Según el Informe sobre fugas de datos de Verizon de 2020, el ransomware es el tercer tipo de ataque de malware más frecuente. Una prueba reciente de ello tuvo lugar el 4 de octubre, cuando Universal Health Services (UHS), un proveedor de servicios hospitalarios y sanitarios incluido en la lista Fortune 500, se vio obligado, según se informa, a desconectar los sistemas de diversos centros sanitarios de todo Estados Unidos tras sufrir un ciberataque en su red interna.
Cualquier tipo de ataque contra el sector sanitario puede ser letal, sobre todo dada la situación actual de la pandemia. Este es otro ciberataque reciente que ha acabado con la paralización de la infraestructura informática a causa de un ataque de ransomware. En este caso, UHS está derivando a algunos pacientes a hospitales cercanos.
Sin embargo, mucha gente no sabe que la activación del ransomware es solo la fase final de un ataque. Antes de la ejecución, hay muchas fases y oportunidades para detener el ataque.
Bueno, ¿qué es exactamente el ransomware?
El ransomware es un software malicioso diseñado para impedir el uso de los archivos del sistema informático a cambio del pago de un rescate. La mayoría de las variantes de ransomware cifran los archivos del dispositivo afectado, lo que impide acceder a ellos, y exigen el pago de un rescate para restablecer dicho acceso.
El código del ransomware suele ser sofisticado, pero no tiene por qué serlo, ya que, a diferencia de otras formas de malware convencional, por lo general no necesita permanecer oculto durante mucho tiempo para alcanzar su objetivo. Esta relativa facilidad de implementación, unida al elevado potencial de beneficios, atrae tanto a ciberdelincuentes experimentados como a principiantes a llevar a cabo campañas de ransomware.
«En el 7 % de los hilos sobre ransomware encontrados en foros y mercados delictivos se mencionaba el término “servicio”, lo que sugiere que los atacantes ni siquiera necesitan ser capaces de llevar a cabo el trabajo por sí mismos». —Informe sobre investigaciones de filtraciones de datos de 2020, pág. 16.
El ransomware es tan popular que existen servicios que se pueden contratar y que se encargan de su implementación en nombre del ciberdelincuente. Con un mercado tan próspero, es de esperar que tanto el ransomware como los servicios relacionados con él sigan aumentando.
¿Cómo se cuela el ransomware en la red?
La forma más habitual en que un atacante distribuye archivos maliciosos es aprovechando errores humanos comunes, como los ataques de phishing, en los que el atacante envía un correo electrónico que parece legítimo, pero que incita a la persona a hacer clic en enlaces o a descargar un archivo adjunto. El archivo adjunto suele contener una carga útil que instala el software malicioso. Los atacantes suelen aprovechar interfaces expuestas, como RDP o aplicaciones web sin parches. El ransomware también se distribuye a través de sitios web comprometidos o maliciosos, mediante ataques de descarga automática. Algunos ataques de ransomware también se enviaron a través de mensajes en redes sociales.
Por lo general, el ransomware se utiliza siguiendo un enfoque de «escopeta», en el que los atacantes se hacen con listas de correo electrónico o sitios web comprometidos y lanzan una avalancha de ataques de ransomware.
Protégete contra el ransomware
Existen varias fases para detener el malware a lo largo del ciclo de vida del ataque. La primera fase consiste en impedir que entre en la red; la segunda fase para detener el ransomware (suponiendo que no sea autónomo) consistirá en impedir que se comunique con el servidor de comando y control (C2); la tercera fase consistirá en detenerlo inmediatamente después de que comience a ejecutarse y antes de que realice movimientos laterales dentro de la red.
La primera fase —impedir que el malware entre en la red— es la más importante. Los atacantes suelen intentar utilizar técnicas de phishing o aprovechar conexiones de acceso remoto no seguras, como conexiones RDP mal configuradas, y a través de dispositivos finales que no cumplen con la política de la empresa. Estos dispositivos pueden permitir que el ransomware se cuele en la red de la organización a través de la conexión.
La segunda fase —impedir que el malware se comunique con un servidor C2— suele llevarse a cabo mediante la implementación de un cortafuegos y un sistema de detección basado en la red para buscar firmas de red.
La tercera fase —impedir que el ransomware se active y se propague por la red— resulta, en este momento, mucho más complicada y requiere muchos más recursos.
OPSWAT soluciones preventivas para que puedas protegerte frente a los ataques. Nuestras soluciones ayudan a las organizaciones a evitar que el malware se cuele en sus redes, como la solución de seguridad para puertas de enlace de correo electrónico, que detiene el phishing, la solución de acceso seguro, que facilita la validación del cumplimiento normativo, y
Seguridad en la carga de archivos que utiliza la tecnología Deep CDR™ (desactivación y reconstrucción de contenidos) mediante MetaDefender Core. Estos son solo algunos de los muchos productos que OPWAST ofrece para ayudar a mantener las redes de infraestructuras críticas a salvo del ransomware. Para obtener más información, póngase en contacto con nosotros hoy mismo.
Referencias
https://enterprise.verizon.com/resources/reports/dbir/
https://www.blackfog.com/the-state-of-ransomware-in-2020/
https://www.microsoft.com/en-us/download/details.aspx?id=101738
