El ransomware es un tipo de malware utilizado por los ciberdelincuentes para evitar que los usuarios accedan a sus sistemas o archivos; Luego, los ciberdelincuentes amenazan con filtrar, destruir o retener información confidencial a menos que se pague un rescate.
Los ataques de ransomware pueden tener como objetivo los datos almacenados en los sistemas informáticos (conocidos como ransomware de casilleros) o dispositivos (crypto-ransomware). En ambos casos, una vez que se paga un rescate, los actores de amenazas generalmente brindan a las víctimas una clave o herramienta de descifrado para desbloquear sus datos o dispositivos, aunque esto no está garantizado.
Oliver Pinson-Roxburgh, director ejecutivo de defensa.comla plataforma de ciberseguridad todo en uno, comparte conocimientos y consejos en este artículo sobre cómo funciona el ransomware, qué tan dañino puede ser y cómo su empresa puede mitigar los ataques de ransomware.
¿Qué comprende un ataque de ransomware?
Hay tres elementos clave para un ataque de ransomware:
Acceso
Para implementar malware para cifrar archivos y obtener el control, los ciberdelincuentes primero deben obtener acceso a los sistemas de una organización.
Generar
Los atacantes tienen el control de los datos tan pronto como se activa el software malicioso. Los datos están encriptados y la organización objetivo ya no puede acceder a ellos.
Pedir
Las víctimas recibirán una alerta de que sus datos están encriptados y no se puede acceder a ellos hasta que se pague un rescate.
Gran negocio para los ciberdelincuentes
Los motivos por los que los ciberdelincuentes implementan malware pueden variar, pero el objetivo final suele ser el beneficio económico.
¿Cuál es el costo de ser atacado por ransomware?
El pago promedio de los ataques de ransomware aumentó de $ 312,000 / £ 260,000 en 2020 a $ 570,000 / £ 476,000 en 2021, un aumento del 83%. Un informe también mostró que el 66 % de las organizaciones encuestadas fueron víctimas de ataques de ransomware en 2021, casi el doble que en 2020 (37 %). Esto destaca la necesidad de que las empresas comprendan los riesgos e implementen defensas más sólidas para combatir las amenazas.
El ransomware continúa clasificándose entre los ataques cibernéticos más comunes en 2022, debido a su naturaleza lucrativa y al bajo nivel de esfuerzo requerido por parte de los perpetradores. Este ataque debilitante provoca un tiempo de inactividad promedio de 3 semanas y puede tener importantes repercusiones para una organización, para sus finanzas, operaciones y reputación.
Debido a que no hay garantía de que los ciberdelincuentes liberen datos después de que se pague un rescate, es crucial proteger sus datos y mantener copias de seguridad fuera de línea de sus archivos. También es muy importante monitorear y proteger proactivamente los puntos de entrada que un pirata informático puede explotar, para reducir la posibilidad de ser atacado en primer lugar.
¿Quién está en riesgo de ser un objetivo de ransomware?
En el pasado, los ciberdelincuentes generalmente se dirigían a organizaciones de alto perfil, grandes corporaciones y agencias gubernamentales con ransomware. Esto se conoce como “caza de caza mayor” y se basa en la premisa de que es mucho más probable que estas empresas paguen rescates más altos y eviten el escrutinio no deseado de los medios y el público. Ciertas organizaciones, como los hospitales, son objetivos de mayor valor porque es mucho más probable que paguen un rescate y lo hagan rápidamente porque necesitan acceso a datos importantes con urgencia.
Sin embargo, los grupos de ransomware ahora están cambiando su enfoque hacia las empresas más pequeñas, en respuesta a la mayor presión de las fuerzas del orden que están tomando medidas enérgicas contra los grupos de ransomware conocidos como REvil y Conti. Las empresas más pequeñas son vistas como objetivos fáciles que pueden carecer de defensas de seguridad cibernética efectivas para evitar un ataque de ransomware, lo que facilita su penetración y explotación.
En última instancia, los actores de amenazas son oportunistas y considerarán a la mayoría de las organizaciones como objetivos, independientemente de su tamaño. Si un ciberdelincuente nota una vulnerabilidad, la compañía es un juego limpio.
¿Cómo se implementa el ransomware?
Ataques de phishing
El método de entrega más común de ransomware es a través de ataques de phishing. El phishing es una forma de ingeniería social y es un método eficaz de ataque, ya que se basa en el engaño y crea una sensación de urgencia. Los actores de amenazas engañan a los empleados para que abran archivos adjuntos sospechosos en los correos electrónicos y esto a menudo se logra imitando a los empleados de alto nivel u otras figuras de autoridad de confianza.
Malvertising
La publicidad maliciosa es otra táctica utilizada por los ciberdelincuentes para implementar ransomware, donde el espacio publicitario se compra y se infecta con malware que luego se muestra en sitios web confiables y legítimos. Una vez que se hace clic en el anuncio, o incluso en algunos casos cuando un usuario accede a un sitio web que aloja malware, ese dispositivo se infecta con malware que escanea el dispositivo en busca de vulnerabilidades para explotar.
Explotación de sistemas vulnerables
El ransomware también se puede implementar explotando sistemas obsoletos y sin parches, como fue el caso en 2017, cuando una vulnerabilidad de seguridad en Microsoft Windows, EternalBlue (MS17-010), condujo al ataque global de ransomware WannaCry que se extendió a más de 150 países.
