Un análisis de Kaspersky revela que los ataques al estilo ‘francotirador’: un ataque, una víctima, impulsan la nueva tendencia del ransomware a empresas que ha aumentado de manera alarmante
En 2021 no faltaron los reportes sobre ciberataques que paralizaron las operaciones de grandes empresas por varios días. Esta tendencia de escala mundial fue causada por programas maliciosos llamados ransomware, amenaza que es cada vez más selectiva con sus víctimas. Según el más reciente análisis de los especialistas en seguridad de Kaspersky esta actividad delictiva, el ransomware a empresas, se centra en empresas financieramente sanas y ha mantenido un crecimiento de triple dígito en la región durante la pandemia, registrando un aumento del 207% el año pasado en comparación con el periodo previo a la emergencia sanitaria.
El análisis se basa en los intentos de ataques bloqueados por las tecnologías de Kaspersky, conectadas a su red de protección en la nube (Kaspersky Security Network), entre enero de 2019 y finales de noviembre de 2021, y sólo considera al ransomware «dirigido», como Conti, Darkside, Lockbit, Ransomexx, Revil (también conocido como Sodinokibi o Sodin), Ryuk y Wastedlocker. «Como presentamos en el Panorama de los ataques de ransomware en América Latina, esta nueva ola de ataques es planificada. Ya no hay ‘soldados que disparan al azar’ para ver cuántas víctimas caen. Hoy en día, el ciberdelincuente lanza su ataque al estilo de un francotirador profesional: un disparo, una víctima», explica Claudio Martinelli, director general para América Latina en Kaspersky.
Según expertos de la empresa, esta nueva tendencia dificulta la comparación de los ataques tradicionales entre meses o años, ya que las actividades maliciosas no tienen una frecuencia constante. Sin embargo, al comparar los periodos en los que hubo picos de actividad en la región (diciembre de 2019 con septiembre de 2021), las tecnologías de Kaspersky registraron un aumento del 207% en los bloqueos de ransomware dirigido en comparación con el periodo previo a la emergencia sanitaria – con una actividad más elevada en abril de 2020.
Para las víctimas de ransomware, un incidente representa pérdidas económicas por la imposibilidad de operar durante días o semanas y la exigencia de un «rescate» para desbloquear computadoras, servidores y sistemas. En algunos casos, esta suma puede ser multi-millonaria. Sin embargo, más allá del aspecto financiero, lo que más asusta a los directivos de las empresas es el impacto a la reputación de la compañía. «Ningún director general quiere ver el nombre de su empresa asociado a un ciberataque en las noticias. El impacto de esto en las empresas es gigantesco y, precisamente por esto, los grupos especializados en este tipo de amenaza anuncian su éxito al infectar a sus víctimas, pues la enorme presión de los clientes y de los organismos reguladores creará una necesidad de urgencia, lo que en última instancia aumenta la posibilidad de recibir el pago de rescate«, explica Martinelli.
Dado que los ransomware modernos utilizan programas de cifrado fuertes para bloquear el acceso a datos y sistemas esenciales, el ejecutivo destaca que la prevención es la única solución posible para evitar «convertirse en noticia». «Cuando se sabe cómo funciona una estafa, es fácil prevenirla, ¿correcto? En teoría, sí. Nuestro equipo de investigación ya ha detallado cómo funciona el ransomware. Pero, en la vida real, las empresas dependen de procesos bien ejecutados, del factor humano y de la aprobación de presupuestos», explica el ejecutivo.
Martinelli resalta que los cibercriminales planifican bien sus atentados contra empresas objetivos, por lo que basta con que una sola pieza de la estrategia de ciberseguridad este fuera de lugar para que el ataque se dé. «¿Alguna vez has intentado proteger tu entorno para que los mosquitos no te quiten el sueño? Usas loción repelente, un difusor eléctrico, mosquiteros en todas las ventanas: la implementación de todo esto crea una sensación de seguridad. Pero basta con un fallo –olvidarse de enchufar el difusor o un pequeño agujero en el mosquitero– para despertar con una picada. Con el ransomware es igual: los ciberdelincuentes tienen el tiempo y la voluntad de buscar la manera de acceder a la red empresarial. Basta con que encuentren una contraseña débil, un sistema mal configurado o una solución de protección ineficaz para conseguir su objetivo».
Teniendo en cuenta los principales fallos, Kaspersky recomienda los siguientes pasos para evitar ser víctima del ransomware:
- Conozca cuáles son los posibles fallos en sus sistemas, red y estructura.
Puede realizar una auditoría interna o evaluar los servicios de diagnóstico de seguridad externos, como las simulaciones de phishing o informes de riesgos digitales sobre los vectores de ataque asociados con la huella digital completa de una organización.
- Evalúe los conocimientos de sus empleados.
Asegúrese de que el equipo de seguridad cuente con la información necesaria para evaluar las defensas contra el ransomware y que pueda planificar acciones de respuesta a incidentes que eviten que un incidente tenga éxito. En caso de que no se tengan conocimientos especializados, existen cursos de capacitación disponibles. Evalúe también si los empleados cuentan, en general, con los conocimientos básicos para evitar ser víctimas de estafas. Un clic puede permitir al delincuente acceder a la red. Además, se debe mantener una rutina de capacitación en materia de seguridad para todos los empleados, adaptando los módulos a las necesidades específicas.
- Compruebe con regularidad que sus defensas funcionan a un nivel óptimo.
Hoy en día, existen varias tecnologías que permiten actuar de forma proactiva para prevenir un ataque, por ejemplo:
● Informes de inteligencia de amenazas con información sobre el descubrimiento, el modus operandi y las formas de identificar cada nuevo ransomware en la infraestructura corporativa.
● Tecnologías EDR que ofrecen detección avanzada de actividades maliciosas.
● Servicios de descubrimiento de ataques en curso, que realizan una revisión a profundidad de los sistemas, la red y los equipos para evaluar los puntos débiles de la defensa corporativa. Este diagnóstico puede realizarse anualmente o siempre que se sospeche de una actividad maliciosa.
● Analizar las pruebas comparativas o realizar un análisis interno para garantizar una protección real. El laboratorio AV-Test ha publicado recientemente un informe específico sobre la protección contra el ransomware.
● Comprobar las copias de seguridad regularmente. Es habitual que las empresas generen copias de seguridad y que, al momento siguiente del proceso, el archivo esté intacto. Desgraciadamente, los errores son habituales y puede existir una copia defectuosa. Asegúrese de que los archivos estén bien para permitir una rápida reanudación de las operaciones.
Obtenga más información en http://latam.kaspersky.com.