Ransomware – continúa firme y sin final a la vista
La prevención de los ataques de ransomware es la prioridad para todos, desde administradores de TI, CISO, directores ejecutivos hasta gobiernos. Y si bien no es un problema nuevo, una serie implacable de exitosos y devastadores ataques de ransomware ha vuelto a centrar la atención del mundo en él. Al mismo tiempo, los actores de las amenazas solo se vuelven más sofisticados cada día, lo que hace que sea más importante que nunca que las empresas desarrollen una estrategia integral de prevención y protección, antes de que se produzcan daños irreparables.
En marzo de 2021, un ataque de ransomware contra el sistema de las Escuelas Públicas de Buffalo en Nueva York hizo que el distrito cerrara por una semana. Ese mes, un fabricante de PC con sede en Taiwán también fue atacado y se exigió un rescate de US$50 millones. CNA, una de las compañías de seguros más grandes de los EE.UU., se vio afectada por un ataque de ransomware, y según Bloomberg, pagó un rescate de US$40 millones. Los Servicios de Salud Pública de Irlanda cierran sus sistemas de TI como resultado de un ataque de ransomware que provoca una interrupción importante de sus servicios de salud. Esta tendencia persistió, con el ataque de Colonial Pipeline que interrumpió el suministro de combustible a gran parte de la costa este de EE.UU. Durante varios días, y en JBS, un importante fabricante de carne vacuna de EE.UU., que detuvo las operaciones durante unos días. La lista sigue.
En respuesta a este aumento sin precedentes de los ataques de ransomware, el Gobierno de Estados Unidos emitió una Orden Ejecutiva para Mejorar la Ciberseguridad de la Nación, y se está reuniendo un grupo de trabajo interinstitucional para desarrollar una respuesta integral a los ataques de ransomware desenfrenados contra las empresas y el gobierno de Estados Unidos. La respuesta incluye el desarrollo de capacidades para identificar, disuadir, proteger, detectar y responder a ataques de ransomware. Las contramedidas incluyen tácticas como interrumpir activamente las operaciones criminales cibernéticas responsables de ataques de ransomware, abordar el uso de criptomoneda para pagar el rescate y exigir mejores enfoques de seguridad para frustrar los ataques, incluyendo la adopción de Zero Trust Architecture.
Cómo obtienen los atacantes el acceso inicial
Para evitar un ataque ransomware y la mayoría de los otros ataques de malware en ese caso, los defensores deben evitar los intentos de los atacantes de establecer un punto de apoyo en la red. Por lo tanto, la prevención, detección y corrección de la seguridad de los endpoints se convierte en una estrategia crucial.
En términos generales, los atacantes suelen utilizar una de las dos tácticas para obtener acceso inicial a una red:
1) Explotación satisfactoria de una vulnerabilidad en la red de sus víctimas: Aprovechar una vulnerabilidad significa encontrar un defecto de software o un error que se pueda manipular para implementar código malintencionado, o descubrir una configuración incorrecta que dé a un atacante un punto de entrada para implementar código. Estas vulnerabilidades pueden ocurrir a través de una configuración incorrecta de los recursos de la nube, por ejemplo, o a través de dependencias de terceros, lo que puede conducir a un ataque a la cadena de suministro .
2) Acceso no autorizado a una cuenta válida: El acceso no autorizado a una cuenta válida se consigue robando credenciales a una cuenta de usuario a través de ingeniería social.
Las organizaciones que lidian con paquetes de seguridad heredados y las estrategias de ayer están luchando para mantener sus datos seguros en un mundo donde los ataques de software ransomware proliferan a través de una accesibilidad más fácil. Sin cambiar su enfoque, los atacantes con recursos seguirán encontrándose vulnerabilidades que explotar y usuarios que engañar.
Prevención de riesgos a través de un enfoque de varios niveles
La identidad de próxima generación y la protección de endpoints basada en IA ofrecen una mejor solución contra el ransomware. Las soluciones tradicionales de generación anterior, como la autenticación basada en contraseñas o la protección de endpoints basada en firmas AV, tienen graves deficiencias en la detención del ransomware actual. Puesto que el punto de prevención es detener la infiltración inicial, analicemos específicamente cómo estas soluciones de seguridad modernas pueden ofrecer nuevas armas en la lucha contra el ransomware.
Táctica #1: Implementar autenticación de usuario resistente a ataques
Muchos ataques exitosos de ransomware se afianzan inicialmente en la red de su víctima al descifrar o robar credenciales pertenecientes a una cuenta válida. Para evitar esto de forma eficaz, se necesitan credenciales de autenticación de usuario robustas, credenciales difíciles de adivinar, descifrar o robar.
Por ejemplo, en el exitoso ataque a principios de este año contra Colonial Pipeline, el acceso a una cuenta válida proporcionó a los atacantes acceso inicial. Del mismo modo, el punto de entrada de ataque para MAZE y otros ransomware operados por humanos es a menudo una contraseña robada a un sistema de acceso a Internet a través de RDP o el inicio de sesión en una cuenta del portal web de Citrix con una contraseña débil.
Los enfoques tradicionales de autenticación de varios factores (MFA) ayudan a abordar las vulnerabilidades de seguridad inherentes a las contraseñas, pero siguen basándose fundamentalmente en algo que un usuario humano debe recordar y saber, y los enfoques basados en el teléfono no son 100% seguros. Y lo que es más importante, la seguridad adicional de MFA conlleva costos significativos de poseer y operar la solución, lo que provoca una considerable preocupación para el usuario.
