CONTACTO
Ataques de ransomware afectan a la industria

Ataques de ransomware afectan a la industria

por | Ago 8, 2024 | InfoSecurity

Hablar de ciberseguridad debe llevarnos a reflexionar sobre las vulnerabilidades que nos afectan en los diferentes ambientes en los que nos movilizamos e interactuamos, ya sea en el doméstico, el del transporte, oficina, fábrica, o en cualquier otro, porque prácticamente todo el día estamos conectados a un dispositivo enlazado a Internet, tanto en redes caseras, privadas o públicas. 

Y desde luego, los entornos industriales no son la excepción. Como usuarios finales, quizá no escuchamos frecuentemente sobre las amenazas y los ataques que sufren las fábricas y las plantas de producción de distintos artículos, pero lo cierto es que los cibercriminales están aprovechando las nuevas vulnerabilidades de la industria un 43% más rápido que en el primer semestre de 2023, de acuerdo con un informe especializado[1]

De hecho, el mismo reporte señala que el 44% de todas las muestras de ransomware y wiper se dirigieron a los sectores industriales, aunque se denota cierta desaceleración en los ataques de secuestros de datos en el último año, probablemente porque los ciberdelincuentes dejaron la estrategia tradicional de “distribución y oración” para diseñar estrategias dirigidas a las industrias de energía, atención médica, manufactura, transporte, logística, y automotriz. 

Vale la pena considerar que con el transcurso del tiempo, los negocios y el entorno industrial han dependido de recursos como la Tecnología Operativa (OT – hardware y software para controlar y monitorizar dispositivos, procesos físicos e infraestructuras); o como los Sistemas de Control Industriales (ICS – hardware y software que automatizan los procesos de producción, monitorizan y soportan la infraestructura industrial), o los Sistemas de Control de Supervisión y Adquisición de Datos (SCADA – para el control de los equipos, y para recopilar y registrar datos operativos). 

Y es que el uso de tales elementos, en conjunto, incluso rebasan el propio entorno industrial para utilizarse como elementos de apoyo y contribuir al abasto de agua, electricidad y gas a las viviendas, transportar la gasolina necesaria para los vehículos, apoyar el funcionamiento del transporte público, y desde luego, fabricar productos de consumo como alimentos, medicamentos y bebidas[2]

Cabe destacar que la tecnología operativa (OT), no se diseñó originalmente para el mundo digital, del que hemos visto su desarrollo acelerado en etapas recientes, y por ello, gran parte de la infraestructura crítica, que incluye a las instalaciones, sistemas físicos o servicios esenciales y de utilidad pública vitales para el funcionamiento de la sociedad y la economía, se ejecuta en sistemas heredados (obsoletos, pero que siguen en uso) que son más susceptibles a los ciberataques. 

Por ello, muchos de estos sistemas no tienen las características y capacidades de protección que incluyen los equipos modernos (como software antivirus, parches de seguridad, contraseñas, y otros elementos), pero la necesidad de generar y recibir información en tiempo real para tomar decisiones y optimizar el rendimiento ha requerido que estén conectados a las redes comerciales e Internet. 

Ante tal panorama, los ciberataques a estos sistemas pueden afectar la seguridad de los trabajadores y del público, así que la infraestructura crítica no solo debe proteger estos sistemas contra ataques, sino que también debe incorporar resiliencia operativa para que las operaciones sigan funcionando en caso de que un ciberataque tenga éxito. 

Son varios los daños que pueden causar los ciberataques a los sistemas OT/ICS/SCADA, como afectaciones al abasto de agua, energía, combustible y gas; pérdida de servicios de comunicaciones, en celulares y en líneas fijas; interrupciones en servicio de transporte público o privado, de cualquier modalidad; escasez de productos de consumo de limpieza, medicinas y otros; y como consecuencia, movimientos sociales de protesta ante la falta de estos servicios. 

