Los ciberdelincuentes tienen muchos motivos para atacar, financieros, daño reputacional o vandalismo cibernético. Son relativamente fáciles de ejecutar, el rescate se paga rápidamente y las víctimas anteriores pueden ser atacadas nuevamente.
En particular, los ataques de ransomware han demostrado ser una forma exitosa para que los ciberdelincuentes cifren datos, lo que afecta gravemente su negocio. Las víctimas a menudo pagan rescates para restaurar las actividades. La rentabilidad de estos ataques ha creado un mercado en la sombra donde el ransomware se ofrece como un servicio, brindando a las personas sin conocimientos de TI las herramientas y la experiencia necesarias para ejecutar un ataque de ransomware.
Es uno de los muchos desarrollos no deseados en el cibercrimen. ¿Qué más podemos esperar en el próximo año? A continuación, se muestran cuatro tendencias de ransomware.
Tendencia 1: RaaS sigue siendo un modelo de negocio exitoso y en crecimiento. Las personas malintencionadas pueden simplemente comprar todo lo que necesitan para un ataque a través de la web oscura. Casi dos tercios de los ataques de ransomware en 2020 se originaron en plataformas RaaS, según una investigación de Infoblox. Debido a que RaaS requiere poca experiencia, esperamos que los atacantes continúen usando este método de ataque.
Las plataformas RaaS brindan soporte, foros, documentación, actualizaciones y más. Todo es muy similar a lo que ofrecen los principales proveedores de SaaS. También hay ofertas en las que los “socios” pueden registrarse por una tarifa única o con una suscripción mensual. El éxito de RaaS también significa que se multiplicará en 2022. De hecho, es una de las mayores amenazas para los negocios en el próximo año.
Tendencia 2: Los ataques se vuelven más rápidos, frecuentes y dirigidos. El ransomware tiene un gran potencial de retorno de la inversión. No es de extrañar que cada vez más incidentes de seguridad estén relacionados con ransomware.
¿Preferiría pagar ese rescate o reconstruir su infraestructura y sus datos? Lo primero suena más pragmático, pero puede resultar contraproducente. Por ejemplo, la investigación muestra que alrededor del 80% de las empresas que ya pagaron rescates una vez que se convirtieron en víctimas nuevamente. A menudo, estos ataques de seguimiento los llevan a cabo las mismas personas. En resumen: una vez que se convierte en una víctima atractiva, siempre será una víctima atractiva.
Los expertos ahora estiman que alrededor de dos tercios de las empresas ya han sufrido pérdidas masivas de ingresos luego de haber sido víctimas de los ataques de ransomware. Más de la mitad de las empresas temen que su imagen ya haya sido dañada después de un ataque exitoso. Y alrededor de un tercio asume que ya han perdido jóvenes con talento y liderazgo como resultado directo de los ataques de ransomware.
Tendencia 3: Aumento de los sitios de fuga de datos conocido en inglés como Data Leak Sites (DLS). Los ataques de ransomware suelen seguir un protocolo específico. Actualmente, eso significa amenazar con publicar los datos de las víctimas en los llamados sitios de fuga de datos o cifrar los archivos (el “modelo comercial” original del ransomware). En algunos casos, el daño financiero de pagar un rescate puede ser menor que el daño de una violación de datos. Los delincuentes abusan de esta compensación.
A menudo no están satisfechos con el rescate inicial. Por lo general, hacen un seguimiento de sus víctimas durante el mayor tiempo posible y con la mayor frecuencia posible, a menudo con demandas cada vez mayores; aparentemente, se ha encontrado a alguien que está dispuesto a pagar. Incluso entonces, no está seguro de que sus datos no se comercialicen después de todo.
Y lo que no debes olvidar es que algunos ataques solo tienen como objetivo la destructividad. El hecho de que puedan ganar algo de dinero con eso es una buena ventaja. Pero espere que los piratas informáticos no siempre recuperen sus datos.
Tendencia 4: Aumento de los ataques a través de RDP. El Protocolo de Escritorio Remoto (RDP) se ha convertido recientemente en un vector de ataque extremadamente efectivo y peligroso. Muchas computadoras conectadas a Internet están configuradas de una manera que proporciona un punto de entrada fácil para los atacantes. Y gracias a motores de búsqueda, localizar estos dispositivos es pan comido. Los atacantes obtienen acceso a los servidores RDP mediante el uso de contraseñas predeterminadas en servidores que no se han actualizado. Alternativamente, se pueden usar técnicas de fuerza bruta o crackers de contraseñas de código abierto para entrar en varios sistemas.
Cómo protegerse
Como ocurre con la mayoría de los problemas complejos, no existe una panacea para protegerse contra el ransomware. Pero hay muchos pasos que las organizaciones pueden tomar. Los ataques de ransomware a menudo tienen éxito porque la víctima no está lo suficientemente preparada.
La detección y la prevención son las palabras clave cuando se trata de protección contra ransomware. Lo más importante es obtener la base correcta de su seguridad. Las organizaciones deben exigir la autenticación multifactor y revalidar esta autenticación con cada nueva sesión. También deben usar filtros de correo no deseado y protección DNS para filtrar los correos electrónicos y ejecutables de phishing antes de que lleguen a los usuarios finales, ya que esto puede detener las URL maliciosas en una etapa temprana del ataque. Además, la capacitación de los usuarios finales sobre cómo lidiar con los correos electrónicos de phishing debe convertirse en una prioridad, ya que los delincuentes a menudo obtienen acceso a través de los usuarios finales que visitan sitios web maliciosos, abren archivos adjuntos o habilitan macros en los archivos adjuntos de Microsoft Office.
Tanto el descubrimiento como la prevención se pueden respaldar con una mayor visibilidad en la red. Al ver qué dispositivos se conectan a una red y hacia dónde se enruta el tráfico de la red, los equipos de TI obtienen una valiosa ventaja sobre los delincuentes en su lucha contra el ransomware. Por lo tanto, obtener una visibilidad completa para defender la red corporativa desde el borde debe convertirse en una prioridad.
“El ransomware va en aumento porque los atacantes tienen muchas posibilidades de ganar dinero fácil. El tema es siempre el mismo: que la víctima preferiría pagar discretamente el dinero extorsionado para recuperar el acceso a los datos necesarios para mantener la organización en funcionamiento. Depende de las empresas y los empleados mantenerse alerta ante todas las posibles amenazas”, comentó Ivan Sánchez, Sales Manager LATAM de Infoblox.
Vanessa Olivieri, Infoblox