Las empresas modernas de hoy se basan en datos, que ahora residen en innumerables aplicaciones en la nube. Por lo tanto prevenir la pérdida de datos es esencial para su éxito. Esto es especialmente crítico para mitigar los crecientes ataques de ransomware, una amenaza que El 57% de los líderes de seguridad esperan verse comprometidos dentro del próximo año..
Como las organizaciones continúan evolucionando, a su vez también lo hace el ransomware. Para ayudarlo a mantenerse a la vanguardia, el director de estrategia de Lookout, Aaron Cockerill, se reunió con la asesora en jefe de seguridad de Microsoft, Sarah Armstrong-Smith, para analizar cómo trabajo remoto y la nube han hecho que sea más difícil detectar un ataque de ransomware, así como también cómo la implementación de la detección basada en anomalías de comportamiento puede ayudar a mitigar el riesgo de ransomware. Accede a la entrevista completa.
Aarón Cockerill: Siento que la forma en que operan las empresas modernas, que incluye una combinación de tecnologías, ha permitido que prospere el ransomware. Habiendo experimentado este tipo de ataque en mis roles anteriores, sé cuántos CISO se sienten por ahí. El instinto humano es pagar el rescate. ¿Qué tendencias estás viendo?
Sarah Armstrong-Smith: Es bastante interesante pensar en cómo ha evolucionado el ransomware. Creemos que estos ataques son realmente sofisticados. La realidad es que los atacantes prefieren lo probado y probado: favorecen el robo de credenciales, el rociado de contraseñas, escanean la red, compran credenciales de la web oscura, usan kits de ransomware.
Entonces, en muchos sentidos, las cosas no han cambiado. Están buscando cualquier forma de entrar en su red. Entonces, aunque hablamos de que los ataques cibernéticos se vuelven sofisticados, ese punto de entrada inicial realmente no es lo que distingue a los operadores de ransomware, es lo que sucede a continuación.
Todo se debe a esa persistencia y paciencia. La tendencia creciente es que los atacantes entienden muy bien la infraestructura de TI. Por ejemplo, muchas empresas ejecutan máquinas con Windows o Linux o tienen entidades locales. También pueden estar utilizando servicios en la nube o plataformas en la nube u otros puntos finales. Los atacantes entienden todo eso. Para que puedan desarrollar malware que siga esos patrones de infraestructura de TI. Y en esencia, ahí es donde están evolucionando, se están volviendo sabios con nuestras defensas.
Aarón: Una evolución que hemos presenciado es el robo de datos y luego amenazar con hacerlos públicos. ¿Estás viendo lo mismo?
Sara: Si absolutamente. A eso lo llamamos doble extorsión. Entonces, parte de la extorsión inicial podría ser sobre el cifrado de su red y tratar de recuperar una clave de descifrado. La segunda parte de la extorsión se trata realmente de que usted tenga que pagar otra cantidad de dinero para tratar de recuperar sus datos o para que no se divulguen. Debe asumir que sus datos se han ido. Es muy probable que ya se haya vendido y ya esté en la dark web.
Aarón: ¿Cuáles cree que son algunos de los mitos comunes asociados con el ransomware?
Sara: Existe la idea errónea de que si paga el rescate, recuperará sus servicios más rápido. La realidad es bastante diferente.
Tenemos que asumir que los operadores de ransomware ven esto como una empresa. Y, por supuesto, la expectativa es que si paga el rescate, recibirá una clave de descifrado. La realidad es que solo el 65% de las organizaciones realmente recuperan sus datos. Y no es una varita mágica.
Incluso si recibiera una clave de descifrado, tienen bastantes errores. Y ciertamente no va a abrir todo. A menudo, aún tiene que revisar archivo por archivo y es increíblemente laborioso. Muchos de esos archivos se corromperán potencialmente. También es más probable que esos archivos grandes y críticos en los que confía sean los que no podrá descifrar.
Aarón: ¿Por qué el ransomware sigue afectando tanto a las empresas? Parece que hemos estado hablando de los métodos que utilizan los atacantes para lanzar estos ataques, como el phishing y el compromiso del correo electrónico comercial, así como también la prevención de la exfiltración de datos y la aplicación de parches a los servidores para siempre. ¿Por qué el ransomware sigue siendo un problema tan grande? ¿Y qué podemos hacer para prevenirlo?
Sara: Ransomware se ejecuta como una empresa. Cuanta más gente pague, más actores de amenazas van a hacer rescates. Creo que ese es el desafío. Siempre que alguien en algún lugar pague, hay un retorno de la inversión para el atacante.
Ahora la diferencia es cuánto tiempo y paciencia tiene el atacante. Particularmente algunos de los más grandes, tendrán persistencia, y tendrán voluntad y ganas de seguir moviéndose por la red. Es más probable que usen secuencias de comandos, malware diferente, y están buscando esa elevación de privilegios para poder filtrar datos. Permanecerán en su red por más tiempo.
Pero el defecto común, si se quiere, es que el atacante cuenta con que nadie esté mirando. Sabemos que a veces los atacantes permanecen en la red durante meses. Entonces, en el punto en que se encriptó la red o se exfiltraron los datos, es demasiado tarde para usted. El incidente real comenzó hace semanas, meses o hace mucho tiempo.
Eso se debe a que están aprendiendo nuestras defensas: “¿alguien se dará cuenta si elevo el privilegio, si empiezo a filtrar algunos datos? Y suponiendo que me noten, ¿alguien puede responder a tiempo?” Estos atacantes han hecho su tarea, y en el momento en que piden algún tipo de extorsión o demanda, han realizado una gran cantidad de actividad. Para los operadores de ransomware más grandes, existe un retorno de la inversión. Así que están dispuestos a dedicar tiempo y esfuerzo porque creen que van a recuperar eso.
Aarón: hay un interesante artículo escrito por Gartner sobre cómo detectar y prevenir ransomware. Dice que el mejor punto para detectar ataques es en la etapa de movimiento lateral, donde un atacante busca exploits para pivotar o activos más valiosos para robar.
Creo que ese es uno de los desafíos más fundamentales que tenemos. Sabemos qué hacer para mitigar el riesgo de phishing, aunque eso siempre será un problema porque hay un elemento humano en ello. Pero una vez que obtienen ese acceso inicial, obtienen un RDP (Protocolo de escritorio remoto), o credenciales para el servidor o lo que sea, y luego pueden comenzar ese movimiento lateral. ¿Qué hacemos para detectar eso? Parece que esa es la mayor oportunidad para la detección.
Escuchar a la entrevista completa para escuchar los pensamientos de Sarah sobre la mejor manera de detectar un ataque de ransomware.
El primer paso para asegurar los datos es saber qué está pasando. Es difícil ver los riesgos a los que se enfrenta cuando sus usuarios están en todas partes y utilizan redes y dispositivos que no controla para acceder a datos confidenciales en la nube.
Elimina las conjeturas al obtener visibilidad de lo que sucede, tanto en puntos finales administrados como no administrados, en la nube y en cualquier lugar intermedio. Póngase en contacto con Lookout hoy.