Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Contención de Ransomware

Entendiendo el ransomware: el patrón de ataque más común

Illumio Editorial
,
March 16, 2022
23 min. lectura

La transformación digital es ahora el número uno objetivo estratégico del negocio. Desde Sydney hasta San Francisco, las salas de juntas están trabajando en la mejor manera de aprovechar el poder de la nube, IA, IoT y más para impulsar el éxito. Sus esfuerzos no solo son vitales para crear nuevas experiencias de cliente y optimizar los procesos del negocio. También son fundamentales para apoyar el nuevo modelo de trabajo híbrido que emerge rápidamente de las cenizas de la pandemia.

Sin embargo, el precio que las organizaciones suelen pagar por aumentar su huella digital está expandiendo la superficie de los ataques cibernéticos. Esto invita al riesgo cibernético, particularmente la amenaza de dañar ransomware incumplimientos.

Decenas de desarrolladores de ransomware y grupos afiliados operan actualmente en todo el mundo. Eso significa que también hay una gran variedad de tácticas de ataque, técnicas y procedimientos en circulación. Pero eso no significa que no podamos discernir una primaria Modus operandi. Aún mejor, podemos tomar este patrón general de ataque y aplicar un proceso simple de tres pasos para ayudar a mitigar el riesgo de ransomware.

Este es el valor de microsegmentación basado en una visibilidad integral de las comunicaciones de los activos de la red y las vías comunes utilizadas por los agentes de amenazas.

Esta publicación de blog responderá preguntas comunes sobre cómo funciona el ransomware y cómo detenerlo.

¿Por qué es importante el ransomware?

Ransomware alcanzado niveles récord en los primeros tres trimestres de 2021, con un proveedor que registró cerca de 500 millones de intentos de compromiso en todo el mundo. Los ataques han evolucionado en los últimos años hasta el punto en que la exfiltración de datos es ahora la norma, agregando un elemento completamente nuevo de riesgo para el negocio. Significa que las organizaciones no pueden simplemente hacer backup de datos y cruzar los dedos. Existe un riesgo real de daño financiero y reputacional derivado únicamente de la violación de datos.

En la actualidad, los llamados ataques de “doble extorsión” podrían derivar en:

  • Multas reglamentarias
  • Pérdida de productividad
  • Ventas perdidas
  • Costos de tiempo extra de TI para recuperar e investigar
  • Honorarios legales (por ejemplo, demandas colectivas en caso de violación de datos)
  • La deserción de clientes
  • Precio de las acciones decreciente

Cada organización y cada ataque es diferente. Si bien algunos comentaristas estiman que impacto financiero medio con casi 2 millones de dólares hoy, algunas incursiones han costado víctimas cientos de millones. Eso hace que sea esencial tomar medidas proactivas para contrarrestar la amenaza.

¿Cómo funciona el ransomware?

La buena noticia es que, a pesar de las muchas variantes y grupos afiliados en operación en la actualidad, podemos discernir un patrón básico para la mayoría de los ataques. En resumen, los actores de amenazas:

  • Escóndete dentro de las redes durante meses antes de atacar.
  • Aproveche las rutas comunes para el acceso inicial a la red y el movimiento lateral continuo.
  • Realice acciones en múltiples etapas para lograr sus objetivos.

Vamos a profundizar en cada uno de estos.

¿Cómo pasan desapercibidos los atacantes durante tanto tiempo?

El objetivo de los atacantes es permanecer ocultos hasta que hayan construido una presencia lo suficientemente fuerte dentro de la red de la víctima como para robar grandes volúmenes de datos confidenciales e implementar ransomware en todas partes.

Para ello, ellos:

  • Incumplir un activo que la organización no sabía que era vulnerable o expuesto, ya sea un dispositivo, una aplicación o una carga de trabajo con una conexión abierta a Internet y otros activos de red
  • Usar rutas y flujos de datos que la organización no sabía que estaban abiertos y que deberían cerrarse de acuerdo con la política de seguridad de las mejores prácticas
  • Compromiso de múltiples sistemas que abarcan múltiples funciones, lo que dificulta que los equipos rastreen todo hasta un solo incidente

¿Cómo explotan los atacantes las vías comunes?

La mayoría del ransomware llega a través de correos electrónicos de phishing, Compromiso de RDP o explotación de vulnerabilidades de software. Para aumentar las posibilidades de éxito, los atacantes buscan:

  • Un pequeño conjunto de vías populares de alto riesgo, como RDP o SMB. Por lo general, son para toda la organización, se mapean fácilmente y, a menudo, se configuran mal.
  • Puertos abiertos y activos explotables, mediante escaneos automatizados que utilizan scripts y rastreadores.
  • Formas de moverse lateralmente a gran velocidad, utilizando estas vías de alto riesgo para propagarse por toda la organización en solo minutos.

