Ransomware: sigue siendo fuerte y sin final a la vista
La prevención de ataques de ransomware es una prioridad para todos, desde administradores de TI hasta directores de seguridad de la información (CISO), directores ejecutivos y gobiernos. Además, aunque no es un problema nuevo, una serie implacable de ataques de ransomware exitosos y devastadores ha atraído la atención del mundo. Simultáneamente, los agentes de las amenazas se vuelven más sofisticados cada día, lo que hace que sea más crítico que nunca que las empresas desarrollen una estrategia integral de prevención y protección, antes de que se produzcan daños irreparables.
En marzo del 2021, un ataque de ransomware en el sistema de Escuelas Públicas de Buffalo en Nueva York, afectó todo el distrito escolar durante una semana. Ese mes, un fabricante de PC con sede en Taiwán también fue atacado y los atacantes exigieron un rescate de 50 millones de dólares. CNA, una de las compañías de seguros más grandes de EUA, sufrió un ataque de ransomware y, según Bloomberg, pagó un rescate de 40 millones de dólares a los perpetradores. Los Servicios de Salud Pública Irlandeses tuvieron que apagar sus sistemas de TI como resultado de un ataque de ransomware, lo que causó una interrupción importante en sus servicios de salud. Esta tendencia continuó con el ataque a Colonial Pipeline que interrumpió el suministro de combustible a gran parte de la Costa Este de EUA durante varios días, y a JBS, un importante fabricante de carne de vacuno de EUA., que paralizó las operaciones por algunos días. La lista continúa.
En respuesta a este aumento sin precedentes de los ataques de ransomware, el gobierno de los EUA emitió una Orden Ejecutiva para mejorar la seguridad cibernética de la nación y se está reuniendo un grupo de trabajo interinstitucional para desarrollar una respuesta integral a los ataques desenfrenados de ransomware contra las empresas y el gobierno de los EUA. La respuesta incluye el desarrollo de capacidades para identificar, prevenir, proteger, detectar y responder a los ataques de ransomware. Las contramedidas incluyen tácticas como interrumpir activamente las operaciones delictivas cibernéticas responsables de los ataques de ransomware, abordar el uso de criptomonedas para pagar rescates y exigir mejores enfoques de seguridad para disuadir los ataques, incluida la adopción de la Arquitectura de Confianza Cero.
Cómo obtienen los atacantes el acceso inicial
Para prevenir un ataque de ransomware y la mayoría de los otros ataques de malware, los defensores deben evitar los intentos de los atacantes de establecer un punto de apoyo en la red. De esta manera, la prevención, detección y remediación de la seguridad de los terminales se convierte en una estrategia crucial.
En términos generales, los atacantes suelen utilizar una de las siguientes dos tácticas para obtener acceso inicial a una red:
1) Explotar con éxito una vulnerabilidad en la red de la víctima: Explotar una vulnerabilidad significa encontrar un defecto o error de software que pueda manipularse para implementar un código malicioso, o descubrir una configuración incorrecta que le dará a un atacante un punto de entrada para implementar el código. Estas vulnerabilidades pueden ocurrir por medio de la configuración incorrecta de los recursos de la nube, por ejemplo, o por medio de dependencias de terceros, lo que puede llevar a un ataque a la cadena de suministro.
2) Obtener acceso no autorizado a una cuenta válida: El acceso no autorizado a una cuenta válida se obtiene al robar las credenciales para una cuenta de usuario por medio de la ingeniería social.
Los defensores sobrecargados con paquetes de seguridad heredados y estrategias del pasado están teniendo dificultades para mantener sus datos seguros en un mundo en el que los ataques de ransomware proliferan por medio de una accesibilidad más fácil. Sin cambiar su enfoque, los atacantes ingeniosos continuarán identificando vulnerabilidades que explotar y usuarios que engañar.
Previniendo la adversidad por medio de un enfoque de múltiples capas
La protección de identidades y de terminales basada en IA de última generación ofrece una mejor solución contra el ransomware. Las soluciones tradicionales de la generación anterior, como la autenticación basada en contraseña o la protección de terminales basada en firmas antivirus, tienen serias deficiencias para detener el ransomware moderno. Dado que el objetivo de la prevención es evitar la infiltración inicial, vamos a analizar específicamente cómo estas soluciones de seguridad modernas pueden ofrecer nuevas armas en la lucha contra el ransomware.
Táctica 1: Implementar una autenticación de usuario resistente a ataques
Muchos ataques exitosos de ransomware obtienen su base inicial en la red de la víctima al descifrar o robar las credenciales que pertenecen a una cuenta válida. Para evitar esto de manera efectiva, se requieren sólidas credenciales de autenticación de usuario robustas, credenciales difíciles de adivinar, descifrar o robar.
En el ataque exitoso a principios de este año a Colonial Pipeline, por ejemplo, el acceso a una cuenta válida proporcionó acceso inicial a los atacantes. Asimismo, el punto de entrada del ataque para el MAZE y otros tipos de ransomware operados por humanos suele ser una contraseña robada por un sistema orientado a internet accedido por RDP o iniciando sesión en una cuenta del portal web de Citrix con una contraseña débil.
Los enfoques tradicionales de autenticación multifactor (MFA) ayudan a resolver las vulnerabilidades de seguridad inherentes a las contraseñas, pero aún dependen fundamentalmente de algo que un usuario humano debe recordar y saber, y los enfoques basados en teléfono no son completamente seguros. Aún más importante, la seguridad adicional de MFA surge con costos significativos para adquirir y operar la solución, lo que genera una ansiedad significativa en los usuarios.
