Para detener un ataque de ransomware, antes de que este sea implementado, es necesario comprender las tácticas, técnicas y procedimientos (TTP) que utilizan los cibercriminales.
Apenas finaliza el primer mes del año, sin embargo los ataques de ransomware (y su elevado impacto económico, de reputación y operativo) ya encabezan los titulares de múltiples portales y diarios. Según el nuevo informe «The 2024 Ransomware Threat Landscape» realizado por el Equipo de Detección de Amenazas de Symantec parte de Broadcom este peligroso malware «sigue siendo una de las formas más lucrativas de cibercrimen y una amenaza crítica para las organizaciones de todos los tamaños.»
El informe hace un análisis de las amenazas de ransomware durante los últimos 12 meses teniendo en cuenta operadores y Tácticas, Técnicas y Procedimientos (TTP). También, ofrece inteligencia procesable que incluye casos reales que son de utilidad para que las organizaciones puedan frenar los ataques desde las primeras etapas de la cadena.
Principales conclusiones del informe de Symantec sobre el ransomware
- Los ataques de ransomware aumentaron en octubre del 2023 y en este mismo mes el número de organizaciones afectadas fue un 66% más alto que en el año anterior. Esta fue una de las principales sorpresas para el Equipo de Detección de Amenazas de Symantec, sobre todo después de la interrupción de Qakbot.
- El vector principal de infección del ransomware no son las botnets sino la explotación de vulnerabilidades ya conocidas en aplicaciones públicas.
- Exceptuando la carga útil del ransomware, los atacantes están dejando de lado el malware y en su lugar utilizan software legítimo (bien sean herramientas de doble uso o funciones operativas del sistema) para realizar sus ataques.
- Los componentes del sistema operativo Windows son el software legítimo más utilizado (LoTL) PsExcec, PowerShell y WMI son las herramientas más utilizadas por los atacantes.
- Los software de control remoto como AnyDesk, Atera, Splashtop y ConectWise son el tipo de software legítimo más usado que introducen los atacantes en las redes específicas.
- El grupo SnakeFly (Clop) demostró un nuevo modelo de ataque para extorsión gracias a su explotación de la vulnerabilidad MOVEit Transfer, Identificando vulnerabilidades de Día Cero en el software empresarial es capaz de robar datos de varias organizaciones a la vez consolidando un grupo considerable de víctimas con un solo ataque.
Las principales tendencias en ransomware para 2024
Teniendo en cuenta los hallazgos en el informe de Symantec e información de otras agencias de inteligencia contra el cibercrimen es posible que esta amenaza se extienda más allá de este año. Algunos puntos importantes a considerar son:
- El ransomware dejó de ser un problema exclusivo de América del Norte cada vez se ven más grupos que actúan en otras latitudes del planeta y en países que no hablan inglés.
- Continuará la explotación de vulnerabilidades y así mismo el número de atacantes que se percatan del valor de aprovecharse de vulnerabilidades parcheadas recientemente. Es por esto que la búsqueda de sistemas sin parchear empieza el mismo día que se lanza el nuevo parche de algún software.
- Por un momento pareció que las criptomonedas, elemento clave del negocio del ransomware, iban a desaparecer. Sin embargo ahora, parece estar renovando su legitimidad ante la Comisión de Valores de los EEUU (SEC por sus siglas en inglés) al convertirse en un Fondo Cotizado en Bolsa (ETF por sus siglas en inglés). En resumen, mientras existan las criptomonedas, el negocio del ransomware continuará.
- Aumento de los ataques de ransomware sin cifrado. Esto significa un aumento en la tendencia hacia el robo de datos como mecanismo de apalancamiento de la extorsión sin necesidad de cifrar los archivos, ya que el cifrado de terminales y de información requiere una mano de obra extensa. El equipo de Symantec ha detectado a grupos cibercriminales experimentar con éxito este tipo de ataques.
La defensa debe cambiar de rumbo: La necesidad de una protección adaptativa.
Hay una certeza y es que el ransomware seguirá siendo una amenaza persistente para todas las organizaciones independientemente de su tamaño. Para mitigar este riesgo es necesario adoptar una postura profunda de defensa que se sirva de múltiples tecnologías de detección, protección y refuerzo para reducir el riesgo en los múltiples puntos de una cadena de ataque. Sumado a esto, las organizaciones deberían profundizar el conocimiento de sus vectores de infección actuales que son donde generalmente ocurren los ataques de ransomware. Este nivel de información les permitirá a las organizaciones identificar y priorizar ciertas debilidades y generar una defensa más robusta.
Por estas razones, los encargados de la ciberdefensa en las organizaciones están recurriendo a Symantec Adaptative Protection en la lucha contra el ransomware. Esto los ayuda a cerrar las rutas de ataque disponible utilizando herramientas locales ya que el sistema de protección adaptativa traza los distintos métodos usados por los atacantes y muestra estos datos en forma de mapa de calor para obtener una referencia rápida. Los equipos de respuesta ante incidentes pueden aprovechar esta información para comprender qué herramientas están utilizando en varios ataques como Amenazas Persistentes Avanzadas o ataques de ransomware.
Actualmente la Symantec está rastreando 70 comportamientos específicos a través de 54 herramientas LoTL lo cual le permite reaccionar rápidamente y actualizar los datos en un panorama de cambio constante.
Conclusiones del Equipo de Detección de Amenazas de Symantec
El ecosistema de delitos cibernéticos asociados al ransomware es muy duradero y continúa sobreviviendo pese a las interrupciones y los esfuerzos de las fuerzas del orden. La buena noticia es que hay métodos y herramientas que se pueden utilizar para reducir los riesgos. Combinando Inteligencia Procesable sobre los TTP con Symantec Adaptative Protection los equipos de defensa pueden tener una mejor comprensión sobre como sus organizaciones pueden verse comprometidas y tomar las medidas que les permitan protegerse.
En eSoft Colombia somos Partner Premiere de Symantec y Tier 1 VAD / Expert Advantage Partner de Broadcom lo que nos permite brindarle asesoría especializada y certificada en la implementación de soluciones de ciberseguridad entre los que se encuentra Symantec Adaptative Protection.