El ransomware es una forma especial de ciberdelincuencia. La palabra lo dice todo: toma de rehenes. La encuesta de referencia sobre ciberseguridad realizada por Conscia en colaboración con la empresa de investigación de mercados comerciales The Blue Hour muestra que el ransomware se considera la mayor amenaza (82%).

Mientras tanto, múltiples estudios sobre ransomware muestran las cifras para 2021. Conclusión: el importe de los rescates exigidos sigue aumentando, al igual que los pagos efectuados. ¿Significa esto que las organizaciones están a merced de las "bandas" de ransomware? Por supuesto que no. Aunque no las veamos, se recopila y comparte mucha información valiosa sobre las tácticas y técnicas utilizadas por estas "bandas".

Por ejemplo, sabemos que en 2021 se añadieron 35 nuevas "bandas" de ransomeware. [1] Algunos grupos escuchan nombres engañosos como Hello Kitty y Robinhood. En resumen, son grupos de delincuentes que han encontrado un negocio lucrativo en el ransomware. Tan "exitoso" de hecho que el ransomware como servicio (RaaS) está siendo ofrecido, por delincuentes a delincuentes. Se espera que sus actividades aumenten en los próximos años.

Datos y cifras

Este crecimiento ya se observó el año pasado. El número de víctimas aumentó en 85%, siendo América el mayor objetivo con 60%. Le siguieron EMEA con 31% y Asia-Pacífico con 9%. El importe del rescate exigido también aumentó en 144%, hasta los 2,2 millones de dólares. La cantidad finalmente pagada rondó los 500.000 dólares de media; 78% más que en 2020. [1] De las organizaciones afectadas por el ransomware, 58% proceden a pagar. 14% pagan más de una vez. 41% se recuperaron del ataque en un mes, 61% en tres meses.

Según Maarten Werff, Solution Consultant Cybersecurity de Conscia, el hecho de que a menudo se pague por ellos llama la atención. "Se está convirtiendo en una industria cada vez más madura y a menudo realizan un doble ataque. Primero cifran los datos para que no estén disponibles. Si no pagas lo bastante rápido, sacan a la luz los datos robados, como los personales. Entonces, el impacto empresarial no es sólo paralizar la organización, sino también dañar la imagen".

Método de desentrañamiento

La estructura de un ataque de ransomware suele ser la misma. Tras entrar, normalmente a través de un ataque de phishing, permanecen en silencio durante un tiempo antes de moverse lateralmente. No es sorprendente que la mayoría (67%) de los encuestados en el estudio de referencia afirmen que no saben cuántos días tarda un ataque en notarse. A los atacantes les interesa permanecer el mayor tiempo posible, para robar todo lo que puedan.

Una vez descubierto, suele quedar claro con qué "banda" se está tratando. Por lo general, la organización criminal tiene un servicio de atención al cliente (¡extraño pero cierto!). Sin embargo, eso no es lo único a través de lo cual se revela la identidad del grupo de ransomware. En todo el mundo se comparten conocimientos e información sobre estas "bandas", sobre las tácticas y técnicas que utilizan. Conscia también participa en ello a través del marco ATT&CK de MITRE. El conocimiento hace la fuerza y garantiza que las organizaciones atacadas puedan resistir, aunque los delincuentes ya estén dentro. Aunque las organizaciones no suelen hacer público que han pagado (por miedo a más ataques y daños a su reputación), hacerlo puede ayudar a combatir la ciberdelincuencia. Según Werff, hay casos en los que se ha hecho. "¡Muy valiente y muy instructivo para otros expertos!".

Defensa en profundidad

100% protección contra el malware relacionado con ransomware no es realista, por lo que recomendamos adoptar un enfoque de "defensa en profundidad". Esto significa aplicar la seguridad en capas desde distintos ángulos, desde la aplicación de medidas técnicas hasta la creación de políticas y procedimientos. Si adopta este enfoque, tendrá más posibilidades de detectar y detener el malware antes de que cause daños a su organización.

El punto de partida en el enfoque de defensa en profundidad es "asumir la violación", donde se asume que cualquier mecanismo de seguridad acaba siendo vulnerado. Pero en lugar de tirar la toalla, puede tomar medidas para mitigar el impacto de esto aplicando una fuerte detección que le permita acelerar el tiempo de respuesta a los incidentes. Sin embargo, estas medidas de detección y respuesta requieren conocimientos, tiempo y experiencia por parte del personal de TI/Seguridad. Por ello, vemos que muchas organizaciones externalizan (parcialmente) estas actividades de detección y respuesta a un proveedor de seguridad gestionada. De este modo, el equipo de seguridad informática puede centrarse en reforzar la ciberresiliencia y garantizar una mejor alineación con los objetivos de la organización. Es importante recordar que la ciberseguridad es un proceso continuo que debe evaluarse y adaptarse constantemente para mantenerse al día con el panorama de amenazas en constante cambio.

Fuente: Conscia