Ocho grupos de ransomware dirigen ataques cibernéticos contra empresas, ¿cómo combatirlos?

Un ataque exitoso de ransomware contra una empresa fácilmente puede detener sus procesos operativos durante horas o incluso día, por lo que hay más probabilidad de que sus propietarios paguen un rescate, según Kaspersky Lab.

Por: Redacción Gestion.pe

En el mundo hay una nueva y alarmante tendencia, y es que cada vez más los cibercriminales dejan de centrar su atención en ataques contra usuarios privados para enfocarse en ataques de ransomware contra empresas.

Según Kaspersky Lab, por lo menos ocho grupos de ciberdelincuentes han sido vinculados al desarrollo y distribución de ransomware cifrado, cuyos ataques han afectado principalmente a las organizaciones financieras en todo el mundo.

“Se han encontrado casos en que las demandas de rescate ascendieron a más de medio millón de dólares”, indicó la firma tecnológica.

[ TAMBIÉN LEA Ransomware: El ataque cibernético que afecta cada 40 segundos a una empresa ]

Entre los ocho grupos identificados están los autores de PetrWrap, que han atacado organizaciones financieras en todo el mundo y el ‘infame grupo Mamba’, que creo un ransomware capaz de bloquear todo un disco duro, una vez que los atacantes forzaran las contraseñas para acceder a la máquina víctima del ataque.

Los otros seis grupos aún no poseen un nombre específico pero también tienen como objetivo a usuarios corporativos. Anteriormente, estos seis grupos estuvieron involucrados en ataques dirigidos principalmente a usuarios privados y usaron modelos de programas afiliados.

Según los investigadores de Kaspersky Lab, la razón de esta tendencia es clara y es que los ataques de ransomware dirigidos a empresas son potencialmente más rentables en comparación con los ataques masivos contra usuarios privados.

“Un ataque exitoso de ransomware contra una empresa fácilmente puede detener sus procesos operativos durante horas o incluso días, por lo que hay una mayor probabilidad de que sus propietarios paguen el rescate”, refirió la empresa.

En general, las tácticas, técnicas y procedimientos utilizados por estos grupos son muy similares. Infectan a la organización objetivo con malware por medio de servidores vulnerables o lanzan correos electrónicos de phishing.

Posteriormente se enfocan en la red de la víctima e identifican los recursos corporativos valiosos para cifrarlos, para después demandar un rescate a cambio de descifrarlos. Si bien comparten similitudes, algunos grupos tienen características propias y únicas.

Por ejemplo, el grupo Mamba utiliza su propio malware de cifrado, basado en el software de código abierto DiskCryptor. Una vez que los atacantes se posicionan en la red, instalan el cifrador sobre ella, usando una herramienta legal para el control remoto de Windows.

Este método hace que tales acciones sean menos sospechosas para el personal de seguridad de la organización objetivo. Los investigadores de Kaspersky Lab han encontrado casos en los que el rescate ascendía a un Bitcoin (que a finales de marzo 2017 equivale a alrededor de US$1,000) por el descifrado de cada terminal.

Otro ejemplo de herramientas peculiares, utilizadas en los ataques de ransomware dirigidos, viene de PetrWrap. Este grupo se dirige principalmente a las grandes empresas con una gran cantidad de nodos de red. Los criminales seleccionan cuidadosamente sus blancos para cada ataque, los cuales pueden durar algún tiempo: PetrWrap se ha mantenido activo en una red hasta por seis meses.

“Todos debemos ser conscientes de que la amenaza de los ataques de ransomware dirigidos a las empresas está aumentando y generando pérdidas financieras tangibles. La tendencia es alarmante a medida que los agentes de ransomware comienzan su cruzada en busca de víctimas nuevas y más rentables “, comentó Anton Ivanov, investigador de seguridad senior en Kaspersky Lab.

Con el fin de proteger a las organizaciones contra estos ataques de ransomware, los expertos en seguridad de Kaspersky Lab recomiendan lo siguiente:

- Realice una copia de seguridad de sus datos apropiada y con regularidad para que pueda restaurar sus archivos originales después de un caso de pérdida.

- Utilice una solución de seguridad con tecnologías de detección basadas en el comportamiento. Estas tecnologías pueden identificar malware, entre ellos el ransomware, observando cómo funciona en el sistema atacado y haciendo posible detectar muestras de ransomware recientes y aún desconocidas.

- Visite el sitio web “No More Ransom”, una iniciativa conjunta creada con el objetivo de ayudar a las víctimas de ransomware a recuperar sus datos sin tener que pagarle a los criminales.

- Inspeccione el software instalado, no sólo en las terminales, sino también en todos los nodos y servidores de la red y manténgalo actualizado.

- Realice una evaluación de seguridad de la red de control (es decir, una auditoría de seguridad, pruebas de penetración, análisis de brechas) para identificar y eliminar vulnerabilidades de seguridad. Revise las políticas de seguridad de proveedores externos y de terceros en caso de que tengan acceso directo a la red de control.

- Solicite inteligencia externa: la inteligencia de proveedores acreditados ayuda a las organizaciones a predecir futuros ataques hacia la compañía.

- Capacite a sus empleados, prestando atención especial al personal de operaciones y de ingeniería y a sus conocimientos acerca de las recientes amenazas y ataques.

- Proporcione protección dentro y fuera del perímetro. Una estrategia de seguridad adecuada tiene que dedicar recursos significativos a la detección de ataques y respuestas con el fin de bloquear un ataque antes de que llegue a objetos de importancia crítica.