En la actualidad, un ataque de ransomware ocurre cada once segundos, llevando consecuencias graves como la interrupción en la productividad, daños a la marca, pérdida de lealtad de los clientes, entre otros. Esto se resumiría a pérdidas millonarias estimadas por $20 MMD. Además, el costo promedio de un pago de ransomware es de 84 mil dólares y el tiempo promedio por inactividad durante un incidente de ransomware es de 16.2 días, esto, según el estudio Resurgimiento del ransomware, cómo fortalecer sus defensas más allá del perímetro de Guardicore.
Oswaldo Palacios, Director de Ingeniería de ventas para México y LATAM de Guardicore, dado al gran aumento de ciberataques de ransomware en los últimos años, opinó que una de las debilidades en las estrategias de ciberseguridad de organizaciones que son más aprovechadas por los atacantes es la falta de visibilidad este-oeste en los centros de datos.
Los movimientos laterales pocas veces son detectados oportunamente, lo cual es bien sabido por los desarrolladores de ransomware, quienes continuamente aprovechan las adolescencias de seguridad y obtienen acceso a activos críticos por la falta de visibilidad y segmentación.
Explicó que un ejemplo sencillo de un ataque por ransomware comienza en el momento en que un usuario infecta su computadora haciendo clic en una pieza de malware. Este código le da al atacante un punto de partida para el movimiento lateral hacia sistemas más sensibles. Sin que nada los detenga, pueden lanzar ransomware sin restricciones en todo el entorno.
Estos atacantes toman el controlador de dominio, comprometen las credenciales, luego encuentran y cifran la copia de seguridad para evitar que el operador restaure los servicios congelados.
El experto de Guardicore menciona que la forma más usada para la propagación del ransomware en una compañía continúan siendo el correo electrónico, al tener debilidades propias del protocolo, es sencillo confundir al usuario diciendo que tiene un paquete pendiente de entrega, una compra rechazada, incluso algunos emails vienen con mensajes tales como tu pareja te engaña y aquí tengo las pruebas. Al dar clic en el enlace, el usuario no sabe que está instalando un software de cifrado con el cual su información será secuestrada, o en otros casos, abre la puerta para que el ataque llegue a activos críticos y el daño sea aún mayor.
Oswaldo Palacios detalló algunas técnicas comunes para introducir y propagar malware:
- Correos electrónicos. Estos correos electrónicos pueden ser generales o involucrar tácticas de spear phishing que adaptan el contenido a una organización o persona específica, con la esperanza de que provoque una interacción, como abrir un archivo adjunto o hacer clic en un enlace, y brindar a los malos actores un vehículo para entregar malware.
- URL maliciosas. Las URL maliciosas aparecen comúnmente en campañas de phishing, pero también pueden estar incrustadas en un sitio web o en cualquier lugar en el que un usuario pueda hacer clic. En el caso del ransomware, después de que el objetivo interactúa con la URL, el malware a menudo intentará auto instalarse en la máquina de la víctima, donde puede comenzar a propagarse y extenderse a múltiples activos.
- Protocolo de escritorio remoto. El uso de la infraestructura de escritorio virtual (VDI) se ha convertido en una superficie de ataque de rápido crecimiento. Un riesgo significativo de VDI incluye el hecho de que toda la infraestructura y las aplicaciones a menudo se encuentran en el mismo servidor. Si un atacante puede introducir software malicioso con éxito, puede resultar complicado detectarlo hasta que sea demasiado tarde.
Según Oswaldo Palacios, los directorios activos y aplicaciones críticas son los puntos más atacados ya que ahí se encuentra la información de los usuarios y sus permisos, accesos y privilegios dentro de la compañía. Cuando un atacante ha tomado posesión del directorio activo se comprometerán los accesos de los usuarios a las aplicaciones del negocio, causando una afectación total o parcial en la operación.
Organizaciones de todos tamaños e industrias corren el riesgo de sufrir un gran ataque de ransomware; las compañías que recibirán más atacadas son aquellas que tengan información valiosa susceptible de ser cifrada y por la que se pueda pedir un rescate en dinero o bitcoins.
Aseguró Oswaldo Palacios que una de las mejores defensas contra el ransomware es el evitar el movimiento lateral dentro de su perímetro, también, agregó que esto puede ser difícil de realizar para el tráfico de este a oeste con firewalls tradicionales. Además, si bien se puede lograr cierta segmentación utilizando VLAN, a menudo es amplio y no es exactamente el enfoque más ágil cuando necesita aislar activos sobre la marcha, como en el caso de una infracción exitosa.
No puedes proteger lo que no puedes ver; por lo tanto, las compañías necesitan una herramienta que les brinde una completa visibilidad de todas las comunicaciones del centro de datos, no solo entrantes o salientes del perímetro, sino las que existen dentro de las redes y que al no ser visibles por los firewalls pueden resultar en amenazas moviéndose lateralmente”.
Oswaldo Palacios, Director de Ingeniería de ventas para México y LATAM de Guardicore
Finalmente, el directivo aseguró que existen herramientas de ciberseguridad que cuentan con visibilidad a nivel de proceso dentro de los servidores y se pueden hacer segmentos tan pequeños como permitir o denegar la comunicación entre procesos de un activo.