Print
Email

Parent Category: Noticias

Calabasas, CA. Ixia, proveedor líder de soluciones de seguridad, visibilidad y pruebas de redes, ofrece a las organizaciones tres principios básicos para protegerse efectivamente contra el ransomware.

 

El ransomware se ha convertido en la herramienta preferida de los hackers para ganar dinero en la economía del cibercrimen. De acuerdo con el último Informe sobre Investigaciones de Violaciones de la Información de Verizon (DBIR), es el tipo de crimeware más común, porque el secuestro de archivos es rápido, de bajo riesgo y fácilmente monetizable, en especial, por el uso de Bitcoin para recolectar pagos anónimos.[1] Desde enero de 2016, los ataques dirigidos a empresas han aumentado un 300 % y se calcula que se produce un ataque cada 40 segundos.[2] El último ataque mundial de ransomware, llamado WannaCry, ha afectado a más de 200,000 víctimas en 150 países desde el 12 de mayo. Estos datos revelan que es necesario que las organizaciones implementen medidas preventivas para protegerse contra futuras violaciones de la información.

Los métodos de propagación de ransomware han ido evolucionando a medida que los criminales buscan aumentar los niveles de infección e incrementar sus ganancias ilegales. Por ejemplo, los primeros métodos convencionales de propagación, como los archivos adjuntos infectados en correos electrónicos, se detectaban y bloqueaban de forma relativamente fácil con antivirus y entornos de pruebas de seguridad. Sin embargo, las infecciones actuales están diseñadas específicamente para burlar este tipo de defensas tradicionales.

“Para los cibercriminales es fácil modificar y adaptar el código del ransomware lo suficiente como para evitar que sea detectado por las bases de datos de firmas de virus de los programas antivirus”, dijo Steve McGregory, Director Sénior de Application Threat Intelligence de Ixia. “Estas variantes de ransomware se conocen como ‘mutaciones de día cero’. Una vez que son identificadas, las firmas de ransomware se actualizan y se implementan para que los antivirus bloqueen la nueva variante, aunque esto puede tardar varios días. Mientras tanto, las organizaciones siguen siendo vulnerables y los cibercriminales se aprovechan de esto”.

McGregory agregó: “Por ejemplo, en el caso del ataque del ransomware WannaCry, una vez que se infecta una de las máquinas de la red, el ransomware se propaga en busca de sistemas Microsoft cercanos que sean vulnerables al protocolo Bloque de mensajes del servidor (SMB) MS17-010. Esta vulnerabilidad se reparó recién en marzo de este año, y muchas computadoras aún no han aplicado el parche de seguridad. En el caso del Servicio Nacional de Salud del Reino Unido, se informó que el 90 % de sus sistemas todavía funciona con Windows XP, por lo que son más vulnerables a los ataques y las interrupciones pueden ser más devastadoras”.

De acuerdo con Ixia, hay tres principios básicos que las organizaciones deben tener en cuenta para protegerse efectivamente contra ransomware:

1. Descubrir el origen

La cadena de infección del ransomware comienza siempre con un correo electrónico de phishing que tiene un documento adjunto. El documento contiene un macro lo suficientemente pequeño como para parecer inofensivo, incluso para tecnologías sandbox. Cuando se abre el documento, se activa el macro, se conecta al servidor remoto del atacante y comienza a descargar la carga útil del ransomware a la máquina. Además, el macro reescribe la carga útil a medida que se descarga para que el contenido parezca inofensivo hasta el momento en que logra entrar al host.  

2. Entender su comportamiento

Enfocar las medidas de protección contra ransomware en el contenido que les llega a las organizaciones no es una medida efectiva. Es muy poco probable que se puedan detectar los macros basados en correos electrónicos, incluso en entornos sandbox virtuales, ya que no manifiestan comportamientos maliciosos cuando son examinados. La carga útil no parecerá maliciosa hasta que esté en la máquina y comience a encriptar los archivos. Las organizaciones deben prestar atención a pistas clave para poder saber de dónde viene la infección y no concentrarse únicamente en averiguar qué es la infección. 

3. Bloquear la infección

En la última etapa de la infección del ransomware, las cargas útiles llegan de direcciones IP maliciosas conocidas en Internet. Como la cantidad de direcciones IP es relativamente escasa, se usan las mismas direcciones “malas” una y otra vez. Incluso las variantes nuevas del malware pueden estar vinculadas a una pequeña cantidad de direcciones IP peligrosas. 

Si una máquina conectada a la red de una organización intenta descargar contenido de una dirección IP maliciosa conocida, es muy probable que se trate de la etapa inicial de un ataque ransomware. No es necesario examinar el macro que está intentando la descarga ni el contenido que se está descargando.

La forma más simple y económica de evitar ataques es bloquear automáticamente todas las conexiones corporativas a direcciones IP maliciosas conocidas y utilizar una fuente de inteligencia de amenazas actualizada continuamente. Esto permitirá anular la posibilidad de nuevos ataques, así como de infecciones existentes latentes.

McGregory concluyó: “Las organizaciones no pueden seguir ignorando la amenaza del ransomware. Si no se realizan copias de seguridad de la información más importante y esa información solo está almacenada en los sistemas afectados por el ataque, las consecuencias pueden ser muy graves para sus finanzas y su reputación. La pérdida de datos de clientes, registros financieros y otro tipo de información irreemplazable puede impedir que la organización siga haciendo negocios y tiene el potencial de provocar vacíos permanentes en los registros”.

Redacción 21

seguridadcc
© Derechos reservados 2013 :: Ser.Com SA de CV :: Ciudad de México