The IT Mag

Ransomware empresarial, la nueva tendencia en ataques

3 minutos de lectura
Por Abraham Ramírez Aguayo - abril 13, 2017    TI al día, bancos, ciberamenazas, ciberataques, cibercrimen

Ransomware empresarial, la nueva tendencia en ataques

Cada vez más los cibercriminales dejan de centrar su atención en ataques contra individuos, para enfocarse en ransomware contra empresas, de acuerdo con los investigadores de la firma Kaspersky Lab.

Por medio de un informe de prensa, se destacó que por lo menos ocho grupos de ciberdelincuentes han sido vinculados al desarrollo y distribución de este tipo de malware cifrado que se centran en instituciones financieras en todo el mundo y han llegado a pedir 500 mil dólares en promedio en cada caso.

Los ocho grupos identificados incluyen a los autores de PetrWrap, que han atacado grupos financieros en todo el mundo; el grupo Mamba; y seis grupos sin nombre que también tienen como objetivo a usuarios corporativos.

Cabe señalar que estos seis grupos antes se concentraban a niveles individuales, pero ahora han reorientado sus esfuerzos hacia las redes corporativas. Según Kaspersky Lab, la razón de esta tendencia es porque los movimientos dirigidos a empresas son potencialmente más rentables.

“Un ataque exitoso de ransomware contra una compañía fácilmente puede detener sus procesos operativos durante horas o incluso días, por lo que hay una mayor probabilidad de que sus propietarios paguen el rescate”.

La forma de infección

En general, las tácticas, técnicas y procedimientos utilizados por estos grupos son similares. Infectan a la organización por medio de servidores vulnerables o lanzan correos electrónicos de phishing. Posteriormente se enfocan en la red de la víctima y analizan los recursos corporativos valiosos para cifrarlos y demandar un pago a cambio. Si bien comparten similitudes, algunos grupos tienen características propias y únicas.

Por ejemplo, el grupo Mamba utiliza su propio malware de cifrado, basado en el software de código abierto DiskCryptor. Una vez que los atacantes se posicionan en la red, instalan el cifrador sobre ella, usando una herramienta legal para el control remoto de Windows. “Este método hace que tales acciones sean menos sospechosas para el personal de seguridad. Los investigadores de Kaspersky Lab han encontrado casos en los que el pago era de al menos un bitcoin (que a finales de marzo 2017 equivale a alrededor de mil dólares) por la recuperación de cada terminal”.

Otro ejemplo de métodos peculiares viene de PetrWrap. Este grupo se dirige principalmente a los grandes consorcios con una gran cantidad de nodos de red. Los criminales seleccionan cuidadosamente sus blancos para cada ataque, los cuales pueden durar algún tiempo: PetrWrap se ha mantenido activo en una red hasta por seis meses.

Puntos a tomar en cuenta

Con el fin de proteger a las compañías, KasperskyLab recomiendan lo siguiente:

-Realizar una copia de seguridad de datos con regularidad para que se puedan restaurar archivos originales después de un caso de pérdida.

-Utilizar una solución de seguridad con tecnologías de detección basadas en el comportamiento. Estas tecnologías pueden hallar las brechas, observando cómo funciona en el sistema atacado y haciendo posible detectar muestras recientes y aún desconocidas.

-Inspeccionar el software instalado, no sólo en las terminales, sino también en todos los nodos y servidores de la red y mantenerlo actualizado.

-Es necesario realizar una evaluación de seguridad de la red de control (es decir, una auditoría de seguridad, pruebas de penetración, análisis de brechas) para encontrar y eliminar vulnerabilidades de seguridad. En este caso se deben analizar las políticas de seguridad de proveedores externos y de terceros en caso de que tengan acceso directo a la red de control.

-Capacitar a los empleados, prestando atención especial al personal de operaciones y de ingeniería y a sus conocimientos acerca de las recientes amenazas.

-Por último, se requiere proporcionar protección dentro y fuera del perímetro. Una estrategia de seguridad adecuada tiene que dedicar recursos significativos a la detección de ataques y respuestas con el fin de bloquearlos antes de que lleguen a objetos de importancia crítica.

¿Tienes un proyecto? ¡Visita nuestra sección