Pero ante ese posible escenario, existen alternativas tecnológicas para prevenir ciberataques y para corregir los daños, y es parte de la razón de ser de Infosecurity Mexico, evento en el que los profesionales de la ciberseguridad conocerán soluciones comprobadas y nuevas, para tales fines, además de que se enterarán de las mejores prácticas en esa materia los próximos 22 y 23 de octubre, en el Centro Citibanamex de la CDMX. Aquí la información:

https://www.infosecuritymexico.com/es/visitantes/pases.html

Facebook: https://www.facebook.com/infosecmexico

LinkedIn: https://www.linkedin.com/company/infosecurity-mexico/

Instagram: https://www.instagram.com/infosecuritymexico?igsh=MWxkeDhzM2Q0N2J3Yw==

Mail de contacto: info@infosecuritymexico.com

[1] https://n9.cl/fqzcz

[2] https://n9.cl/cx2d5

Señalan que casi el 50 % de ataques de ransomware afectan a la industria</p> <p>
Descargar PDF
Claves ante extorsiones de ciberdelincuentes

Claves ante extorsiones de ciberdelincuentes

por | May 27, 2024 | Tanium

Ciudad de México. 27 de mayo de 2024.- Tanium, proveedor líder de la industria de administración convergente de terminales (XEM), señala que la preparación es fundamental en todas las facetas de la ciberseguridad, y el ransomware es simplemente otro disruptor de las operaciones. Tratar el ransomware como se haría con la escasez de personal o la desconexión de la red, donde existen planes en casos de escenarios catastroficos, es la única forma de manejar con éxito los cada vez más sofisticados ataques.

Por eso es tan importante que las organizaciones no se limiten a esperar a que se produzca un ataque para decidir si pagan o no una extorsión de los ciberdelincuentes. Es necesario contar con un manual de procedimientos detallado que explique paso a paso qué hacer y las personas que deberán estar involucradas  y tendrán acceso y comunicación con el equipo que mitiga el problema.

Para Tanium, este manual deberá responder a cuestiones como si el posible pago de un rescate viola el código de ética o los valores fundamentales de la empresa; si es más beneficioso para la empresa pagar; cuál sería la cantidad correcta y si es realmente legal pagar el rescate.

“Comprender el radio de daño del ransomware, o el impacto que tendrá un ataque en una organización, será clave para determinar cómo manejar la situación. Esto es exclusivo de cada organización, pero si una empresa está preparada y se realiza una copia de seguridad de sus datos en consecuencia, no hay absolutamente ninguna razón para pagar una extorsión”, señaló Tim Morris, Jefe de Seguridad de Tanium.

Un paso que puede parecer obvio, pero que en ocasiones las empresas pasan por alto, es verificar que efectivamente se sufrió un ataque. No es raro que los ciberdelicuentes fanfarroneen, y poder denunciarlos puede cambiar completamente el contexto, incluso optar por ignorarlos y seguir adelante por completo.

Por otra parte, si efectivamente la empresa fue atacada y sus archivos fueron cifrados, la dinámica de cómo abordar la situación depende en gran medida de quién participa en la estrategia de respuesta a incidentes: representantes del equipo ejecutivo, asesores legales externos e internos, una aseguradora cibernética y equipos de comunicaciones. Es mejor evitar que los ejecutivos negocien solos (de así haberlo decidido la empresa), y también es importante determinar quién se encargará de los esfuerzos para mantener al equipo alineado en el mejor curso de acción.

Tanium afirma que en una negociación hay algunas cosas que debe determinar: como si algún dato privado o confidencial se ha visto comprometido; qué banda cibernética está involucrada; de qué manera los datos volverán a estar en línea después de que se resuelva el pago; si las autoridades tienen claves de descifrado disponibles de ataques anteriores, por mencionar algunas. Comprender el ataque e iniciar un diálogo con el ciberdelincuente permitirá negociar un mejor acuerdo o comprender cuándo el amenazante está exagerando su poder.