La MFA sin contraseña evita el robo de credenciales y hace imposible que los atacantes descubran las contraseñas. La MFA sin contraseña utiliza múltiples factores de autenticación, pero excluye las contraseñas tradicionales. Los factores de autenticación más utilizados para la MFA sin contraseña son el dispositivo móvil registrado del usuario, junto con un PIN o la huella digital del usuario por medio del sensor de huellas dactilares integrado al dispositivo. Al eliminar la necesidad de las contraseñas tradicionales, la seguridad mejora de forma inherente e inmediata, la experiencia del usuario se simplifica y los costos se reducen.
Táctica 2. Detectar, poner en cuarentena y eliminar el ransomware de inmediato
Siendo realistas, contar con medidas preventivas no garantiza que los atacantes nunca se infiltren en el perímetro y obtengan acceso al dispositivo de un usuario. Su siguiente mejor línea de defensa es un mecanismo autónomo de protección, detección y respuesta a la velocidad del equipo que puede detectar y contener actividades sospechosas a nivel del terminal, antes de que ocurra cualquier pérdida de datos, pérdida financiera o inversión de tiempo.
Las soluciones de detección y respuesta extendidas (XDR) modernas monitorean los procesos locales en tiempo real y analizan sus comportamientos en detalle, lo que permite identificar códigos maliciosos con una especificidad muy alta y tomar medidas de mitigación inmediatas. De esta manera, el ataque se interrumpe cuando comienza —antes de que los agentes de las amenazas puedan acceder a sus blancos previstos—, ya sea que se ejecute desde la memoria de forma local o remota.
Desde un punto de vista técnico, las opciones de mitigación varían: el sistema puede eliminar el código fuente, eliminar todos los procesos relevantes, poner en cuarentena los archivos sospechosos o desconectar por completo el terminal afectado de la red, dependiendo de las circunstancias y de las políticas organizacionales.
Detener un ataque en curso es el trabajo más importante de cualquier solución de XDR, pero su función no termina ahí. Después de tomar medidas críticas para detener un ataque en curso, los equipos de TI y seguridad deben obtener un análisis forense detallado, que incluye una cronología de la actividad del malware, su punto de entrada y el vector de ataque, y una lista de todos los archivos y redes afectados. Así los administradores podrán analizar el ataque para prepararse mejor contra futuras amenazas y proporcionar todos los datos relevantes a sus superiores, autoridades y aseguradoras.
Táctica 3. Revertir los cambios del ransomware
El tercer elemento de este enfoque de varias capas, y quizá el más importante para los afectados por el ransomware, es la capacidad de retroceder en el tiempo y restaurar todos los activos y configuraciones a su estado original antes del ataque. Este paso crítico permite una recuperación rápida y asegura la continuidad completa de los negocios, independientemente de la amplitud y profundidad del ataque.
Algunos tipos de malware anteriormente desconocidos o nuevas tácticas de ataque pueden no ser detectados ni ser bloqueados automáticamente por el componente de detección. Por lo tanto, deshacer sus acciones es la única protección que queda. Además, el peligro no se limita a los archivos cifrados o eliminados. El malware también puede cambiar los permisos de acceso y la configuración de seguridad, lo que puede aprovecharse en ataques posteriores.
Estos ataques de varias etapas son comúnmente utilizados por hackers que tienen como objetivo redes corporativas e infraestructura pública y representan una amenaza particularmente peligrosa. En estas campañas a largo plazo, la primera etapa suele ser solo plantar las semillas, por así decirlo, para facilitar la ejecución de ataques en fechas específicas, como vacaciones o eventos de negocios importantes. De esta forma, los atacantes sorprenden a sus víctimas y aprovechan su falta de preparación, dejándolas sin otra opción que pagar el monto total del rescate.
La reversión automática de todos los cambios realizados por códigos maliciosos o sospechosos, por muy pequeños que sean, brinda a los administradores una red de seguridad, protegiéndolos, así como salvaguardando todo el dominio, de las terribles consecuencias de los ataques cibernéticos exitosos.
Una amplia pila de seguridad para la prevención de ransomware
En resumen, el objetivo principal de los arquitectos de ciberseguridad y de los defensores de las redes corporativas es la prevención y, cuando se trata de ransomware, la prevención significa negar a los atacantes el acceso inicial a cualquier parte de la empresa. Una estrategia integral incluye hacer que la autenticación del usuario sea resistente a los ataques, detectar y eliminar las amenazas de inmediato y, finalmente, revertir todas las acciones tomadas por los atacantes y su malware en ataques indetectables. Lea sobre Las siete formas comunes en que el ransomware puede infectar su organización en el e-book de SentinelOne.
Todo comienza con el terminal y los recursos de seguridad intrínsecos de ese terminal. El ThinkShield de Lenovo incorpora seguridad de la cadena de suministro y recursos de seguridad por debajo del SO. SentinelOne y Secret Double Octopus se han unido a Lenovo para brindar un enfoque de múltiples capas para la seguridad contra ransomware y para proteger mejor a las empresas. La plataforma XDR líder de SentinelOne, Singularity™, emite veredictos y actúa en tiempo real para detener la entrega de ransomware en los terminales de usuarios finales y de carga de trabajo en la nube. La plataforma Passwordless Enterprise de Double Octopus hace imposible que los atacantes usen credenciales forzadas o robadas para obtener una posición en la red, lo que elimina la dependencia de contraseñas y la mala memoria de un usuario para la autenticación. La combinación proporciona una solución conjunta muy atractiva que puede fortalecer la estrategia de defensa de la superficie de ataque en su organización.
