Informes

El ransomware se ha convertido en un método de ataque de una magnitud épica. En la actualidad, la combinación de tecnología obsoleta, estrategias de defensa centradas solo en los perímetros, la falta de protocolos de seguridad y la ausencia de una solución mágica e infalible pone en riesgo a organizaciones de todos los tamaños. Cada día decenas de empresas en América Latina están perdiendo la batalla contra el ransomware.

A partir de 2022, el costo promedio de una sola filtración de datos en todas las industrias en el mundo fue de alrededor de 4,35 millones de dólares. Se descubrió que esto era más costoso en el sector de la salud, y se informó que cada fuga supuso a la parte afectada 10,1 millones de dólares. El segmento financiero le siguió de cerca, cada incumplimiento resultó en una pérdida de aproximadamente 6 millones de dólares, 1,5 millones más que el promedio mundial.

La metodología utilizada por los cibercriminales para realizar un ataque de ransomware normalmente obedece a los siguientes cinco pasos:

1) Romper el perímetro: Por medio de alguna de las técnicas existentes como ataques de fuerza bruta, vulnerabilidades, phishing, etcétera, el atacante busca acceder a los sistemas.

2) Ganar privilegios a nivel de administrador: Es en este punto cuando el atacante busca capturar credenciales de usuarios de altos privilegios para poder realizar modificaciones en las configuraciones de los sistemas y aplicaciones con el único fin de evitar la correcta operación de los servicios.

3) Moverse lateralmente: El atacante se mueve de manera lateral con el objetivo de reconocer la infraestructura circundante, servicios potencialmente vulnerables y detectar la existencia del repositorio de datos de respaldo.

4) Infección: Una vez entendido el entorno se busca avanzar al cuarto paso que es continuar con la infección de dichos servidores ya sea atacando protocolos potencialmente vulnerables como RDP, SMB o SSH que precisamente son de fácil presencia en la operación normal de los sistemas o la ejecución de herramientas maliciosas como EthernalBlue, Zerologon, entre otras.

5) Cifrar: Todo lo que pueda ser cifrable como archivos de sistemas, datos sensibles de usuarios, bibliotecas con los detalles de configuración de sistemas incluyendo permisos, entre otros datos que sean vitales para la operación normal del día a día de las empresas e instituciones.

Así es cómo la Microsegmentación ayuda a prevenir el ransomware

La Microsegmentación es la forma más rápida de visualizar y segmentar los activos en el centro de datos, la nube o la infraestructura de nube híbrida. El elemento de segmentación basado en software de la Microsegmentación separa los controles de seguridad de la infraestructura subyacente y ofrece a las organizaciones flexibilidad para ampliar la protección y la visibilidad en cualquier lugar.
Ante la amenaza de ransomware, se recomienda a las empresas limitar al máximo el acceso entre los equipos para evitar el movimiento lateral. Hay que prestar especial atención a aquellos protocolos y servicios que las campañas de ransomware suelen atacar. En caso de detectar que se está produciendo un ataque de ransomware, la compañía deberá utilizar herramientas que proporcionen visibilidad para comprender el alcance de la filtración. Según la información que se obtenga, se deberán aislar las partes afectadas de la red del resto de la organización y agregar más capas de seguridad a las aplicaciones y copias de seguridad esenciales. Solo se deberán restablecer gradualmente los flujos de comunicación una vez tomadas las medidas de mitigación y que se hayan restaurado los servicios.