El verano del cibercrimen continúa: lo que debe hacer

Recientemente llamamos este “el verano del cibercrimen”. Los ataques de ransomware continúan afectando a empresas alrededor del mundo. Estos pueden causar daños significativos, desde un punto de vista financiero, de reputación y de productividad. 

 

En la mayoría de los casos, estos ataques podrían detenerse con un esfuerzo orquestado de higiene de ciberseguridad. Esa es la clave para detener esta creciente tendencia de ataques exitosos de ransomware moderno. 

 

Ataques de ransomware moderno 

El ransomware moderno utiliza un amplio rango de herramientas y tácticas para navegar las infraestructuras corporativas y encontrar las joyas de la corona de las empresas. A menudo, el punto inicial de entrada son las vulnerabilidades conocidas que no han sido parchadas. 

 

En la última ocasión contra Kaseya, se aprovecharon vulnerabilidades previamente desconocidas, o de día-cero. Aunque esto es cada vez menos común, los ataques que usan bugs nuevos aún pueden ser detenidos. 

 

Sin importar cómo entran los atacantes, hay varios lugares donde pueden ser detectados y detenidos antes de que puedan lograr encriptar los datos y demandar un pago de rescate. 

 

Estos son los resultados posibles de extorción los ataques de ransomware actuales: 

 

  • Ransomware: encripta archivos y deja una nota de rescate… espera el pago en bitcoin. 
  • Doble extorsión: ransomware + amenaza de exfiltración de datos en caso de que el pago no se reciba. Maze fue el primer caso documentado y otros grupos maliciosos siguieron el ejemplo – recientemente visto en el ataque a Colonial Pipeline. 
  • Triple extorsión: extorsión doble + amenaza de ataque DDoS. Avaddon fue el primer caso documentado. 
  • Extorsión cuádruple: ransomware + (posiblemente exfiltración de datos o DDoS) + envío de correos a la base de clientes. Cl0p fue el primer caso documentado, como escribe Brian Krebs. 

 

Detenga ataques con esfuerzos de higiene de seguridad 

La extorsión múltiple y los ataques debilitantes pueden detenerse aprovechando funciones de seguridad que fueron diseñadas para detener amenazas como ransomware. Para muchas empresas, este es un esfuerzo diario, pero puede resolverse al tener un partner de seguridad que maneje su stack de seguridad. 

 

Estas son unas cosas rápidas que deben habilitarse como parte de las mejores prácticas de su organización para mitigar el riesgo qué representan estos ataques: 

 

  1. Habilitar las configuraciones recomendadas de monitoreo del comportamiento y machine learning. Esto evita que los clientes necesitan actualizaciones o nuevas detecciones cuando se descubra un evento mayor es la industria como el ataque a Kaseya. 
  1. Mantener un plan fortalecido de administración de parches. Esto protege contra vulnerabilidades conocidas al aplicar actualizaciones del vendor. El parcheo virtual también puede cubrir la brecha hasta que el parche oficial esté disponible o sea aplicado. 
  1. Utilice autentificación de 2 factores con sus cuentas administrativas, especialmente en sus sistemas de cara al público. Esto hace que sea más difícil para los atacantes abusar credenciales comprometidas para obtener acceso al sistema.  
  1. Practique la regla 3-2-1 de los respaldos. Si ocurre un ataque exitoso de ransomware, es crítico mantener al menos tres copias de los datos de la emprsa en dos formatos diferentes con una copia aislada en un sitio fuera de las instalaciones. Esto asegura que pueda restaurar la funcionalidad sin necesitar pagar el rescate para desencriptar los archivos. 

 

Estas no son las únicas actividades de seguridad que ayudan a mantener seguras a las empresas, pero son las que prevendrán los puntos de entrada más comunes para los ataques actuales de ransomware. 

 

Tener el poder complete de una solución de seguridad habilitado y optimizado para su ambiente cierra las brechas para detener los ataques antes de que puedan comenzar. 

 

Las capacidades de Machine Learning y monitoreo de comportamiento de Trend Micro identificaron en componente de ransomware del incidente de Kaseya. Esto significa que los clientes estuvieron protegidos antes de que el ataque fuera conocido ampliamente basado en nuestra tecnología altamente efectiva. Y para los clients que no tienen los recursos para mantener su propio stack de seguridad, podemos administrar eso por ellos para asegurar que se encuentra habilitado el mayor nivel disponible de protección. 

 

Aquí encontrará detalles más específicos sobre cómo Trend Micro protegió a sus clientes contra el evento de Kaseya. 


Posted

in

,

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.