Ransomware

Aprenda cómo proteger su empresa de los virus que secuestran los datos

Ransomware: aprenda cómo proteger su empresa de los virus que secuestran los datos

Los invasores pueden restringir el acceso al sistema infectado y, a menudo, cobran rescates millonarios a cambio de la liberación.

Un virus llamado “ransomware” ha sido un problema continuo para las empresas y últimamente ha estado recibiendo una creciente cobertura de los medios.

Aunque hay noticias recientes sobre ataques a grandes empresas como Colonial Pipeline y Scripps Health, este virus ha existido durante algún tiempo y ha ido cambiando a lo largo de los años.

Por lo tanto, el ransomware ha pasado de atacar computadoras individuales a, más recientemente, bloquear archivos de empresas enteras y exigir rescates multimillonarios que, en la mayoría de los casos, se pagan.

En este sentido, el ransomware se ha convertido en uno de los principales intereses de las empresas delictivas, creando así una especie de “industria de soporte” en su entorno.

Esta industria brinda acceso a grandes corporaciones, vende credenciales para herramientas de acceso remoto y lava criptomonedas.

Los operadores de ransomware participan con frecuencia en foros criminales y grupos de Telegram, donde los analistas de amenazas de ciberseguridad monitorean con frecuencia sus discusiones, ofertas y disputas, en busca de información que sea útil para comprender cómo funciona esta operación.

Ante este escenario, protegerse de los ataques en el mundo online se ha convertido en una estrategia imprescindible para cualquier negocio.

¿Quiere saber cómo funciona el ransomware y cómo puede protegerse de este ataque que puede costar millones a su empresa?

¡Continúa leyendo este artículo!

¿Cómo ataca el ransomware?

Las primeras formas de ransomware se introdujeron inicialmente mediante una cadena que implica explotar las vulnerabilidades en los navegadores web y los complementos instalados, utilizando los denominados "kits de explotación".

Aunque estos kits de explotación todavía existen hoy en día, su uso se ha vuelto menos frecuente, ya que la cantidad de nuevas vulnerabilidades disponibles no es lo suficientemente alta como para que valga la pena el esfuerzo: el patch automatizado en los sistemas de navegación y el sandboxing, por ejemplo, hacen que sea más difícil encontrarlos.

Hoy en día, el ransomware se introduce en las máquinas víctimas principalmente a través de malware en documentos de Microsoft Office o manualmente por alguien a través de una máquina que tiene habilitado el acceso remoto, como el protocolo de desktop remoto (RDP) o las credenciales de Citrix adivinadas o comprometidas a través de un ataque de fuerza bruta.

La disponibilidad de cuentas RDP en particular es muy significativa, y los mercados criminales como los UAS facilitan la búsqueda y compra de estas credenciales para servidores en cualquier parte del mundo, con un costo de entre USD 20 y USD 25.

Figura 1: Print Screen do UAS - Mercado criminal online

Una vez que se establece la base en la computadora de la víctima, los criminales afiliados al ransomware exploran la red para enumerar todos los recursos disponibles. Si encuentran datos potencialmente confidenciales en archivos compartidos, esos datos pueden filtrarse a un servicio en la nube.

En muchos ataques, también se utilizan familias de malware adicionales, incluidos Trickbot, Cobalt Strike y varias herramientas multiuso, como programas de recuperación de contraseñas.

Uno de los pasos finales suele ser la creación de un script de automatización que desplegará el ransomware en tantas máquinas como sea posible.

Muchas familias de malware funcionan completamente sin conexión, por lo que el virus, la nota de rescate y las instrucciones de comunicación están preconfiguradas antes de insertar el ransomware en la red de la víctima. Esto deja menos oportunidades para la prevención e interrupción del negocio.

¿Cómo puedo proteger a mi empresa del ransomware?

Para ayudar a evitar que los operadores de ransomware instalen sus bases de datos en su sistema y secuestran sus archivos, se pueden tomar algunas precauciones. Mira cuáles son a continuación:

1)      Controle Microsoft Office Macros

Muchas de las operaciones exitosas de ransomware utilizan un patrón conocido, comenzando con la entrega de documentos maliciosos de Microsoft Office que contienen macros que incitan al destinatario a permitir el contenido que descarga el malware.