Fue el ciberataque más grande que golpeó al NHS: costó 92 millones de libras esterlinas en daños más los costos adicionales del soporte de TI que restaura los datos y los sistemas afectados por el ataque, e impactó directamente en la atención al paciente a través de citas canceladas.
Cuatro métodos clave para defender su empresa contra el ransomware
Es crucial que las empresas sean conscientes de cómo un ataque de ransomware puede afectar a su organización y cómo pueden evitar que los ciberdelincuentes vulneren sus sistemas y obtengan datos confidenciales para pedir un rescate. Se dice que hasta el 61 % de las organizaciones con equipos de seguridad formados por entre 11 y 25 empleados están más preocupados por los ataques de ransomware.
El NHS podría haber evitado verse afectado por el ataque de ransomware WannaCry en 2017 al prestar atención a las advertencias y migrar del software obsoleto, asegurando que se implementaron estrategias para fortalecer su postura de seguridad.
Es esencial que su empresa adopte un enfoque proactivo de la ciberseguridad mediante la implementación de las herramientas correctas para ayudar a monitorear, detectar y mitigar la actividad sospechosa en su red e infraestructura. Esto reducirá la cantidad y el impacto de las filtraciones de datos y los ataques cibernéticos.
defensa.com recomiende estas cuatro tácticas fundamentales para ayudar a prevenir los ataques de ransomware y mantenerse un paso por delante de los piratas informáticos:
1 — Entrenamiento
La capacitación en concientización sobre seguridad cibernética es fundamental para las empresas de todos los tamaños, ya que ayuda a los empleados a detectar correos electrónicos o actividades potencialmente maliciosos.
Las tácticas de ingeniería social, como el phishing y el seguimiento de personas, son comunes y exitosas debido a un error humano y a que los empleados no detectan los riesgos. Es vital que los empleados estén atentos a los correos electrónicos que contienen enlaces sospechosos o solicitudes inusuales para compartir datos personales, a menudo enviados por alguien que finge ser un empleado de alto nivel.
La capacitación en seguridad también alienta a los empleados a consultar a los visitantes de sus oficinas para evitar ataques de ransomware a través de intrusiones físicas.
La implementación de capacitación de concientización sobre seguridad cibernética ayudará a su empresa a educar y evaluar de manera rutinaria a sus empleados sobre las prácticas fundamentales de seguridad, lo que en última instancia creará una cultura de seguridad para reducir el riesgo de filtraciones de datos e incidentes de seguridad.
2 — Simuladores de phishing
Estas herramientas de simulación respaldan su capacitación de concientización sobre seguridad al enviar correos electrónicos de phishing falsos pero realistas a los empleados. Comprender cuán propenso es su personal a caer en las tácticas de un ciberdelincuente real le permite llenar los vacíos en su capacitación.
Cuando combina simuladores de phishing con capacitación en seguridad, su organización puede disminuir la posibilidad de ser víctima de un ataque de ransomware. La combinación de capacitación y pruebas lo coloca en una mejor posición para evitar los intentos astutos de los ciberdelincuentes de infiltrarse en sus sistemas de TI y plantar malware.
3 — Supervisión de amenazas
Puede hacer que su negocio sea un objetivo menos para los ciberdelincuentes al monitorear activamente las amenazas potenciales. Threat Intelligence es una herramienta de monitoreo de amenazas que recopila datos de varias fuentes, como pruebas de penetración y análisis de vulnerabilidades, y utiliza esta información para ayudarlo a defenderse contra posibles ataques de malware y ransomware. Esta descripción general de su panorama de amenazas muestra qué áreas corren mayor riesgo de sufrir un ciberataque o una filtración de datos.
Ser proactivo le asegura estar un paso por delante de los piratas informáticos y, al introducir herramientas de monitoreo de amenazas en su organización, se asegura de que cualquier comportamiento sospechoso se detecte temprano para su corrección.
4 — Protección de terminales
La protección de endpoints es clave para comprender cuáles de sus activos son vulnerables, para ayudar a protegerlos y repeler ataques de malware como ransomware. Más que el típico software antivirus, la protección de endpoints ofrece funciones de seguridad avanzadas que protegen su red y los dispositivos que se encuentran en ella contra amenazas como el malware y las campañas de phishing.
Las capacidades anti-ransomware deben incluirse en la protección de puntos finales para que pueda prevenir ataques de manera efectiva al monitorear comportamientos sospechosos, como cambios de archivos y cifrado de archivos. La capacidad de aislar o poner en cuarentena cualquier dispositivo afectado también puede ser una característica muy útil para detener la propagación de malware.
En resumen
Dado que los grupos de ransomware buscan continuamente vulnerabilidades para explotar, es importante que las empresas desarrollen estrategias sólidas para prevenir las amenazas de ransomware: asegúrese de que su personal reciba capacitación periódica sobre concientización sobre seguridad, configure herramientas de monitoreo de amenazas para detectar y alertarlo sobre vulnerabilidades e implemente protección de punto final para proteger sus dispositivos a través de su red.
Seguir las pautas anteriores aumentará sus posibilidades de proteger su negocio contra ataques de ransomware que podrían costarle a su organización una cantidad sustancial de dinero y daños a la reputación.
Defense.com cree que la protección cibernética de clase mundial debe ser accesible para todas las empresas, independientemente de su tamaño. Para más información visite defensa.com.
Nota – Este artículo está escrito y contribuido por Oliver Pinson-Roxburgh, director ejecutivo de Defense.com.