Serie de ciberseguridad para pequeñas y medianas empresas Armour Cybersecurity
¿Qué es Ransomware?
El ransomware es un tipo de software diseñado para cifrar archivos en un dispositivo o computadora, y a menudo se lo denomina malware. Los sistemas que dependen de estos archivos se vuelven inutilizables. Los actores maliciosos luego exigen un pago, generalmente en bitcoins, para descifrar los archivos. En algunos casos, los archivos son robados y eliminados del dispositivo, y luego se exige un pago adicional para recuperar los archivos.
El ransomware es el ciberataque más común, que suele iniciarse mediante tácticas de phishing o aprovechando redes desprotegidas o sin parches. Las pequeñas y medianas empresas (PYME) son los objetivos más convenientes porque carecen de la protección de las grandes organizaciones y no tienen los medios para pagar el rescate.
" Lo malo... " : existen muchos tipos diferentes de ransomware. Lamentablemente, están evolucionando rápidamente en la industria de la ciberseguridad en general, y están tratando de ponerse al día con la "innovación" de los atacantes en torno a qué se puede explotar y cómo se puede explotar para lanzar ataques de ransomware exitosos. A continuación, se muestran algunos ejemplos de los tipos dominantes de ransomware, cada uno con su singularidad. La lista a continuación muestra el ransomware que se dirige especialmente a los segmentos de pymes y pequeñas y medianas empresas:
1. Ryuk
Ryuk es un ransomware muy específico. Generalmente se distribuye a través de correos electrónicos de phishing o mediante credenciales comprometidas para iniciar sesión en los sistemas de la empresa mediante el Protocolo de escritorio remoto. Ryuk encripta los archivos y luego exige un rescate por su liberación. Este tipo de ransomware es el más caro; la demanda de rescate suele superar el millón de dólares. Los delincuentes detrás de Ryuk apuntarán a las empresas que puedan pagar esta cantidad de dinero.
2. Laberinto
El ransomware Maze combina el cifrado de archivos con el robo de archivos. Cuando la víctima se niega a pagar el rescate, Maze recopila datos confidenciales de su computadora antes de cifrarlos; una vez que no se paga la demanda de rescate, estos datos confidenciales se exponen públicamente o se venden al mejor postor. Esta amenaza y la posibilidad de una costosa filtración de datos generalmente presionan a la víctima a pagar el rescate.
3. El mal
El grupo REvil también tiene como objetivo a grandes organizaciones. Compiten con Ryuk por el rescate más caro exigido. Exigieron 800.000 dólares como pago de rescate.
Al igual que Maze, utilizan una doble extorsión: cifran los archivos y los roban. Exigen un rescate para descifrarlos y también exigen un segundo pago para no exponer los archivos robados.
4. Broche de bloqueo
Este ransomware fue desarrollado para cifrar organizaciones rápidamente y evitar que sus dispositivos de seguridad y equipos de TI lo detecten.
5. Querido llanto
DearCry aprovecha vulnerabilidades descubiertas por Microsoft en sus servidores Exchange. Encripta archivos específicos y luego le pide a la víctima que envíe un correo electrónico solicitando instrucciones para desencriptar sus archivos.
6. Lapsos
Lapsus$ es una pandilla sudamericana que tiene como objetivo objetivos de diferentes industrias.
Son conocidos por extorsionar y divulgar amenazas de datos confidenciales cuando las demandas no se cumplen. Utilizan código fuente robado para disfrazar su malware como si fuera confiable.
Etapas típicas de un ataque de ransomware
Cada táctica de ransomware puede ser un poco diferente, pero todas tienen las mismas tres etapas de ejecución.
Etapa 1 - Vectores de infección y distribución
Existen muchas formas de infectarse con ransomware, pero hay algunos vectores específicos que los piratas informáticos prefieren; estos son los más populares:
· Correos electrónicos de phishing
Un correo electrónico malicioso que contiene un enlace a un sitio web fraudulento, en el que puede hacer clic en un enlace que contiene software malicioso, o un correo electrónico con software malicioso adjunto. Si usted o uno de los empleados de su organización cae en esta trampa, el software se descargará automáticamente sin confirmación.
· Protocolo de escritorio remoto
Otro vector de infección popular es la toma de control del Protocolo de escritorio remoto (RDP). En este escenario, el atacante tiene las credenciales del empleado, que puede usar para acceder a su computadora de forma remota, acceder a la red de la organización y tener esta computadora bajo su control total.
