Los actores de ransomware han sido una amenaza persistente durante años que continúan en evolución, la amplia adopción de tecnologías avanzadas en ciberseguridad y la mejora en los procesos de respuesta contra el ransomware, han limitado el éxito de los ataques de ransomware tradicionales. Pero, gracias a la seguridad mejorada, los ciberdelincuentes se han visto obligados a desarrollar mejores estrategias y han encontrado un nuevo camino llamado “ataques de ransomware modernos”, a continuación detallamos el desarrollo de este tipo de ataques y cómo las organizaciones lo pueden prevenir.
¿Qué es un ataque de ransomware moderno?
Los actores modernos de ransomware identifican y se dirigen a los datos valiosos del usuario, donde en lugar de cifrar sus datos, los sustraen de la red corporativa a la cual la víctima está conectada, esto les da otra vía para una extorsión en la cual si una víctima no paga el rescate, el atacante puede amenazar con publicar los datos privados que han sido robados a través de la red corporativa del usuario.
Para las empresas que tienen datos de propiedad intelectual, información patentada, datos de empleados privados y datos de clientes, esta es una preocupación seria. Cualquier fuga de datos conlleva a sanciones reglamentarias, demandas y daños a la reputación de la empresa.
Otra característica importante del ransomware moderno es que los actores son más precisos y están más involucrados en el ataque, se apoderan de las redes en múltiples etapas las cuales son supervisadas por humanos, alejándose de las actividades automáticas, como por ejemplo hacer clic en un enlace. También dedican un tiempo considerable a investigar las diferentes partes de la red de la víctima (un proceso que puede tardar semanas o meses) antes de ejecutar la carga útil del ransomware, lo que hace que dichos ataques se parezcan más a un APT (ataques de amenaza persistente avanzada), que a un incidente de ransomware tradicional.
Nefilim, un caso de ransomware moderno
El desglose de las herramientas, tácticas y procesos de Nefilim, son un claro ejemplo de ransomware moderno en el que se revelan características importantes con respecto al modus operandi de dicho incidente:
- El acceso de Nefilim a la red, a menudo implica el uso de credenciales débiles en servicios expuestos o externos y en algunos casos, en vulnerabilidades críticas.
- Una vez dentro del entorno de la víctima, los atacantes encuentran sistemas importantes en la red que les permite obtener datos confidenciales para robar y cifrar. También utilizan sistemas importantes como puntos de partida para seguir encontrando datos más críticos.
- Los atacantes instalan un sistema de llamada a domicilio utilizando el software Cobalt Strike.
- En el momento que los atacantes encuentran datos interesantes para robar, proceden a filtrarlos, los datos extraídos se pueden publicar en sitios web ocultos detrás de los servicios Tor y las redes fast flux.
- Cuando el atacante está listo, lanza la carga útil del ransomware de manera manual para cifrar los datos con el fin de solicitar un rescate.
- Los actores de Nefilim apuntan a empresas multimillonarias de alto perfil ubicadas en todo el mundo.
Se puede ver que los afiliados de ransomware modernos pueden encontrar diferentes formas de ingresar a las grandes empresas a través de agentes de acceso logrando extraer grandes cantidades de datos valiosos y luego tratar de extorsionar a las víctimas de diversas formas. Operaciones como estas están impulsadas por programas de afiliados evolucionados que brindan a los actores de ransomware un arsenal considerable: software personalizable, tecnologías nuevas y fácilmente disponibles para una mejor selección de víctimas y mejores vías de colaboración.
¿Cómo defender las redes corporativas?
El cambio en el modelo comercial de ransomware ha permitido que el ransomware moderno sea aún más efectivo y destructivo, nosotros proporcionamos recomendaciones de seguridad a toda la organización, incluyendo el uso de herramientas y tecnologías de detección y respuesta de capas cruzadas, con el fin de ayudar a las empresas a formular una estrategia que ayudará a prevenir y mitigar los efectos de los ataques de ransomware modernos dentro de la red corporativa.
Para evitar ser víctimas de este tipo de ataque que diariamente tiene un crecimiento exponencial, Trend Micro presenta una serie de soluciones que serán de gran ayuda y evitarán que empresas y corporaciones caigan en esta red de delincuencia, una de las soluciones más completa que podría convertirse en su mejor aliado es XGen Security.
Cuatro capas de seguridad. Si bien no existe una solución milagrosa para el ransomware, si es necesario implementar un método de varias capas con distintas prioridades para lograr la mejor mitigación del riesgo.
Protección del correo electrónico y de la web. Los correos electrónicos de phishing son la forma más común que tiene el ransomware de acceder a una organización, y la seguridad avanzada del correo electrónico es la capa más efectiva para detener estos ataques.
Protección de puntos de conexión. Cuando el ransomware consigue llegar a sus puntos de conexión, XGen Security ofrece varias capacidades que lo detienen, incluido el análisis conductual y machine learning de alta fidelidad.
Aunque existen desafíos y complejidades para proteger a las organizaciones de este tipo de amenazas, los eventos recientes muestran que incluso las familias de malware más avanzadas pueden ser derribadas, puesto que la ciberseguridad también evoluciona de manera constante y siempre encuentra nuevas formas de defenderse a través de las herramientas y soluciones indicadas.
