Los ataques de ransomware siguen siendo los más comunes y los más destructivos - Tecnología ISH

Los ataques de ransomware siguen siendo los más comunes y destructivos

En los últimos años, los hackers que bloquean redes informáticas enteras, exigiendo pagos para permitir a los usuarios volver a acceder a sus sistemas, han convertido el ransomware en uno de los ciberataques más temibles y costosos.

No es fácil contabilizar los casos, porque muchas víctimas pagan las peticiones de rescate sin pedir ayuda a los profesionales de la ciberseguridad, ni denunciar a las autoridades. Y la mayoría de las veces el pago no garantiza la devolución de los archivos robados. De media, las posibilidades de recuperación tras pagar el rescate son inferiores al 15%.

Otro agravante es la cantidad media que se cobra por liberar archivos en este tipo de ataques, que no para de crecer. En el último trimestre de 2019 aumentó hasta los 84.000 dólares, más del doble que en el trimestre anterior, según los datos relevados por ISH Technology. En diciembre del mismo año, ya estaba en 190.000 dólares.

Aun así, las cifras no se corresponden con el verdadero coste de un ataque de ransomware. Las operaciones en fábricas y organizaciones se interrumpen de forma tan brutal que no es raro que, tras un secuestro de datos, esas empresas tengan que cerrar.

Se está produciendo una dramática escalada de incidentes. El ransomware se ha convertido en una industria con cientos de bandas que compiten por las víctimas más lucrativas en la dark web. Cuando las víctimas no pagan, algunos grupos han adoptado la práctica de divulgar públicamente archivos sensibles para aumentar la presión y obligarlas a realizar la transacción.

Evitar un caso de ransomware no es sencillo. Pero hay medidas que se pueden tomar ahora en cualquier empresa y que pueden dificultar una invasión.

Supervisar los cambios de Active Directory

Supervisar los cambios de Active Directory, especialmente fuera de horario y los fines de semana, es una forma eficaz de detectar los indicios de un ataque antes de que se nos vaya de las manos. En los casos recientes de ransomware, la empresa no estaba supervisando proactivamente los cambios de Active Directory, especialmente las directivas de grupo. Los atacantes modifican una directiva de grupo para crear una tarea programada para que se realice una determinada actividad, que podría ser la instalación de un archivo malicioso. Así, de forma rápida y sencilla, el hacker distribuye el ataque por todo un entorno.

Aislar el puesto de trabajo

La mayoría de las organizaciones permiten que las estaciones de trabajo se comuniquen entre sí. Si esta comunicación es limitada, una estación de trabajo comprometida no puede ser utilizada por el atacante para entrar en otras estaciones de trabajo.

Separe la red en perímetros y cree segmentaciones, como perímetros para servidores, estaciones de trabajo, servidores web y bases de datos, y coloque cortafuegos en todas estas zonas. Si la empresa utiliza servicios en la nube, también son necesarias las VPN.

Disponer de un programa de gestión de la vulnerabilidad

Esto es diferente de ejecutar parches. Aunque la aplicación de parches es extremadamente importante, no es suficiente. El propósito de los parches es disminuir las brechas de seguridad en las aplicaciones de software. Sin embargo, no son las únicas lagunas de las que debe preocuparse.

Los fallos de seguridad pueden estar relacionados con la configuración. Una empresa puede tener sistemas actualizados, pero si los sistemas internos funcionan con protocolos inseguros, como NTLMv1, es un desastre anunciado.

Se recomienda un programa continuo de gestión de vulnerabilidades que incluya comprobaciones periódicas de los activos externos e internos. Además, es importante priorizar la corrección en función de la gravedad de las vulnerabilidades detectadas, que pueden estar o no relacionadas con los parches. Y, por supuesto, parchear todo lo que se detecte.

Implantar la autenticación multifactor (MFA)

Tener contraseñas seguras es insuficiente. Una cosa que tienen en común muchas empresas atacadas es que, en el momento del incidente, no se utilizaba la MFA. Exigir una segunda forma de autenticación ayuda a garantizar la identidad, ya que la MFA suele ser algo más difícil de obtener para un atacante.

Hacer copias de seguridad offline

En muchos incidentes, la solución de copia de seguridad de la empresa del cliente fue completamente borrada por los atacantes, sin embargo, las copias de seguridad offline en la nube garantizaron la recuperación de los archivos.

Por supuesto, estas no son las únicas acciones que podrían servir como protección adicional contra el ransomware. Pero se trata de algunas estrategias sencillas y eficaces que pueden aplicarse fácilmente y proporcionar algunas victorias en la guerra contra el ransomware.

Por: Anderson Gontijo

Etiquetas: , , , , SEGURA, LA SEGURIDAD, IDEAS, , , , , , SEGURIDAD

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.

Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.