Etapa 2 - Cifrado de datos
Una vez que el ransomware se instala y obtiene acceso al ordenador personal o a uno de los sistemas de la organización, intenta realizar un "movimiento lateral" (propagar el malware a otras máquinas de la red). También apunta a las copias de seguridad, que normalmente se eliminan. Una vez que la propagación del malware se completa y ya no se dispone de copias de seguridad, comienza el cifrado de archivos. Los archivos se cifran con el código del atacante y los archivos originales se eliminan y se reemplazan por la versión cifrada. Los piratas informáticos son muy cautelosos con los archivos que cifran para no dañar el sistema operativo.
Etapa 3 – Solicitud de rescate
Una vez que se completa el cifrado, el atacante prepara la demanda de rescate. Si el rescate se paga en su totalidad, el hacker proporciona la clave para descifrar los archivos y restaurar el acceso al dispositivo, con una tasa de éxito de alrededor del 61%. Solo el 4% de los que pagaron el rescate en 2021 recuperaron todos sus datos. Las demandas de rescate suelen tener un límite de tiempo. Si no paga dentro del plazo de la demanda de rescate, la demanda suele duplicarse. Y después de un tiempo, no podrá obtener ninguna clave de descripción. Más que eso, puede verse presionado por el hecho de que los datos se harán públicos si no se realiza el pago.
Estas tácticas de ransomware son las más populares, pero hay muchas formas de extorsionar a una organización y a individuos, por lo que siempre debemos estar alerta y saber cómo reconocer la amenaza. El conocimiento es poder.
“ Lo feo… ” – La situación es realmente “fea”: desde que comenzó la pandemia de COVID-19, los ataques de ransomware se intensificaron y los daños causados por estos se duplicaron.
A continuación se presentan algunas estadísticas sobre el terreno:
· El 66% de las empresas se vieron afectadas por ransomware en 2021
· El 58% de las empresas se recuperaron en más de un mes
· Un mes es el tiempo promedio para recuperarse de un ataque de rescate.
· El 90% de los ataques de ransomware afectaron la capacidad de operar
· $812,360 ¿Es el rescate promedio pagado?
· El 46% de las empresas pagaron el rescate
· 1,4 millones de dólares es el coste medio de la reparación tras un ataque de ransomware
· 61% de los datos cifrados restaurados
· El 4% de los que pagaron el rescate recuperaron TODOS los datos
Fuente: Sophos
La última etapa de los ataques de ransomware (el cifrado) es la más visible y suele ocurrir en el momento menos conveniente. Muchas organizaciones informan que los ataques se produjeron el viernes a las 7 p. m., cuando la gente ya había comenzado a relajarse para el fin de semana; esto es intencional: los atacantes no quieren ponértelo fácil. No les importa si te vas de vacaciones o si tienes la fiesta de cumpleaños de tu hija. Quieren que estés estresado y presionado. La mayoría de los humanos evitan naturalmente la confrontación y quieren resolver este tipo de situaciones lo más rápido posible y hacer lo que sea necesario. Los cibercriminales construyen sus tácticas pensando en ti como uno de esos humanos.
Qué hacer si su organización se ve afectada por ransomware
Una vez que se produce un ataque, usted se encuentra en una situación delicada y debe enfrentarse al dilema de "pagar o no pagar". Cada organización elige su ruta, pero los factores a considerar la mayoría de las veces se reducen a un conjunto de las siguientes consideraciones:
Si pagas
Podrás poner tu negocio en funcionamiento nuevamente más rápido
Los atacantes tendrán un incentivo para volver a atacar. Después de todo, ahora eres un "cliente que paga".
Podrías ser objeto de una doble extorsión: después de pagar, podrían exigirte que pagues nuevamente o podrían publicar tus datos.
Es posible que no recibas tus archivos incluso si pagas; las claves de descifrado no siempre funcionan
Si no pagas
Podría ser ilegal pagar un rescate en su país.
Podría pasar un tiempo hasta que pueda operar nuevamente su empresa.
Podría perder sus datos para siempre si no realiza una copia de seguridad o si la copia de seguridad se ve comprometida.
Sus datos confidenciales podrían quedar expuestos como acto de represalia.
El dinero del ransomware podría gastarse en reconstruir y mejorar su ciberseguridad.
El ransomware es una situación "fea" para la que muchas organizaciones no están preparadas; el equipo de seguridad cibernética de Armour vio en varias ocasiones cómo organizaciones no preparadas se apresuraban a gestionar el ataque internamente. Lo empeoran, lo que implica tiempos de inactividad prolongados innecesarios, incapacidad para operar y costos de recuperación significativamente más altos.
