Conviviendo con el Ransomware

Conviviendo con el Ransomware

Eduardo Bello – Director Regional de Ventas para LATAM y el Caribe de Hillstone Networks, nos realiza la siguiente entrega: Conviviendo con el Ransomware

Lima, Perú, 31 de Marzo del 2020.— Muchas veces hemos leído acerca de lo rentable que se ha convertido el ransomware, este malware que amenaza constantemente la seguridad empresarial en todo el planeta. Hoy, hace más evidente su efectividad ya que en nuestra coyuntura, diversas empresas continúan operaciones a través de sus colaboradores conectados desde casa.

Los ciberdelincuentes hoy buscan infectar donde las defensas están menos robustas, cuando el empleado se conecta a través de las redes Wifi de su hogar, cuando algún familiar ocupa el computador para una rápida búsqueda o el hijo quiere jugar un momento mientras nadie la está usando y descarga o da clic a un enlace.

Lo que hace el ransomware es bloquear los sistemas de las empresas mediante el cifrado de datos críticos, ofreciendo posteriormente el atacante descifrar la data después de que la víctima pague un rescate monetario, siendo estafado, porque incluso muchas veces es imposible de recuperar aún pagando.

Con el rápido aumento de los ataques de ransomware, las empresas y las organizaciones tienen dificultades para encontrar e implementar soluciones de seguridad viables que puedan detectar y mitigar estos ataques en forma temprana, rápida y efectiva antes de que puedan causar daños. Una razón por la que esta amenaza se ha vuelto tan generalizada y efectiva es la facilidad con la que los ciberdelincuentes pueden adquirir y aprovechar las herramientas de ransomware, pues, el código fuente del mismo está fácilmente disponible en algunos sitios en Internet.

Una vez infectados, los propietarios pueden elegir contratar profesionales de seguridad para desinfectar sus sistemas. Desafortunadamente todo el proceso puede tomar horas, días o semanas, a un costo que probablemente sea mucho más alto que el rescate exigido por los atacantes. Es por eso que tantos propietarios de negocios simplemente pagan el rescate para que puedan volver a trabajar tan pronto como sea posible, siendo en la mayoría de las veces —por no decir todas— imposible de recuperar, a menos que cuenten con un backup.

¿Y por qué el ransomware es una explotación tan rentable y en rápido crecimiento? Vamos a ver el ejemplo del Locky Ransomware Attack, que es una de tipo de ataque más prevalentes en Internet. Un ataque típico de Locky Ransomware realiza una serie de pasos para paralizar los sistemas y extraer el rescate. El atacante envía correos electrónicos no deseados con archivos adjuntos maliciosos a decenas de miembros del personal de su organización.

Gracias a las sofisticadas tácticas de ingeniería social del atacante, una o más víctimas son engañadas para que hagan clic y ejecuten el archivo adjunto. La carga maliciosa del archivo adjunto se ejecuta, se conecta a un servidor de alojamiento de Ransomware a través de Internet y descarga una copia en la red corporativa. Al ejecutarse, se instala en secreto en la red y se comunica con un servidor de comando y control (CnC) a través de Internet para recuperar una clave de cifrado, que utiliza para cifrar archivos locales críticos y carpetas compartidas de la red. Una vez que se completa el cifrado, abre una ventana en el sistema del usuario y exige un rescate a cambio de recuperar los archivos cifrados.

No obstante, no todo está perdido, los firewalls inteligentes de próxima generación (iNGFW, por sus siglas en inglés) se constituyen como una solución que emplea una defensa de múltiples capas, con una arquitectura única para detectar y mitigar el Ransomware antes de que pueda causar daños a la empresa.

La defensa en capas de iNGFW aprovecha varios motores de seguridad de alto nivel para protegerse contra las amenazas de Ransomware: antivirus (AV), sistema de prevención de intrusiones (IPS), detección avanzada de amenazas (ATD), detección de comportamiento anormal (ABD) y detección de reputación (RPD) y así sucesivamente.

Así, con su defensa en capas, los Intelligent Next-Generation Firewall pueden detectar y mitigar incluso las variantes de Ransomware más sofisticadas y en rápida evolución, en cualquiera o en todas las etapas de ataque, incluida la violación posterior.

Sin duda este panorama da pie a nuevos retos que tendrán que enfrentar los responsables de seguridad informática para proteger las conexiones de teletrabajo que se vienen implementando de manera exponencial. También se convierte en un llamado a que los usuarios aprendan y estén más atentos a estos ataques, para evitarlos.

Share