 Prepararse para el cambio es inevitable

Para Tanium, la evolución del software y el aumento de la Inteligencia Artificial (IA) generativa están haciendo que el ransomware sea más sofisticado que nunca. Los grandes modelos de lenguaje (LLM) incluso están siendo contaminados para que los ciberdelincuentes puedan convertir un ataque externo en una amenaza interna, por lo que la clave para una negociación exitosa es apegarse al manual.

“La fuerza de una estrategia de negociación y respuesta no debería depender del ataque en sí. El arte de la negociación es atemporal y se adapta a los constantes cambios del panorama de la ciberseguridad. Con el tiempo, podríamos ver un mundo en el que la falta de pago sea la única respuesta y el ransomware se vuelva obsoleto. Desafortunadamente, ese no es el caso en la actualidad, y todas las organizaciones deben estar preparadas para el día en que sean atacadas y quizá se vean obligadas a pagar”, finalizó Morris.

 

Manual de Procedimientos y preparación.
Descargar PDF
Analizando la anatomía de los ataques de Ransomware

Analizando la anatomía de los ataques de Ransomware

por | Sep 28, 2023 | Trellix

El ransomware es un software malicioso que encripta datos valiosos y exige un rescate por su liberación, desde atacar a individuos y consumidores hasta paralizar organizaciones y gobiernos enteros. Con el paso de los años, los ataques de ransomware se han vuelto más sofisticados y devastadores: a medida que avanza la tecnología, también lo hacen las tácticas empleadas por los ciberdelincuentes.
El ataque a Colonial Pipeline en Estados Unidos en 2021 puso de relieve la vulnerabilidad de sistemas vitales. Provocó escasez de combustible y destacó el potencial del ransomware para alterar los servicios esenciales e incluso la seguridad nacional.
A medida que continúa evolucionando, plantea un desafío importante para gobiernos, organizaciones e individuos de todo el mundo. Para agravar aún más el problema, la ejecución de ataques de ransomware se ha vuelto cada vez más compleja mediante el uso de binarios y scripts (LoLBins)”. Los delincuentes dependen en gran medida de estas herramientas para explorar, comunicarse, moverse, exfiltrar e impactar las redes de sus víctimas.
La mejor manera de detectar y bloquear un ataque de ransomware es comprender este comportamiento malicioso y contar con controles de seguridad que preparen a una organización para el éxito.
Abordar esta creciente amenaza requiere una defensa multifacética y un enfoque profundo, que incluya inteligencia sobre amenazas, protección del correo electrónico, MFA, EDR y XDR para estar un paso adelante del panorama en constante evolución.

Principales familias de ransomware en el último año
Estos son cinco ejemplos de las principales amenazas responsables de realizar actividades destructivas en los Estados Unidos.

LockBit: en 2022 fue una de las variantes de ransomware más implementadas entodo el mundo. Conocido por el ataque contra el Hospital Francés CHSF. El grupoLockBit opera con un modelo de Ransomware como servicio (RaaS), aprovechandoafiliados y socios que realizan ataques utilizando herramientas de malware LockBit yse benefician de la infraestructura y experiencia del grupo. Debido a este modeloRaaS y a las diversas preferencias y operaciones de los afiliados, los TTP específicosutilizados en los ataques pueden variar, lo que hace más difícil defenderse de ellos.

ALPHV (BlackCat): el grupo de ransomware ALPHV, también llamado BlackCat, esun actor con actividad observada desde noviembre de 2021. Se dirigen principalmentea sectores como la atención médica, finanzas, manufactura y gobierno. Empleaalgoritmos de cifrado avanzados para encriptar archivos y exige rescates por suliberación. Sus tácticas incluyen campañas de phishing, kits de explotación yexplotación de servicios de escritorio remoto vulnerables para obtener acceso noautorizado y llevar a cabo sus ataques.

CL0P: El grupo CL0P ha estado operando desde aproximadamente febrero de 2019.Son conocidos por sus técnicas sofisticadas, incluida una estrategia de dobleextorsión. Se dirige a organizaciones de sectores como la atención sanitaria,educación, finanzas y el comercio minorista. Además de encriptar archivos, filtrandatos confidenciales para aumentar la presión sobre las víctimas para que paguen unrescate. Sus métodos de distribución suelen implicar correos electrónicos de phishingy se han asociado con ataques de ransomware de alto perfil.

