Un ataque de ransomware es una de las estafas de malware más devastadoras que los usuarios comerciales pueden experimentar. Se le bloquea el acceso a su PC y ve aparecer un mensaje aterrador en su pantalla exigiendo miles de dólares en, por ejemplo, Bitcoin (una forma de pago anónima que se guarda en una billetera de criptomonedas) para pagar a una dirección anónima. Estos mensajes suelen tener un temporizador de cuenta regresiva, lo que agrega una sensación de fatalidad inminente a una situación que ya es estresante. En el caso de las pequeñas y medianas empresas (PYMES), los datos en sus computadoras y sistemas podrían constituir información viable del cliente, cuentas financieras, patentes de alto secreto y otros tipos de información invaluable. Sin una clave de descifrado, la única opción es restaurar su PC desde una copia de seguridad reciente, siempre que tenga una. Si paga la tarifa de rescate, se convierte en otra víctima del flagelo del ransomware que ha estado afectando a las PYMES en todas partes.
El ransomware, o cryptoware, es una forma de malware que es el equivalente cibernético de retener a un rehén por dinero en efectivo, excepto que en este caso, el rehén son los datos de su empresa. No notará el ransomware cuando se implemente por primera vez porque todo lo que hace es cifrar sus archivos de forma silenciosa. Pero luego, una vez que se cifran suficientes datos, se da a conocer. Primero, al bloquearle el acceso a sus propios datos mediante el uso de una clave de cifrado que solo conoce su propietario, y luego con un mensaje para usted que le indica que le proporcionará esa clave siempre que pague primero. Mientras tanto, ya no puedes leer tus datos. Desafortunadamente, incluso si paga el rescate, no tiene idea de si recuperará sus datos. Después de todo, la transacción es completamente anónima y no hay nada que impida que el atacante acepte gentilmente su pago y luego lo ignore. Si bien no es imposible recuperar sus datos sin pagar el rescate, es difícil, por lo que es más probable que esté investigando sus copias de seguridad en la nube más recientes al final del día.
Probablemente, la amenaza de ransomware más conocida fue WannaCry de 2017. Su movimiento característico fue utilizar una puerta trasera en Server Message Block (SMB), el protocolo de intercambio de archivos de Microsoft Windows. El nombre del exploit era EternalBlue; ganó bastante notoriedad a la vista del público ya que el origen de EternalBlue fue Equation Group, un grupo de ciberespionaje con presuntos vínculos con la Agencia de Seguridad Nacional de EE. UU. (NSA), si crees en las fuentes. Entraría, haría su trabajo sucio y se propagaría a los sistemas cercanos que eran vulnerables. Afortunadamente, por un tiempo esto dejó de ser un problema en Windows 8 ya que el exploit ya no era efectivo contra la forma en que Windows manejaba la administración de la memoria. Desafortunadamente, la amenaza está de regreso debido a que algunos piratas informáticos intrépidos portan EternalBlue para que funcione con todas las versiones de Windows.
SamSam, otra variante de ransomware, también ha aparecido en los titulares (Se abre en una nueva ventana) . El Departamento de Transporte de Colorado (CDOT, por sus siglas en inglés) dijo que fue atacado por SamSam el 21 de febrero de 2018. El CDOT dijo que "la infracción no se produjo a través de un correo electrónico ni como resultado de un error de los empleados, sino a través de un agujero en [su] sistema que fue explotado ." Desafortunadamente, a pesar de que el CDOT estaba ejecutando herramientas de seguridad de red actualizadas, SamSam había evolucionado lo suficiente como para pasar por alto. Es probable que esta siga siendo la realidad en el futuro cercano, ya que la seguridad de la red siempre ha sido una carrera armamentista entre los creadores de malware y los desarrolladores de software de seguridad de la red. Lo que funciona hoy puede no funcionar mañana cuando se trata de protección y eliminación de malware.
Hay formas engañosas en las que el ransomware puede ingresar a su sistema; EternalBlue es solo uno de ellos. Sin embargo, los malos actores que obtienen el control de sus sistemas rara vez necesitan usar algo tan sofisticado. Muchas veces, sin darnos cuenta, solo damos acceso a otras personas. La ingeniería social, utilizando la comunicación humana como medio para acceder a la información, es siempre la forma más eficaz de acceder y explotar la red de una empresa. Esto no tiene que tomar la forma de una visita o incluso una llamada telefónica, sino que puede permanecer completamente digital.
Un ejemplo común es un pirata informático que obtiene el control de la cuenta de correo electrónico de un intermediario, ya sea pirateando su servicio de correo electrónico o simplemente obteniendo acceso a la contraseña de ese usuario. Una vez que la cuenta está bajo su control, pueden enviar correos electrónicos cuidadosamente elaborados a la base de datos de contactos de esa persona; correos electrónicos que no contienen consultas torpes sobre las credenciales de la cuenta, sino que ofrecen enlaces a contenido infectado. Por ejemplo, "Mira este videoclip, es divertidísimo" es común. Incluso podría haber un clip de video en el otro extremo del enlace, pero parte de los datos de ese video también serán la infección del ransomware.