Esta carga maliciosa puede recopilar datos sobre la máquina, informar a un dominio de comando y control (C2) y luego descargar y ejecutar módulos de malware adicionales.

La prevención de la ejecución de macros maliciosas en Office es un enfoque eficaz para prevenir la introducción de muchas familias de malware que conducen al ransomware. Las empresas que utilizan Microsoft Office pueden configurarlo para que las macros descargadas de Internet o de un archivo adjunto de correo electrónico no se puedan ejecutar.

Otra buena práctica para las empresas preocupadas por el malware es no dejar la decisión de ejecutar o no macros al usuario.

2)  Establezca autenticación multifactor para RDP, Citrix y VPN

Muchas empresas que se han convertido en víctimas de ransomware se han visto comprometidas porque dejaron a RDP o Citrix expuestos a Internet. Por lo tanto, los criminales tienen acceso a ellos comprando la cuenta en un mercado criminal o forzando las credenciales.

Como tal, las herramientas de acceso remoto como RDP, Citrix y VPN no deben exponerse sin autenticación multifactor (MFA). RDP y Citrix se pueden configurar a través de un firewall que limita el acceso a los rangos de IP propiedad de los socios de negocio designados.

3)Backup, Backup, Backup!

Un problema que afecta a las víctimas de ransomware es que, de hecho, tenían copias de seguridad de sus datos para restaurar. Pero el proceso de recuperarlos tomaría tanto tiempo que la opción más rápida sería pagar el rescate.

Estar preparado para un desastre es estar consciente y siempre considerar la posibilidad de un ataque de ransomware. Y de esa manera, trabaje para obtener una copia de seguridad lo suficientemente rápido como para evitar darles millones a los delincuentes.

4) Valide su cadena de suministro

Una ruta de ataque menos común proviene de cuentas comprometidas en herramientas de administración de la nube que utilizan con frecuencia los proveedores de servicios administrados (MSP).

Cualquier servicio o sistema que proporcione un acceso sin problemas como este debería requerir autenticación multifactor (lea este artículo de Brian Krebs para comprender qué puede salir mal).

5) Monitorear los mercados criminales y su infraestructura.

Los criminales que llevan a cabo los ataques deben organizar la infraestructura de comando y control, así como el acceso de intermediarios a los mercados delictivos. La inteligencia de amenazas puede proporcionar información sobre qué están organizando los delincuentes y qué credenciales podrían estar en juego.

Monitorear estos mercados del crimen para detectar una posible exposición a violaciones antes de vender el acceso permite a las empresas evitar un posible ataque.

6) DNS para la visibilidad y el bloqueo de mando y comunicación de control

Una comunidad de muchos ataques de ransomware implica la comunicación externa utilizando el sistema de nombres de dominio (DNS) para buscar / resolver un objetivo C2. El malware a menudo necesita comunicarse con un dominio C2 para recibir comandos del autor de la amenaza, como descargar herramientas maliciosas adicionales o filtrar datos.

Todo este tráfico utiliza DNS y esto representa una valiosa fuente de inteligencia sobre amenazas. Para la mayoría de las empresas, sin embargo, este tráfico de DNS es una fuente subestimada y subutilizada.

Manténgase un paso por delante de los intrusos: conozca HYAS Protect

Con la seguridad de su empresa en mente y proporcionando una protección 100% completa contra ransomware, Qintess se ha asociado con HYAS, la autoridad líder mundial en conocimiento profundo de cómo funcionan los ataques cibernéticos.

A medida que el ransomware se comunica con su comando y control, el tráfico de la red DNS genera un cuello de botella en el que se puede bloquear la comunicación con destinos maliciosos.

Es por eso que HYAS Protect es una solución de DNS que proporciona un salto sustancial en la protección. Utilizando un conocimiento profundo de la infraestructura de los atacantes, protege de manera proactiva a las organizaciones contra cualquier ciberataque.

Por lo tanto, HYAS Protect se implementa como una solución de seguridad DNS basada en la nube o mediante la integración de API con sus soluciones de seguridad existentes, bloqueando las conexiones del malware precursor que conduce al ransomware.

Los ciberataques pueden costar millones a su empresa. ¡Esté 100% protegido!

Comprenda cómo puede combatir el ransomware con la ayuda de HYAS Protect y aprovechando el tráfico DNS existente de su organización: ¡contáctenos ahora! https://qintess.com/es/contato