¿Cómo funcionan los ataques multietapa?

La mayoría de los ataques comienzan con comprometer un activo de bajo valor, ya que estos suelen ser más fáciles de secuestrar. El truco para los actores de amenazas es entonces pasar por etapas adicionales para llegar a activos valiosos de los que pueden robar datos o encriptar, proporcionando apalancamiento al extorsionar a la organización víctima.

Para ello, los atacantes suelen:

  • Aproveche la escasa visibilidad, los controles de políticas y la segmentación de una organización.
  • Conéctese a Internet para descargar herramientas adicionales para ayudar con las siguientes etapas de un ataque o exfiltrar datos a un servidor bajo su control.
  • Causa la mayor parte del daño a través del movimiento lateral, que es el proceso de saltar en la red de un activo a otro.

Tres sencillos pasos para detener el ransomware

Con este patrón de ataque típico en mente, los CISO pueden comenzar a diseñar una respuesta: una nueva arquitectura de seguridad basada en tres componentes simples:

1. Desarrollar una visibilidad integral de los flujos de comunicación en todo su entorno

Esto dejará a tus atacantes sin dónde esconderse, desenmascarándolos mientras intentan comprometer el activo inicial o durante el movimiento lateral.

Para ello, debes:

  • Desarrolle visibilidad en tiempo real de todos los activos, lo que le permite abordar cualquier flujo de datos no esencial o anómalo.
  • Cree un mapa en tiempo real del entorno para identificar qué cargas de trabajo, aplicaciones y endpoints deben permanecer abiertos y cuáles pueden cerrarse.
  • Cree una vista unificada de los flujos de comunicaciones y los datos de riesgo desde los que todos los equipos de operaciones puedan trabajar, lo que reduce la fricción interna.


2. Cree capacidades de bloqueo de ransomware

No es suficiente simplemente mapear los flujos de comunicación y entender qué activos se pueden cerrar. Debes tomar medidas para reducir la superficie de ataque y bloquear las incursiones en curso.

Hacer esto de la siguiente manera:

  • Cerrar tantas rutas de alto riesgo como sea posible y monitorear las que permanecen abiertas en tiempo real.
  • Cerrar cualquier puerto que no necesite estar abierto, lo que reduce las posibilidades de que los análisis automatizados encuentren activos expuestos.
  • Crear un conmutador de contención de emergencia que se pueda lanzar en segundos para restringir las comunicaciones de red en caso de un ataque.

3. Aislar activos críticos

La etapa final es evitar que los atacantes lleguen a activos críticos, obligándolos a tomar acciones más fáciles de detectar para progresar.

Esto implicará:

  • Aplicaciones de cercado de anillo para evitar que los activos de alto valor se vean comprometidos.
  • Cerrar las conexiones salientes a IP que no sean de confianza, permitiendo solo aquellas que se encuentran en una” aprobada”lista de permitidos.”
  • Desarrollo de medidas de seguridad posteriores a la brecha para proteger los activos críticos y evitar que los ataques se propaguen.

La lucha comienza aquí

Hoy en día, ninguna organización puede ser 100% a prueba de incumplimiento: los atacantes son demasiado decididos, cuentan con recursos suficientes y son grandes en número para eso. Pero con el enfoque adecuado en la visibilidad de la red, los controles de políticas y la segmentación, puede crear un arquitectura de seguridad más inteligente más probable que aísle la amenaza.

La mayoría de los actores de amenazas son oportunistas y buscan un ROI rápido y fácil. Tome estos tres pasos para interrumpir sus planes, y tendrá una gran oportunidad de evitar compromisos serios.

Más información:

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Elevando el listón para los atacantes: cómo la microsegmentación puede proteger a las organizaciones de ataques similares a Kaseya
Contención de Ransomware

Elevando el listón para los atacantes: cómo la microsegmentación puede proteger a las organizaciones de ataques similares a Kaseya

Cómo la microsegmentación podría haber reducido la superficie de ataque y mitigar las consecuencias del ataque de Kaseya.

Leer más
CCPA y Zero Trust Security para PII: Salud y educación
Contención de Ransomware

CCPA y Zero Trust Security para PII: Salud y educación

Leer más
Reducción de ransomware 101: Movimiento lateral entre endpoints
Contención de Ransomware

Reducción de ransomware 101: Movimiento lateral entre endpoints

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información