En publicaciones anteriores, hemos repasado cómo funciona el ransomware, cómo está evolucionando y cómo se está convirtiendo en una amenaza generalizada, costosa y desafiante para las redes de todo el mundo. La escala de la amenaza del ransomware es asombrosa -varios informes estiman un costo de 20 mil millones de dólares sólo para 2020, un aumento de 57 veces con respecto a 2015- y se está volviendo aún más sofisticado a través de la inteligencia artificial y otras técnicas.
Los costes siguen aumentando. Recientemente, JBS, el mayor proveedor de carne del mundo, sufrió un ataque de ransomware. Se espera que la interrupción resultante de las operaciones afecte significativamente a los precios al consumidor de la carne de vacuno y de cerdo en Estados Unidos, Canadá y Australia.
Sin embargo, más allá de los costes financieros directos, hay otros impactos aún más perjudiciales. La pérdida de reputación de la marca, el enfado de los clientes, la pérdida de oportunidades de venta y de productividad, las multas y sanciones por incumplimiento de las obligaciones y otros costes «blandos», además de los costes de reparación y recuperación, se acumulan rápidamente.
Como han informado muchas fuentes, 2020 fue el año con más ciberataques de todos los registrados. Esto se debió en gran medida a que muchas personas comenzaron a trabajar desde casa. El cambio fue tan repentino que las empresas tuvieron que buscar desesperadamente la manera de mitigar los ataques al mismo tiempo que acomodaban a los trabajadores remotos en la era COVID-19.
El ransomware no fue una excepción a este cambio. Con una sofisticación y eficacia crecientes, el ransomware está entrando en una época de auge. Teniendo en cuenta esto, no es difícil predecir lo que va a suceder: a menos que todos seamos mucho más inteligentes, y rápidamente, el problema del ransomware va a empeorar a medida que avancemos hacia 2021.
Sin embargo, esto no significa que no haya esperanza para los responsables de defender la red. Además de mantener copias de seguridad fuera de línea o en la nube, hay muchas soluciones de protección de endpoints y de la red que pueden ayudar a prevenir y defender contra el ransomware, por ejemplo.
Protección en el endpoint
Las plataformas de protección de endpoints ofrecen antivirus de última generación, IPS y otras herramientas para detectar y eliminar malware como el ransomware. En otras palabras, constituyen una de las muchas capas de seguridad necesarias en el perímetro digital de la empresa. Además, las plataformas de protección de endpoints también cuentan con herramientas como la seguridad del correo electrónico que bloquea los mensajes de phishing, que a menudo llevan enlaces de carga dañina de ransomware.
La detección y respuesta de endpoints (EDR) puede ampliar la capacidad de protección. Analiza los endpoints y las aplicaciones en busca de signos de infección, y luego envía una alerta al equipo de seguridad. Estas alertas aceleran los tiempos de investigación, y el EDR a menudo puede congelar los procesos o programas sospechosos hasta que se inicie la investigación. Con las herramientas adecuadas, el ransomware puede ser detectado y eliminado antes de que exfiltre y/o cifre los datos.
Defender la red
Las soluciones de detección y respuesta a la red (NDR) y de análisis del tráfico de la red (NTA) pueden constituir una sólida primera línea de defensa. Estas defensas supervisan el tráfico de este a oeste con técnicas avanzadas de inteligencia artificial y aprendizaje automático para detectar, analizar y responder a las amenazas que de otro modo podrían quedar ocultas a los administradores. Por ejemplo, el análisis del tráfico anormal tiene el potencial de detectar grandes cantidades de exfiltración de datos (un posible indicador de un ataque de ransomware) y alertar al equipo de seguridad para que responda.
NDR también puede detectar conexiones a sitios de control de ransomware conocidos a través de la prevención de botnet C&C. Algunas operaciones de ransomware (aunque no todas) utilizan una estructura de mando y control (o C&C) para ocultar la ubicación y la identidad del atacante. Se utilizan diversas técnicas para detectar, bloquear y/o desviar las comunicaciones de C&C, «cortando la cabeza» de la red de bots y haciéndola inoperable.
Además, el acceso seguro a los servicios de perímetro, o SASE, puede hacer frente a los retos de seguridad más comunes de hoy en día, que surgen de un mayor número de aplicaciones que viven fuera del centro de datos, de datos sensibles almacenados en múltiples servicios en la nube y de usuarios que se conectan desde cualquier lugar y en cualquier dispositivo. SASE combina los servicios SD-WAN y VPN, así como los servicios de seguridad basados en la nube y otros, para proporcionar una amplia protección.
La importancia de ATT&CK
Muchas soluciones de seguridad utilizan ATT&CK como base de conocimiento para mapear los ataques y sus correspondientes defensas. Los equipos de seguridad pueden utilizar MITRE ATT&CK para desarrollar controles de detección o prevención para cada técnica en la matriz de la empresa.
ATT&CK puede ser muy útil para los administradores de redes y de seguridad porque asocia a los actores de las amenazas con las técnicas y tácticas que se sabe que utilizan. ATT&CK proporciona detalles sobre más de cien actores y grupos, incluyendo sus técnicas y herramientas.
Aprovechando ATT&CK, se pueden diseñar simulaciones que reflejen también las herramientas y técnicas utilizadas por actores específicos. Esto proporciona una hoja de ruta para que los defensores de la red apliquen contra sus controles operativos para ver dónde tienen debilidades contra ciertos actores y dónde tienen fortalezas.
Reflexiones finales
Teniendo en cuenta la gravedad de estos recientes acontecimientos relacionados con el ransomware, es más imperativo que nunca asegurarse de que su organización está bien protegida. Los incidentes de ransomware deben tratarse con rapidez y transparencia para evitar costes considerables y daños a la reputación. Además, esperamos que los recientes ataques de ransomware de gran repercusión refuercen las exigencias de normas de ciberseguridad para las empresas que desempeñan un papel importante en la seguridad nacional, en lugar de dejar que sean las propias empresas privadas las que protejan estos sistemas críticos.