PYSA (Mespinoza): el grupo PYSA, también conocido como Mespinoza, ha estadoactivo desde principios de 2020. Se dirige principalmente a sectores como la atenciónmédica, educación, gobierno y manufactura. Utiliza técnicas de encriptado sólidaspara bloquear archivos y, a menudo, filtra datos confidenciales antes del encriptado.Este enfoque de doble extorsión añade urgencia a las negociaciones de pago derescate. El grupo suele emplear tácticas como campañas de phishing y explotaciónde vulnerabilidades para obtener acceso no autorizado y llevar a cabo sus ataques.

BianLian: el grupo BianLian, atribuido al grupo de actores de amenazas WIZARDSPIDER, opera desde junio de 2022. Se dirige a organizaciones de sectores como laatención médica, energía, finanzas y tecnología. Emplea varias tácticas, incluidascampañas de phishing y explotación de vulnerabilidades, para obtener acceso noautorizado y cifrar archivos a cambio de un rescate. Sus ataques han resultado enpérdidas financieras sustanciales y perturbaciones dentro de las organizacionesobjetivo.

Fases de ataque
Un ataque de ransomware típico consta de siete fases en las que un atacante pasa de la investigación pasiva o activa de la red interna a la obtención de acceso a sistemas clave y la escalada de privilegios para comprometer aún más el objetivo, el robo de datos e información valiosos, la destrucción de los mecanismos de recuperación de datos y el cifrado de la información. datos para que la víctima ya no pueda acceder a ellos y, finalmente, extorsionar a la víctima por esos datos.

  1. Reconocimiento
    Los atacantes recopilarán información sobre el sistema u organización objetivo, incluida la identificación de vulnerabilidades potenciales, la investigación de empleados, la recopilación de datos disponibles públicamente a través de herramientas de Business Intelligence, la visualización de qué información está disponible en la web oscura y más. Esta fase ayuda a estos actores del ransomware a comprender la infraestructura y las debilidades de su objetivo, lo que les permite planificar vías y métodos para sus ataques.
  2. Acceso inicial
    La segunda fase después de la investigación inicial es aprovechar esa información para lograr un punto de apoyo inicial en el sistema objetivo. Esto se puede hacer a través de una variedad de medios, desde explotar una vulnerabilidad, usar credenciales de acceso y de inicio de sesión robadas, o incluso ejecutar un ataque de phishing exitoso contra los empleados. El objetivo es obtener acceso a la red interna para poder establecer una presencia y una puerta trasera en un dispositivo para prepararse para la siguiente fase del ataque.
  3. Escalamiento y movimiento lateral
    Después de obtener acceso inicial a la red, los actores de amenazas explorarán la red y los dispositivos conectados a su punto original de compromiso para ver si hay más vulnerabilidades que puedan explotar o credenciales que puedan aprovechar para obtener acceso a sistemas y recursos adicionales. Esta fase permite a los atacantes afianzarse en la red de una organización, profundizando su presencia y ampliando su nivel de control y acceso. Es a través de este proceso que los grupos de ransomware obtienen acceso a los datos que finalmente buscan robar.
  4. Recopilación y exfiltración de datos
    El siguiente paso es identificar, recopilar y extraer datos valiosos en todos los sistemas y dispositivos que ha comprometido. Estos datos podrían ser en forma de información confidencial, propiedad intelectual, detalles financieros o registros personales. Lo que importa es si el atacante cree que la organización pagaría para que le devuelvan los datos y si esos datos también podrían venderse para obtener mayores ganancias en la dark web.
    Los datos recopilados luego se filtran, a menudo a través de canales encubiertos, a servidores externos bajo el control del atacante. Esto permite conservar copias de los datos para pedir un rescate y/o venderlos.
  5. Degradación de los sistemas de recuperación
    Después de extraer todo lo de valor que puedan, el objetivo de los ataques de ransomware es atacar y comprometer los mecanismos de recuperación de datos y los sistemas de seguridad presentes dentro de la red. Deshabilitarán o alterarán los sistemas de respaldo, los sistemas de detección de intrusiones, los firewalls o cualquier otra medida de seguridad que pueda obstaculizar sus actividades o alertar a los defensores.
  6. Despliegue del ransomware, ejecución y encriptación
    En esta fase, cuando los atacantes comprueban que han extraído activos o datos valiosos de la red interna, implementan el ransomware y, finalmente, inician contacto con la víctima para afirmar su control sobre los sistemas comprometidos. Habiendo adquirido copias de archivos confidenciales y posiblemente deshabilitado los mecanismos de recuperación, avanzan a la etapa de implementación, donde se pueden explotar herramientas como Microsoft Group Policy Objects (GPO), Microsoft System Center Configuration Manager (SCCM) y herramientas de administración remota como Admin Arsenal. Al utilizar estas herramientas, los atacantes ejecutan su ransomware en sistemas comprometidos, cifrando de manera efectiva archivos y datos cruciales, volviéndolos inaccesibles para la organización víctima. Posteriormente, se presenta una demanda de rescate, estipulando un pago a cambio.
  7. Recuperación y retrospectiva
    La última fase ocurre después de que se ha producido el ataque de rescate, cuando la organización víctima se concentra en los esfuerzos de recuperación y se concentra exclusivamente en minimizar el daño y prevenir futuros ataques de ransomware. Esto incluye investigar la exposición de la red interna para intentar aislar los sistemas comprometidos, eliminar malware en los dispositivos infectados, restaurar sistemas a partir de copias de seguridad y fortalecer las medidas de seguridad. La organización víctima también debe realizar un análisis exhaustivo del ataque para identificar las vulnerabilidades que fueron explotadas y mejorar su postura general de seguridad.