Algunas otras posibilidades de riesgo incluyen empleados descontentos, correos electrónicos comerciales de aspecto oficial de socios o agencias gubernamentales fantasmas, o simplemente visitantes en persona que dejan cosas como CD infectados o memorias USB. Si bien no se pueden prevenir todos los casos, se puede evitar una buena cantidad de problemas simplemente siguiendo algunas de las mejores prácticas de seguridad para PyMEs.
Dependiendo del tipo de ataque de ransomware, existen varias contramedidas que puede aplicar para lidiar con la situación. Pero manejar mal un ataque de ransomware puede ser devastador para cualquier negocio. Algunas empresas desconectan sus conexiones a Internet y pasan por el laborioso proceso de reinstalar el sistema operativo (SO), los programas de software y los datos de cada PC cliente desde una copia de seguridad segura. También existe la opción de descargar una herramienta que aborde una amenaza de ransomware específica para eliminarla de su sistema.
Sin embargo, las probabilidades de que la herramienta de eliminación correcta esté fácilmente disponible para usted después de que se haya desencadenado un ataque de ransomware no son buenas. Y simplemente apagar las máquinas de su negocio y luego reinstalarlo todo, incluidos los sistemas operativos, el software comercial clave y los datos, puede ser casi tan paralizante y dañino para los ingresos como el ransomware que está tratando de derrotar. Las copias de seguridad recientes aún pueden ser una parte crítica del proceso, y dado que la nube lo ha hecho más fácil que nunca, es algo que sin duda debe asegurarse de que su empresa esté haciendo.
Sin embargo, la mejor defensa contra el ransomware no es reaccionar después de que se active, sino trabajar para asegurarse de que no lo infecte en primer lugar. Eso es lo que las herramientas revisadas en este resumen pretenden ayudarlo a hacer. Aún mejor, muchos de estos contendientes no necesitan comprarse por separado, ya que son nuevos complementos para los productos de protección de endpoint existentes que su empresa probablemente ya esté usando.
Para probar estos paquetes y sus capacidades de protección contra ransomware, consideramos una amplia variedad de factores. El primero fue qué tan bien el producto se enfrenta a las amenazas conocidas; esto normalmente es consistente con el mejor rendimiento. El siguiente aspecto que verificamos fue qué tan bien el producto puede detectar si está ingresando su información en un sitio web de phishing, que es uno de los vectores de ataque de ransomware más comunes. Los ataques activos rara vez ocurren como un evento aislado. Los intentos de phishing y spear phishing (es decir, la recopilación de información dirigida) a veces pueden parecer legítimos. Brindar a sus usuarios la capacidad de saber con seguridad si están brindando información a una fuente legítima es fundamental para defender su red.
Después de eso, verificamos qué tan resistente es el sistema a las vulnerabilidades (es decir, cualquier vulnerabilidad técnica que pueda usarse para comprometer un sistema y obtener acceso privilegiado). Hicimos esto en tres etapas en las que cada etapa agrega una capa de encriptación u oscuridad. Tener un nivel elevado de privilegios puede otorgar acceso para hacer cosas como desinstalar la aplicación antivirus, dejando el sistema completamente desprotegido. Con una combinación de ingeniería social y medios técnicos, es muy posible ocultarse en un sistema, extraer datos o instalar ransomware. Lo que es aún más aterrador es que gran parte de este proceso se puede automatizar y escalar.
Por último, verificamos las características específicas del ransomware. En muchos casos, las aplicaciones de protección contra ransomware registrarán e intentarán detectar cambios en los archivos que parecen ransomware. En la mayoría de los casos, se utiliza el aprendizaje automático (ML) en este proceso, ya que hay muchas aplicaciones que cifran los datos, pero la mayoría de las veces no son maliciosas. Para probar esta funcionalidad, usamos el simulador de ransomware de KnowBe4 (Se abre en una ventana nueva) Ransim y una copia en vivo de WannaCry en una red aislada por seguridad. luego verificamos cuánto tiempo tomaría detectar y tratar la carga útil. Además, si se realizó algún cifrado, entonces validamos si los archivos se pueden revertir o no.
El ransomware es algo peligroso pero en gran medida evitable. Al someter su red a escaneos de seguridad y pruebas de penetración regulares, practicar buenos hábitos de seguridad y capacitar a sus usuarios, puede eliminar la mayoría de los métodos por los cuales su red puede infectarse. Para la última milla, una de estas protecciones contra ransomware para productos comerciales ciertamente puede ayudarlo a cubrir sus bases.
No Comments