informe, los porcentajes de ataques de ransomware que utilizan estos métodos de distribución han variado significativamente.
Páginas web maliciosas: Un sitio web malicioso diseñado para hacer clic en enlaces a ese sitio, distribuye descargas dañinas a los usuarios. Además de configurar su propio sitio falsificado, los actores de amenazas pueden encontrar y explotar vulnerabilidades en un sitio web legítimo e implantar código malicioso en él. Alternativamente, pueden usarlo para redirigir al objetivo a otro sitio web bajo su control. Algunos de los sitios web deportivos y de medios de comunicación más conocidos del mundo se han visto comprometidos o secuestrados en algún momento.
La publicidad maliciosa también es un mecanismo de entrega estrechamente relacionado para la implementación de malware, en el que se colocan anuncios falsos en sitios web seleccionados. En algunos casos, los actores de amenazas han comprado anuncios incrustados con malware y han pagado redes publicitarias para implementar esos anuncios.
Correo electrónico de spam: Los actores de amenazas utilizan constantemente campañas de correo electrónico que emplean métodos de distribución para su malware, descargadores o enlaces maliciosos. Algunos ataques están altamente dirigidos contra un individuo u organización, una técnica conocida como spear-phishing, pero otras son campañas más grandes y amplias.
El correo electrónico es fácil de propagar y, desde muchas perspectivas, requiere la menor cantidad de habilidades. Los correos electrónicos dirigidos a consumidores y usuarios comerciales tienen mensajes que intentan atraer a los destinatarios para que revelen información confidencial, hagan clic en enlaces a sitios inseguros o abran archivos adjuntos maliciosos.
Protocolo de escritorio remoto (RDP): RDP proporciona acceso a la red a través de un canal cifrado y permite a los usuarios controlar de forma remota los dispositivos de Microsoft Windows. RDP se utiliza para permitir que los empleados accedan a las computadoras de su oficina desde puntos finales fuera de la empresa. RDP es el protocolo estándar para muchas empresas, porque permite a los miembros del equipo trabajar desde casa. Los actores de amenazas pueden obtener acceso a los servidores RDP mediante el uso de contraseñas predeterminadas en los servidores que no se han actualizadas. Alternativamente, pueden usar técnicas de fuerza bruta para entrar, o pueden usar crackers de contraseñas de código abierto. Una vez que los actores ingresan y escalan sus privilegios a los de un administrador, pueden obtener el control total de una máquina y cifrar archivos.
Tarjetas de memoria USB: Las memorias USB se han utilizado para distribuir muchos tipos de malware, incluido el ransomware. Los actores de amenazas dejan unidades USB en cafeterías, aeropuertos, y otros lugares, para que los objetivos desprevenidos las recojan y usen. Una vez que se inserta una unidad USB en una computadora, el ransomware cifra los archivos en el dispositivo y se propaga dentro de la red.
Mitigación de ransomware
La práctica de las siguientes medidas puede ayudar a una empresa a reducir su vulnerabilidad a un ataque de ransomware:
-Requerir autenticación multifactor para acceder a activos y aplicaciones de TI. Vuelva a validar la autenticación cada vez que se requiera acceso para una nueva sesión.
-Utilice filtros de correo no deseado para evitar que los correos electrónicos de suplantación de identidad y los archivos ejecutables lleguen a los usuarios finales.
-Filtre el tráfico de red con seguridad DNS para prohibir las comunicaciones de entrada y salida con direcciones IP maliciosas conocidas.
-Actualice el software con regularidad. La mayoría de las vulnerabilidades se pueden eliminar instalando las últimas actualizaciones del proveedor.
-Limite el acceso a los recursos a través de las redes, especialmente restringiendo RDP. Asegúrese de que las contraseñas de RDP se hayan cambiado de la configuración predeterminada.
-Ejecute análisis periódicos con programas antivirus que utilicen firmas que se actualizan con frecuencia.
-Configure un escáner de vulnerabilidades para ejecutar pruebas de penetración con regularidad. Los cambios recientes en la configuración o la instalación de actualizaciones pueden causar o exponer vulnerabilidades.
-Establezca controles para evitar que los programas se ejecuten desde ubicaciones que el ransomware suele utilizar, como carpetas temporales que admiten navegadores de Internet y programas de compresión / descompresión populares.