Conclusión
Es evidente que en el panorama actual de ciberseguridad, depender únicamente de la protección tradicional de endpoints es insuficiente para proteger eficazmente a las organizaciones de las amenazas de ransomware en todas las fases de ataque.
Es imperativo complementarla con tecnologías como EDR, XDR y el uso extensivo de Threat Intelligence. La sinergia entre estas tecnologías fortalece las defensas y la postura de seguridad de una organización, aprovechando el análisis de comportamiento en tiempo real, la detección de anomalías y la inteligencia de amenazas para identificar rápidamente y detener al actor de la amenaza.
Al integrar XDR en los controles de seguridad, las organizaciones obtienen una plataforma unificada y centralizada que combina seguridad de endpoints, monitoreo de redes e inteligencia sobre amenazas. Este enfoque integral permite a los equipos de SecOps correlacionar y analizar eventos de seguridad en múltiples puntos finales y capas de red, descubriendo patrones de ataque sofisticados que pueden pasar desapercibidos para las defensas tradicionales.

 

Descargar PDF
Crece gasto global en ciberseguridad, pero el ransomware no se detiene

Crece gasto global en ciberseguridad, pero el ransomware no se detiene

por | Ago 23, 2023 | RX

Por staff de redacción Infosecurity Mexico

Aunque no es un fenómeno nuevo, hablar de cibercrímenes resulta un tema recurrente en la actualidad, ya que a diario se escucha de algún acontecimiento en el mundo relacionado con afección de datos y sistemas. Se tiene el registro de que el primer delito considerado como cibercrimen se llevó a cabo en Francia1, en 1834, cuando dos ladrones robaron información del mercado financiero pirateando el sistema telegráfico francés.

Desde entonces, el mundo empresarial ha experimentado varias transformaciones y avances tecnológicos que, al tiempo de generar beneficios, han provocado riesgos potenciales y reales, sobre todo en lo relacionado al uso de las TI. En ese sentido, uno de los hitos que cambiaron el quehacer empresarial fue el surgimiento de Internet, cuyo inicio se registra alrededor del año 19602, aunque la fecha puede variar dependiendo la fuente.

