Cuatro Técnicas para Detección de Ransomware

 

El 27% de los incidentes de malware notificado en 2020 fue atribuido al ransomware, el cual de acuerdo con la  consultora Gartner tiene un impacto mayor en una organización que una filtración de datos. Pronósticos de  Cybersecurity Venture, apuntan que cada 11 segundos una empresa será víctima de un ataque de ransomware a  nivel mundial en 2021. Los atacantes del ransomware están demostrando ser una amenaza continua para la  ciberseguridad.

 

A decir de Avishag Daniely, Analista Senior de Ciberseguridad en Guardicore, un ataque de ransomware comienza  generalmente por un correo electrónico de phishing o una vulnerabilidad en el perímetro de la red; el malware  comenzará a moverse a través de la red e intentará potencializar el daño. Los delincuentes buscan tomar el mando de un controlador de dominio, comprometer las credenciales y ubicar y cifrar las copias de seguridad existentes  para evitar que los servicios infectados sean restaurados.

 

Oswaldo Palacios, Director de Ingeniería de Ventas en Guardicore para México y Latinoamérica, precisó que los  ciberdelincuentes siguen usando ingeniería social ya que apelan a la curiosidad humana, este tipo de ataques en  su mayoría vienen ocultos en correos electrónicos con títulos interesantes como: “Aquí está el número de guía de  su envío”, “Te mando las fotos de las vacaciones pasadas”, “Tu pareja te engaña, aquí las pruebas”. Por supuesto,  el usuario al dar clic en el enlace falso lo que hace es instalar un programa para cifrar información y conectarse a  un servidor controlador para culminar con el mensaje de secuestro de información y respectivo pago en caso de  querer de vuelta los datos.

 

Si bien, cualquiera puede ser objetivo del ransomware, el directivo indicó que la mayoría de los ataques de  ransomware continúan estando dirigidos a personas clave de las organizaciones y equipos de trabajo que pueden  contener información valiosa, o a través de ellos se puede llegar a activos críticos. Una vez comprometida la PC  del usuario, el atacante se puede mover dentro de la red en busca de activos con información valiosa, como  servidores de datos, por ejemplo.

 

Avishag Daniely aseguró que cualquier empresa que pueda detectar y bloquear el movimiento lateral no  autorizado al principio de la cadena de ataque estará en una mejor posición para reducir el impacto del  ransomware y otras amenazas similares. “La tecnología obsoleta y las estrategias de defensa que se centran  únicamente en los perímetros y los puntos finales no son suficientes para detener las campañas de ransomware  en evolución”, aseguró la analista.

 

En ese sentido, Oswaldo Palacios dijo que existen herramientas que otorgan visibilidad completa de qué sucede  en la red y pueden crear políticas de microsegmentación a nivel de proceso, de tal forma que se tiene una  detección proactiva de las amenazas en una etapa temprana. Lo mejor es incorporar una solución de  ciberseguridad que pueda mitigar todas las etapas de evolución del ransomware, desde que se ejecuta, conecta  al servidor controlador, descarga una llave para cifrar información, etcétera.

 

La detección temprana es clave, y más cuando el ransomware puede costar a las empresas millones de dólares,  por ello lograr una detección rápida permitirá actuar con rapidez y detener un ataque al principio de la cadena de  eliminación antes de que se propague dentro de la red y afecte a las aplicaciones y servicios críticos. Para detectar  con éxito un ataque antes de que sea demasiado tarde, Avishag Daniely sugirió cuatro técnicas para la detección  temprana de ransomware:

 

✓ Fuerte visibilidad. Comprender la actividad del tráfico de este a oeste en la red ofrece una idea del movimiento  lateral no autorizado a medida que cualquier ransomware intente propagarse. La alta visibilidad también permitirá identificar posibles vectores de ataque a aplicaciones críticas de TI.

✓ Políticas de segmentación. La configuración de políticas de segmentación para alertar de cualquier actividad  fuera de la rutina brinda una advertencia temprana de actividad inusual, para investigar y tomar medidas si es  necesario.

✓ Sistemas de detección de intrusos (IDS) y herramientas de detección de malware. Ayudan a detectar los  intentos de propagación de los operadores de ransomware, ya sea que esto signifique el uso de reglas y firmas  predefinidas para exploits conocidos o una detección de anomalías más general o automatizada. Por ejemplo, los  IDS detectan tráfico ilegítimo haciendo uso de patrones, que, de cumplirse, harían saltar las alarmas.

✓ Técnicas basadas en la decepción o el engaño. Se construyen y distribuyen, trampas y señuelos virtuales en  redes corporativas para atrapar y detener hackers antes de que logren hacer daño como pedir un rescate por los  datos. Configurar señuelos, honeypots o una plataforma de engaño distribuida que pueda identificar movimientos  laterales no autorizados también puede ser una forma eficaz de descubrir una infracción activa en curso.

 

Finalmente, Oswaldo Palacios recomendó incorporar herramientas que apoyen el “Zero Trust” o confianza cero lo cual ayuda mucho a cerrar las brechas de seguridad, y a través de una segmentación definida por software es  posible tener un panorama claro de cómo se comunican las aplicaciones entre ellas y con su entorno. “Hacer una  microsegmentación y conocer exactamente qué procesos se están ejecutando en un servidor sin importar qué  sistema operativo tenga o dónde se encuentre es vital para una estrategia de mitigación de amenazas exitosa”.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *