El reciente tsunami de ransomware ha dado vida a los temores sobre el tiempo de inactividad y la pérdida de datos sobre los que advirtieron los profesionales de la ciberseguridad, ya que los ataques al sector energético, la cadena de suministro de alimentos, la industria de la salud y otras infraestructuras críticas han acaparado los titulares.

Para los expertos de la industria que rastrean la evolución de esta amenaza, la mayor frecuencia, sofisticación y destructividad del ransomware sugiere que las empresas aún tienen algunas brechas importantes en sus estrategias de defensa.

No es de extrañar que se necesite un nuevo enfoque de protección de varias capas para detener el daño causado por el ransomware. Pero, ¿qué cambios debería implementar un equipo de TI para cerrar esas brechas?

Durante un panel reciente, un equipo de expertos en ciberseguridad describió un plan de tres pasos para hacer precisamente eso, centrado en adoptar nuevas tecnologías, mejorar los procesos de seguridad y garantizar que su gente sepa cómo ayudar a frenar la amenaza.

1 – Nuevas cepas abruman a viejas defensas.

Muchas nuevas cepas de ransomware ahora actúan como amenazas persistentes avanzadas (APT), permaneciendo inactivas en la red corporativa durante semanas, recopilando información silenciosamente y robando datos.

Esta tendencia es la razón por la que algunos analistas predicen que la exfiltración de datos superará al cifrado como el enfoque preferido de los atacantes de ransomware.

A pesar de su cambio de enfoque, los atacantes aún confían en técnicas familiares al principio de estos ataques, como el phishing para robar credenciales e inyectar malware. De hecho, Topher Tebow, investigador senior de ciberseguridad de Acronis, dice que el 94% de los ataques de malware exitosos ahora comienzan con phishing.

Para denegar la entrada a los atacantes, aconseja a las organizaciones que actualicen la seguridad de su correo electrónico e implementen un filtrado de URL si aún no lo han hecho. Estas capas defensivas pueden impedir que los correos electrónicos de phishing lleguen a la bandeja de entrada de un usuario y evitar que una carga útil de malware infecte el sistema. Inversiones en tecnología simples como estas, señala Tebow, pueden ser una forma fácil y efectiva de terminar un ataque de ransomware antes de que comience.

Dylan Pollock, ingeniero de redes senior en Hendrik Motorsports de NASCAR, agrega que a los atacantes también les encanta apuntar a vulnerabilidades conocidas que permanecen sin parchear para apuntar a sistemas operativos, aplicaciones y dispositivos. Las vulnerabilidades sin parche «son como la hierba gatera para los ciberdelincuentes», por lo que recomienda que las organizaciones consideren la posibilidad de adoptar herramientas que puedan automatizar el escaneo de vulnerabilidades y los esfuerzos de administración de parches.

Esto se debe a que, como señala Candid Wüest, vicepresidente de investigación de protección cibernética de Acronis, los ciberdelincuentes están creando nuevas versiones de ransomware todos los días. Eso significa que cada nuevo ataque es una amenaza de día cero que las defensas tradicionales basadas en firmas pasarán por alto.

Wüest dice que lo que las organizaciones necesitan son defensas más adaptativas que utilicen la detección basada en el comportamiento para identificar y detener las amenazas. Soluciones impulsadas por inteligencia artificial, la siguiente etapa de la inteligencia artificial y el aprendizaje automático, que son expertas en reconocer nuevos patrones de comportamiento de ataque y responden automáticamente en tiempo real para mitigar el ataque.

2 – Mejores procesos detienen el ransomware

Si bien el uso de soluciones modernas para derrotar las amenazas modernas es fundamental, las defensas mejoradas por sí solas no son suficientes en un mundo donde los expertos consideran que el ransomware es inevitable. Los procedimientos que utilizan las organizaciones para salvaguardar sus datos deben abordar esa realidad. «No se puede exagerar lo importante que es un programa de respaldo bien pensado y ejecutado religiosamente como última línea de defensa», advierte Graham Cluley.

Investigador de delitos cibernéticos y presentador del podcast Smashing Security, Cluley agrega rápidamente que las copias de seguridad por sí solas no son suficientes. Se requieren pruebas periódicas de esas copias de seguridad para garantizar que permitan que una organización se restaure rápidamente después de un ataque; de ​​lo contrario, la empresa puede terminar pagando el rescate de todos modos.

Cuando se trata de examinar procesos, Wüest agrega que las organizaciones deben bloquear todo el software operativo utilizado en su entorno. Esto se debe a que los atacantes de ransomware utilizan cada vez más una estrategia de «vivir de la tierra», en la que secuestran herramientas comunes como RDP y Mimikatz para robar contraseñas, escalar privilegios y tomar el control de las herramientas de escritorio remoto.

Eso hace que robar y cifrar datos sea mucho más fácil. Recomienda que, además de restringir los privilegios elevados, las empresas deben aplicar procedimientos de contraseña rigurosos, como la autenticación multifactor.

3 – Las personas que conocen el ransomware lo evitan

Sin embargo, la lucha contra el ransomware fracasa si las personas no participan en la protección de la empresa. La formación en conciencia de seguridad es tan vital para la seguridad de los endpoints como la tecnología defensiva. Solo capacitar a los usuarios finales para que reconozcan y eviten los intentos de ingeniería social podría contribuir en gran medida a evitar que un ataque tenga éxito, advierte Pollock.

«Si pudiéramos hacer que los usuarios pensaran sólo dos segundos más antes de hacer clic en un correo electrónico sospechoso, muchos ataques de ransomware nunca llegarían a nuestro negocio», señaló.

Los equipos de seguridad se han adaptado con éxito para combatir el ransomware, pero Cluley advirtió que no se debe dejar el acelerador. Los ciberdelincuentes continúan modificando y avanzando en sus ataques, por lo que las organizaciones también deben mejorar constantemente: implementar múltiples capas de protección, garantizar la conciencia de seguridad y probar su plan de respuesta a incidentes. Luego, dijo, «tendrás la oportunidad de luchar».

Escuche las recomendaciones completas de estos expertos en ciberseguridad en la grabación de su panel de conferencia virtual de Acronis, » Vea el interior de un ataque de ransomware en vivo y luego aprenda cómo prevenirlos todos «.

Fuente y redacción: segu-info.com.ar

Compartir