La seguridad informática es un campo que cambia rápidamente, lleno de retos y amenazas en constante evolución. Un riesgo particularmente pernicioso que ha estado en aumento es el ransomware, un tipo de malware que cifra los datos de los usuarios y pide un rescate para desbloquearlos. No sólo las organizaciones son vulnerables, sino que también sus directores, gerentes de TI y CTOs pueden verse directamente afectados por estas amenazas.
Afortunadamente, hay un recurso crítico que puede hacer la diferencia en la batalla contra el ransomware: la Inteligencia sobre Amenazas Cibernéticas (CTI, por sus siglas en inglés). Este artículo desglosará la importancia de CTI en la prevención y mitigación de ataques de ransomware.
La CTI es el proceso de recopilar, analizar y diseminar información sobre amenazas cibernéticas. Este enfoque proactivo permite a las organizaciones entender mejor las tácticas, técnicas y procedimientos (TTPs) que los ciberdelincuentes emplean, ofreciendo valiosa información para fortalecer las defensas de la red.
Te podría interesar leer: Phishing Intelligence: Escudo Defensivo contra Ciberataques
En años recientes, hemos visto un auge en la disponibilidad de ransomware como servicio (RaaS) proporcionado por ciberdelincuentes. Este modelo de negocio facilita que individuos con habilidades técnicas limitadas lleven a cabo ataques, ya que se elimina la necesidad de tener conocimientos para crear malware, administrar infraestructuras de red o proporcionar asistencia técnica.
Nuestro servicio SOC as a Service está constantemente rastreando y descubriendo agrupaciones de ransomware en la Dark Web que apuntan a empresas y organizaciones globalmente. A pesar de los esfuerzos y medidas de seguridad implementadas, nuestras observaciones más recientes indican que la actividad y las variantes de estos grupos de ransomware están en ascenso.
¿Por qué las variantes de ransomware continúan multiplicándose? Para abordar esta cuestión, tomemos un caso ilustrativo. Tras la filtración en línea del código fuente de Babuk en junio de 2021, se observó que al menos 10 diferentes grupos de ransomware habían creado sus propias versiones maliciosas, basadas e inspiradas en el código original de Babuk.
Este fenómeno facilita a los ciberdelincuentes la creación de nuevas versiones de malware con ajustes mínimos, diversificando aún más el conjunto de actores maliciosos en este espacio. En consecuencia, rastrear, detectar y prevenir nuevas variantes de ransomware se convierte en un reto cada vez más complejo.
Te podría interesar leer: Ransomware as a Service: Una Amenaza Alarmante
- Contexto: La CTI ofrece contexto que permite a los equipos de seguridad anticipar y prepararse para ataques específicos. En el contexto del ransomware, esto podría implicar conocer las vulnerabilidades que son explotadas con más frecuencia o entender los métodos de entrega de ransomware como phishing o ataques de fuerza bruta.
- Estrategias de Mitigación: Con el conocimiento adquirido a través de la CTI, los líderes de TI pueden crear estrategias de mitigación más efectivas. Esto podría implicar parchear sistemas vulnerables, fortalecer firewalls o implementar soluciones de seguridad de endpoint.
- Respuesta Rápida: En caso de que un ataque tenga éxito, la CTI puede acelerar el proceso de recuperación al identificar rápidamente el tipo de ransomware y ofrecer medidas de remedio específicas.
Te podría interesar leer sobre: Protección de Endpoints con Wazuh: Prevención de Intrusiones
El ransomware puede infiltrarse en los sistemas organizativos a través de diversas rutas, aunque los responsables de estos ataques suelen tener preferencias claras por ciertos métodos de infección y distribución. En general, la mayoría de los episodios de ransomware se agrupan en cuatro categorías clave de vectores de ataque: correos electrónicos de phishing y propagación de malware, accesos a través de RDP/VPN, explotación de fallos de software y uso de credenciales de inicio de sesión vulneradas.
Correos electrónicos maliciosos y propagación de malware: Los correos electrónicos maliciosos son una vía común para que el ransomware infecte sistemas. Estos correos pueden contener enlaces o archivos adjuntos que, una vez abiertos, activan la descarga del malware. Una vez que el malware entra en un sistema, los atacantes pueden moverse lateralmente para infectar más áreas antes de ser detectados. Las botnets, como Emotet y Trickbot, son clave en la distribución de malware y suelen preceder a ataques de ransomware más graves, como los realizados por los grupos Conti y Ryuk. Estas redes de bots también son explotadas para otros fines maliciosos.
Acceso a través de RDP/VPN: El Protocolo de Escritorio Remoto (RDP) es una vía común para la infiltración de ransomware. Los atacantes pueden usar credenciales robadas o compradas para acceder a redes empresariales. Estos accesos, a menudo vendidos en la dark web, pueden incluir información crítica como la del 'Active Directory', lo que los convierte en puertas de entrada vitales para ataques más amplios. Un estudio reciente señala que los grupos de ransomware a menudo colaboran con intermediarios que proporcionan accesos iniciales, especialmente en el modelo emergente de Ransomware-como-Servicio (RaaS).
Explotación de vulnerabilidades de software: La explotación de vulnerabilidades de software es otra ruta frecuente para ataques de ransomware. No actualizar el software con parches de seguridad o la presencia de vulnerabilidades de día cero pueden abrir puertas a atacantes. Por ejemplo, el grupo CLOP ransomware explotó una vulnerabilidad en el software MOVEit, afectando a diversas entidades y exigiendo rescates. La administración de parches es un equilibrio entre tiempo y riesgo, y no todas las vulnerabilidades pueden abordarse de inmediato. Monitorear foros clandestinos donde se discuten y venden exploits puede ayudar en la priorización de parches.
Robo de Credenciales: El robo de credenciales es un desafío constante para las organizaciones. Los métodos varían desde tácticas de phishing hasta ingeniería social. Aunque la autenticación multifactor (MFA) puede ofrecer cierta protección, los ciberdelincuentes están afinando métodos para eludirla. Además, el malware, como los ladrones de información, recoge credenciales y cookies de sesión, lo que puede permitir a los atacantes evadir incluso las medidas de MFA.
Te podría interesar leer sobre: Detección de Acceso RDP a la Venta en Foros de la Dark Web
En resumen, aunque las estrategias convencionales para combatir ataques de ransomware a menudo se quedan cortas, muchas veces los incidentes se pueden detectar en fases tempranas de la cadena de eventos cibernéticos. El empleo efectivo de la inteligencia en ciberamenazas puede ofrecer las alertas anticipadas necesarias para entender y minimizar estos tipos de riesgos.
Nuestro servicio SOC as a Service puede ser crucial en diferentes etapas de este proceso de seguridad. Recopilamos credenciales de inicio de sesión desde múltiples fuentes, como bases de datos robadas y filtraciones de datos, con el propósito de alertar a las organizaciones de manera temprana cuando sus credenciales son expuestas en la web profunda o oscura (Dark y Deep web).