Hoy en día, uno de los temas de los que más se habla es el de la digitalización, que se refiere al uso de tecnologías digitales para cambiar un modelo de negocio y proporcionar nuevos ingresos y oportunidades de producción de valor3. Conduce a grandes cambios en los procesos y también puede influir significativamente en la satisfacción del cliente y la calidad del producto.

Algunos ejemplos de tecnologías digitales son los sitios web, los teléfonos celulares, sistemas de geolocalización, cajeros automáticos, blogs, computadoras y otras herramientas que, por otro lado, son afectadas por los cibercriminales a través de una gama múltiple de formas de ataque que provocan grandes daños.

El problema es de tal dimensión que se calcula que el gasto global en ciberseguridad alcanzará la cifra de más de 1.75 billones de dólares, de forma acumulativa, en el 2025, iniciando el cálculo desde el 2021. Esto se debe al imperativo de proteger a las empresas, precisamente cada vez más digitalizadas4, los dispositivos de Internet de las cosas (IoT), y a los propios usuarios.

Solo como referencia, en 2004, el mercado mundial de ciberseguridad valía solo 3,500 millones de dólares5, y ahora es uno de los sectores más grandes y de más rápido crecimiento en la economía de la información, por eso se esperaba que el mercado de la ciberseguridad creciera un 15 %, año tras año, entre 2021 y 2025.

Las empresas requieren invertir en ciberseguridad porque las ciberamenazas son múltiples, y quizá una de las más recurrentes es el ransomware, que impide a los usuarios acceder a su sistema o a sus archivos personales, y exige el pago de un rescate para poder recuperar el acceso.

Este delito causó daños por 20,000 millones de dólares en el 2021, y se calcula que la cifra alcanzará los 265,000 millones para el 20316. El problema radica en que, de todas las víctimas, el 32% paga el rescate, pero solo recuperan el 65 % de sus datos, en tanto que solo el 57 % de las empresas recupera su información gracias a que cuentan con una copia de seguridad. La amenaza es mayor, porque la frecuencia de los ataques de ransomware a gobiernos, empresas, consumidores y dispositivos seguirá aumentando durante los próximos ocho años, llegando a realizarse un nuevo ataque cada dos segundos para el 2031.

Tampoco se puede ignorar la variante del ransomware dirigido, especialmente orientado a las industrias que dependen en gran medida de softwares específicos para ejecutar sus actividades diarias. Un ejemplo de tal modalidad de ransomware es el ataque Wanna Cry7 en los hospitales del Servicio Nacional de Salud en Inglaterra, Escocia, que corrompió más de 70,000 dispositivos médicos.

Desde luego, existen más amenazas, y por eso es que vale considerar a Infosecurity Mexico como un foro en el que se presentan los profesionales de la ciberseguridad, quienes compartirán las mejores prácticas y mostrarán la tecnología más avanzada para prevenir ataques y solucionar problemas causados por ciberataques. La cita es cada vez más cercana.

Descargar PDF
Tanium previene de la extorsión doble y triple de ransomware

Tanium previene de la extorsión doble y triple de ransomware

por | Ene 26, 2023 | Tanium

Ciudad de México. 26 de enero de 2023.- Tanium, proveedor líder de la industria de administración convergente de terminales (XEM) de la industria, señala que tras ser golpeada por un ataque de ransomware, en muchos casos, los delincuentes aún tratan de extorsionar a una empresa no obstante haya pagado el rescate. Las extorsiones dobles e incluso triples son cada vez más comunes y los ciberdelincuentes ahora exigen pagos adicionales para evitar que se filtre la información privada capturada en sus ataques. 

En los ataques de ransomware tradicionales, los atacantes secuestran y cifran datos valiosos para obligar a las organizaciones a pagar un rescate a cambio de la restauración segura de los datos y la funcionalidad de la red. Los CISO (Chief Information Security Officer) han respondido adoptando protecciones cibernéticas más sólidas, como la creación de copias de seguridad externas seguras y la segmentación de sus redes, no obstante los atacantes han evolucionado rápidamente para superar estos métodos de administración. 