" Lo bueno... " : puede prepararse para el próximo ciberataque. La preparación proactiva para los ataques de ransomware puede marcar la diferencia entre un desastre importante para su empresa y un evento que sucede pero se maneja sin mayores consecuencias. La buena noticia es que está al alcance de las PYMES.
¿Cómo puede su organización prepararse y afrontar el ransomware?
Nadie puede estar 100% a prueba de un ciberataque. Sin embargo, las organizaciones que se preparan de forma proactiva, continua y gradual, muestran estadísticamente que el impacto de los ciberataques es significativamente menor. A menudo nos preguntan qué se debe hacer para evitar que se produzca un ataque de ransomware; lamentablemente, no existe una "solución milagrosa". Por lo general, se trata de un enfoque de varias capas, de varios pasos y para toda la organización que conecta todos los procesos, controles y tecnología en un programa bien orquestado. Otro concepto erróneo que vemos en muchas organizaciones es que la ciberseguridad es una tarea de TI. Era cierto hace 10 o 15 años. Sin embargo, la ciberdefensa ha evolucionado significativamente desde entonces (al igual que el cibercrimen) y debe considerarse como una función organizacional más allá de TI. Es como un consultorio médico: vas a tu médico de cabecera, pero cuando necesitas asesoramiento experto, te derivan a un especialista. Encuentra a tu especialista en ciberseguridad.
¿Cómo desmitificar la asequibilidad de la ciberseguridad para las PYMES?
Si bien es cierto que, hasta la fecha, la ciberseguridad era principalmente un privilegio de las grandes empresas, con la evolución de los delitos cibernéticos, muchas empresas ofrecen servicios de ciberseguridad de primer nivel para pymes y pueden hacerlo de manera rentable. En la actualidad, las organizaciones con 10 empleados o menos pueden disfrutar de una protección de nivel empresarial sin tener que gastar una fortuna.
Y para hacerlo más práctico, aquí hay una lista típica de actividades para que las organizaciones comiencen a prepararse para reducir el riesgo de ransomware y su impacto.
1. Contrate a una empresa experta en ciberseguridad para que le ayude a evaluar el riesgo e identificar las deficiencias en sus defensas actuales. Por lo general, le ayudarán a elaborar un plan sobre cómo mejorar su postura en materia de ciberseguridad.
2. Fortalezca a su eslabón más débil: sus empleados. Realice capacitaciones sobre concientización cibernética en toda la organización.
3. Establezca un proceso de aplicación de parches sólido para todos sus activos, haciendo hincapié en los activos críticos.
4. Realice copias de seguridad de datos de forma continua para todos sus activos y realice restauraciones de datos periódicas para validar las copias de seguridad. No todas las copias de seguridad garantizan su seguridad; existen formas específicas de realizar copias de seguridad seguras. Consulte con expertos al respecto.
5. Implemente tecnología de defensa moderna en sus computadoras de escritorio, servidores, dispositivos móviles, navegadores y canales de comunicación seguros en todo momento. El mundo ha cambiado y la gente trabaja desde cualquier lugar con múltiples dispositivos, por lo que su viejo y bueno firewall en la oficina ya no es suficiente.
6. Implemente una autenticación de usuario sólida; utilice la autenticación multifactor siempre que sea posible. Es un poco engorroso, pero le permitirá ahorrar mucho dinero a largo plazo.
7. Obtenga un seguro cibernético.
Para concluir,
Los delitos cibernéticos han aumentado durante un tiempo, pero en los últimos años, ya no nos preguntamos si algún día nos atacarán, sino cuándo nos tocará a nosotros. La situación actual es fea, pero no todo está perdido. Puede preparar su empresa u organización para afrontarlo y esforzarse. Para ello, es necesario adoptar un enfoque proactivo. Después de todo, es lo más inteligente que se puede hacer: aprender de los errores de los demás y le costará menos. El coste de la protección es una fracción del coste de la reparación de un ciberataque. Si se siente perdido y no sabe por dónde empezar, póngase en contacto con nosotros ahora para recibir una consulta gratuita. Haga clic aquí para obtener información de contacto.
NO SEA LA PRÓXIMA VÍCTIMA. ¡ACTÚE AHORA!
Si está bajo ataque o estuvo bajo un ataque de ransomware, contáctenos hoy para garantizar una recuperación efectiva.
コメント