MFA sin contraseña evita el robo de credenciales y hace que adivinar contraseñas sea una imposibilidad para los atacantes. MFA sin contraseña utiliza varios factores de autenticación, pero excluye las contraseñas tradicionales. Los factores de autenticación más utilizados para MFA sin contraseña son el dispositivo móvil registrado del usuario, junto con un PIN o huella dactilar de usuario a través del sensor de huella dactilar integrado en el dispositivo. Al eliminar la necesidad de contraseñas tradicionales, la seguridad se mejora de forma inmediata e inherente, la experiencia del usuario se simplifica y se contienen los costos.
Táctica #2. Detección inmediata, cuarentena y eliminación de ransomware
De manera realista, contar con medidas preventivas no garantiza que los atacantes nunca penetren el perímetro y obtengan acceso al dispositivo de un usuario. La siguiente mejor línea de defensa es un mecanismo autónomo de protección, detección y respuesta a la velocidad de la máquina que puede detectar y contener actividades sospechosas a nivel de endpoints, antes de que se produzca cualquier pérdida de datos, pérdida financiera o inversión de tiempo.
Las modernas soluciones de detección y respuesta ampliadas (XDR) supervisan los procesos locales en tiempo real y analizan sus comportamientos en detalle, lo que permite identificar código malintencionado con una especificidad muy alta y tomar medidas de mitigación inmediatas. De esta forma, el ataque se detiene en el momento en que comienza —antes de que los actores de la amenaza puedan acceder a sus objetivos deseados—, ya sea ejecutado desde la memoria local o de forma remota.
Desde un punto de vista técnico, las opciones de mitigación varían: el sistema puede eliminar el origen del código, eliminar todos los procesos relevantes, poner en cuarentena archivos sospechosos o desconectar el endpoint afectado de la red, dependiendo de las circunstancias y las políticas organizativas.
Detener un ataque en curso es la tarea más importante de cualquier solución XDR, pero su función no se detiene allí. Después de tomar medidas críticas para detener un ataque en curso, los equipos de TI y seguridad deben obtener una visión forense detallada que incluya una línea de tiempo de la actividad del malware, su punto de entrada y vector de ataque, y una lista de todos los archivos y redes afectados. A continuación, los administradores pueden analizar el ataque para prepararse mejor para futuras amenazas y proporcionar a sus supervisores, a las fuerzas del orden público y a las aseguradoras todos los datos relevantes.
Táctica #3. Reducir los cambios del ransomware
El tercer elemento de este enfoque multicapa, y quizás el más crucial para los afectados por el software de rescate, es la capacidad de retroceder el reloj y restaurar todos los activos y configuraciones a su estado original antes del ataque. Este paso crítico permite una recuperación rápida y garantiza una continuidad completa del negocio, independientemente de la amplitud y profundidad de un ataque.
Es posible que el componente de detección no detecte y bloquee automáticamente el malware desconocido anteriormente o las nuevas tácticas de ataque, por lo que deshacer sus acciones es la única protección que queda. Además, el peligro no se limita a que los archivos se cifren o eliminen. El malware también puede cambiar los permisos de acceso y las configuraciones de seguridad que se pueden aprovechar en ataques posteriores.
Estos ataques de varios pasos suelen ser utilizados por piratas informáticos dirigidos a redes corporativas e infraestructura pública, y representan una amenaza especialmente peligrosa. En estas campañas a largo plazo, la primera etapa a menudo se destina sólo a plantar las semillas, por así decirlo, para facilitar la ejecución de ataques en fechas específicas, como vacaciones o en torno a eventos empresariales importantes. De esta manera, los atacantes sorprenden a sus víctimas y capitalizan su falta de preparación, dejándolas sin más opción que pagar la cantidad total del rescate.
La reversión automática de todos los cambios ejecutados por códigos maliciosos o sospechosos, no importa lo pequeños que sean, proporciona a los administradores una red de seguridad, protegiéndolos y a todo el dominio de las graves consecuencias de los ciberataques exitosos.
Una amplia pila de seguridad para la prevención de ransomware
En resumen, el objetivo clave para los arquitectos y defensores de la ciberseguridad de las redes empresariales es la prevención, y cuando se trata de ransomware, la prevención consiste en negar a los atacantes el acceso inicial a cualquier parte de la empresa. Una estrategia completa incluye hacer que los ataques de autenticación de usuarios sean resistentes, detectar y eliminar inmediatamente las amenazas y, por último, revertir todas las acciones realizadas por los atacantes y su malware en ataques indetectables. Lee acerca de Las 7 maneras comunes que ransomware puede infectar su organización en el libro electrónico de SentinelOne.
Todo comienza con el endpoint y las capacidades de seguridad intrínseca de ese endpoint. ThinkShield de Lenovo incorpora funciones de seguridad de la cadena de suministro y de seguridad por debajo del sistema operativo. SentinelOne y Secret Double Octopus se han asociado con Lenovo para ofrecer un enfoque multicapa de la seguridad del software de rescate y proteger mejor a las empresas. La plataforma XDR líder de SentinelOne, Singularity™, realiza veredictos y actúa en tiempo real para detener la entrega de ransomware en los extremos de carga de trabajo de nube y de usuario final. La plataforma Passwordless Enterprise de Double Octopus hace imposible que los atacantes utilicen credenciales brutes forzadas o robadas para afianzarse en la red al eliminar la dependencia de las contraseñas y la débil memoria de los usuarios para la autenticación. La combinación proporciona una solución conjunta muy atractiva que puede reforzar la estrategia de defensa de la superficie de ataque de su organización