Una extorsión, dos extorsiones, tres

Durante el último año, los atacantes se dieron cuenta del valor que las organizaciones otorgan a no divulgar su información confidencial públicamente: el impacto en la marca y la reputación a veces puede ser tan dañino como el bloqueo, tener archivos y sistemas expuestos. Aprovechando lo anterior, los atacantes comenzaron a agregar la amenaza de filtrar datos confidenciales como seguimiento de ataques de ransomware exitosos o incluso fallidos cuando las organizaciones podían usar copias de seguridad para restaurar sus sistemas.

Con la doble extorsión siendo tan exitosa, los atacantes no se detuvieron ahí y, en casos de triple extorsión, los atacantes amenazan con divulgar datos sobre socios y clientes intermedios para extraer pagos de rescate adicionales, lo que podría poner a la organización inicial en riesgo de demandas o multas.

“La única defensa real contra la doble y triple extorsión es asegurarse de que los atacantes no tengan acceso a la información más confidencial. La principal prioridad debe ser categorizar los datos críticos para que, cuando los ciberdelincuentes superen las primeras líneas de defensa, no puedan robar los elementos más valiosos. Este proceso de supervisión implica restringir el acceso a los datos y a las herramientas que interactúan directamente con ellos”, externó Miguel Llerena, vicepresidente para Latinoamérica de Tanium.

Los efectos paralizantes de un ataque de ransomware pueden ser devastadores para cualquier negocio. Pero ahora hay mucho más en juego debido a la superficie de ataque ampliada que amenaza el ecosistema extendido de socios, clientes e inversores de una empresa. Como resultado, todas las organizaciones deben desarrollar un plan de acción para defender sus datos y protegerse no solo de los ataques iniciales de ransomware, sino también de las maniobras dobles y triples de ransomware”, concluyó Llerena.

Tanium señala que cuantos menos puntos de acceso, más fácil será proteger los datos y hace algunas recomendaciones:

  • Saber dónde se ubican los datos y adoptar soluciones con alertas en tiempo real que muestren cuándo se guardan, transfieren o almacenan datos confidenciales de forma insegura. Cuando se enfocan los esfuerzos en proteger la información más crítica, ayuda a limitar las alertas y se determina exactamente quién y qué interactúa con esos datos.
  • Mantenerse informados de los riesgos dinámicos asociados con los nuevos dispositivos que ingresan a una red cuando los empleados se incorporan o cuando los dispositivos asociados con exempleados deben tener acceso o se deben eliminar las credenciales.
  • Establecer una comprensión básica del «comportamiento normal» en el entorno para detectar cuando algo adverso o anormal está en proceso.

Si aún con lo anterior se experimenta una violación de seguridad, hay que asegurarse de limitar las posibilidades de los atacantes de acceder a datos privados:

  • Cambiar de forma controlada las contraseñas usadas que puedan estar asociadas con sistemas comprometidos.

      • Verificar que la información de la infracción provenga de una fuente legítima, ya que los correos electrónicos comprometidos pueden parecer oficiales  cuando en realidad son fraudulentos.

     • Garantizar que los esfuerzos de recuperación vayan más allá de «borrar y volver a generar imágenes» para incluir verificaciones exhaustivas que encuentren signos residuales que estuvieran comprometidas.

      • Identificar los puntos de acceso iniciales que fueron violados para evitar la reintroducción del vector de ataque durante los esfuerzos de recuperación.

«Los efectos paralizantes de un ataque de ransomware pueden ser devastadores para cualquier negocio. Pero ahora hay mucho más en juego debido a la superficie de ataque ampliada que amenaza el ecosistema extendido de socios, clientes e inversores de una empresa. Como resultado, todas las organizaciones deben desarrollar un plan de acción para defender sus datos y protegerse no solo de los ataques iniciales de ransomware, sino también de las maniobras dobles y triples de ransomware”, concluyó Llerena.

Descargar PDF