Las operaciones de Ransomware consisten de varias etapas: primero, el atacante estudia la red de la víctima para luego atacarla y hacer un reconocimiento de los activos internos. Posteriormente, se mueve de manera lateral por la red y exfiltra los datos. Finalmente, ejecuta el Ransomware como tal para cifrar los datos, imposibilitando su uso y deteniendo las operaciones de su objetivo.
La nueva tendencia en este proceso, es que muchos, si no todos, los actores detrás de los ataques de Ransomware se están apoyando en diferentes estructuras y herramientas conocidas como “red teaming”, las cuales son utilizadas por pentesters (especialistas que realizan pruebas de penetración en una red) y Red Teams, o grupos de profesionales que prueban las capacidades de seguridad operativa de una empresa a través de una simulación de ataque sofisticado. En otras palabras, los cibercriminales están utilizando las herramientas destinadas a evaluar la eficacia de la red corporativa en contra de las empresas.
Para finales del 2021, Kaspersky registró un incremento significativo de ataques con el uso de estas herramientas. En lo que va de este año, las estadísticas de Kaspersky indican que, cada día, miles de usuarios latinoamericanos son víctimas de intentos de ataque con dichas herramientas, como CobaltStrike, Metasploit, entre otras.
Al analizar el panorama global de las detecciones de Ransomware, sin importar la plataforma (desde los teléfonos de Android hasta los servidores y estaciones de trabajo basadas en Windows o Linux), podemos decir que, en promedio de lo que va el año, las tecnologías de Kaspersky han registrado más de 332 ataques de Ransomware por mes, lo que equivale a unos 11 mil ataques por día.
Al considerar los efectos que un solo ataque de Ransomware puede generar, nos damos cuenta de que son datos preocupantes. Si uno de esos ataques pasa desapercibido, podría resultar en la pérdida de la información y, consecuentemente, generar impactos negativos para el negocio al no poder recuperar los datos.
Según estadísticas de Kaspersky, entre los países más afectados por Ransomware en Latinoamérica se encuentran Brasil, México, Perú, Colombia y Ecuador.
“Los afiliados que trabajan con las distintas bandas criminales de ransomware utilizan dentro de su arsenal las mismas herramientas que utilizaría un equipo que se dedica a realizar actividades de red teaming para atacar a las organizaciones. Estos afiliados son expertos en técnicas de explotación y post-explotación, enfocándose en cualquier sistema operativo con el fin de lograr el paciente cero, el cual les dará el primer acceso a la organización para después moverse de manera lateral y conseguir que toda la organización esté cifrada con ransomware”, dice Fabio Assolini, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.
Los especialistas de Kaspersky ofrecen los siguientes consejos y observaciones:
- El Ransomware como tal no se debe medir por el número de ataques, sino el impacto que este causa. Al trabajar en un modelo de amenazas, este es el factor principal que se debe considerar, en vez de las probabilidades de ser atacado.
- Para crear un modelo efectivo de protección, es necesario enfocarse en las etapas de detección temprana. Por ejemplo, la explotación de vulnerabilidades de red, movimientos laterales y exfiltración de datos.
- Es recomendable que todos puedan trabajar en diferentes PlayBooks o tener un plan de acción u estrategia para cada operador de Ransomware.
- Finalmente, los ejercicios de Purple Teaming (metodología donde los equipos de ataque (Red Team) y defensa (Blue Team) de una empresa trabajan en conjunto y comparten conocimientos para maximizar las capacidades de ciberdefensa) podrán ayudar a las compañías a medir sus verdaderas capacidades de detección.
Kaspersky ofrece varios recursos para que las empresas se defiendan contra el ransomware. Kaspersky Anti-Ransomware Tool for Business es una herramienta gratuita que protege las computadoras y los servidores contra el secuestro digital, así como otros tipos de malware. Además, es compatible con otras soluciones de seguridad ya instaladas.
Para más información, visite nuestro blog.