Los atacantes de ransomware no sólo quieren tus datos, van también por los repositorios de backup
Share
Por 00
El ransomware sigue siendo una seria amenaza para la ciberseguridad de las agencias gubernamentales, ya que los atacantes están evolucionando en sus métodos para escapar a la detección. El objetivo último de los atacantes no es simplemente filtrar y cifrar datos para obligar a las víctimas a pagar su rescate, sino eliminar totalmente la capacidad de una organización para recuperarse de un ataque de este tipo.
Los atacantes están adoptando ahora nuevos enfoques para lograr este objetivo, tanto haciendo que sus intromisiones sean más difíciles de detectar, como añadiendo nuevos objetivos, como los repositorios de backup, para dejar completamente incapacitada a una organización.
Para ayudar a evitar algunas de estas tácticas, las organizaciones deben desarrollar estrategias sólidas de backup de los datos que permitan una recuperación rápida y completa de los mismos, así como planes de contingencia inmutables que garanticen la mitigación de los posibles ataques de ransomware.
Cifrar fragmentos más pequeños
Los grupos de ransomware que intentan infiltrarse en los sistemas se enfrentan a varios retos. Una vez que localizan y se aprovechan de una vulnerabilidad, tienen que obtener y cifrar tantos datos como puedan antes de lanzar un ataque de ransomware o de ser detectados por las protecciones del sistema.
Cifrar datos lleva tiempo, y cuanto más permanezca un atacante en una red, más posibilidades tendrá de ser detectado. Una nueva técnica, el cifrado intermitente, mitiga este reto. Al cifrar partes de los datos lo suficientemente pequeñas como para eludir la detección, los atacantes pueden hacer que una organización no pueda utilizar un archivo sin la clave de descifrado. Para ello, cifran cada 12 o 18 bytes de datos, variando las horas del día en que lo hacen y la cantidad que cifran, de modo que los atacantes pueden eludir las herramientas de detección automática y permanecer más tiempo en la red.
Robar las copias de seguridad
Una vez que los ciberdelincuentes han cifrado los datos suficientes para lanzar un ataque de ransomware, algunos intentan mejorar sus probabilidades de cobro apropiándose también de los repositorios de backup de la organización.
Las copias de seguridad guardadas en una red abierta o con contraseñas débiles y sin autenticación multifactor son objetivos probables. Por ejemplo, si el backup está autorizado por un dominio primario de Active Directory, los atacantes intentarán comprometer ese dominio para acceder tanto al backup como a los datos de producción. Estos ataques suelen dirigirse a los servicios financieros, la sanidad y los sectores públicos, donde un ataque de ransomware puede afectar a infraestructuras críticas.
Proteger los datos frente a la evolución del ransomware
Aunque las tácticas del ransomware evolucionan, los mejores métodos de ciberseguridad siguen siendo algunos de los más tradicionales: una sólida gestión de los parches de software y la educación en ciberhigiene. Ambas estrategias ayudarán a reducir el riesgo de exposición de una organización al ransomware, especialmente en un entorno de trabajo remoto.
Una sólida estrategia de gestión de los parches de software limita las vulnerabilidades que los atacantes pueden explotar para lanzar un ataque de ransomware, desafiándolos incluso antes de que puedan entrar en el sistema. Los parches y actualizaciones de software desplegados rápidamente reducen las probabilidades de que los atacantes puedan acceder a los datos de una red. Aunque la táctica parece sencilla, a menudo es un área que las organizaciones pueden mejorar.
Además, es necesario mejorar la educación cibernética. Los empleados son a menudo el eslabón más débil que permite que se inicie el ataque. Todos los miembros de una organización deberían ser capaces de reconocer los métodos de infiltración habituales, como los correos electrónicos de phishing o las tácticas de ingeniería social. Incluso con mejoras en estas áreas, la realidad es que los ataques de ransomware seguirán produciéndose. A medida que el ransomware evoluciona, la estrategia de backup se vuelve especialmente crucial. No basta con tomar atajos en las copias de seguridad de los datos cuando las propias copias son el objetivo.
Las organizaciones deben desarrollar y planificar a fondo sus estrategias de backup y protección de datos. Esto significa poner en marcha una estrategia que tenga en cuenta la evolución de las tácticas y practicar los pasos planificados a seguir en caso de ransomware u otros incidentes de ciberseguridad. La práctica es la única manera de identificar posibles errores en el plan, familiarizar a las partes interesadas con sus funciones y la tecnología que pueden necesitar utilizar, y garantizar que un escenario de respuesta cibernética de alto estrés no sea la primera vez que se lee el plan.
Las estrategias sólidas de gestión de datos pueden resumirse con los números 3-2-1-1-0. Esto significa mantener tres copias de los datos importantes, en al menos dos tipos diferentes de entornos, con al menos una de estas copias fuera de las instalaciones, incluida una copia de seguridad de los datos que esté protegida de manera “air-gapped”, desconectada o inmutable: los hackers no pueden poner en peligro lo que no pueden tocar. Tras la comprobación automatizada del backup y la verificación de la recuperabilidad, las organizaciones deben desplegar un plan de contingencia múltiple para garantizar que sus datos puedan recuperarse, independientemente de un ataque de ransomware.
Mientras los ciberdelincuentes puedan encontrar formas de sacar provecho del ransomware y otros ataques de ciberseguridad, no cabe duda de que sus tácticas seguirán evolucionando. Mientras los grupos de ransomware sigan siendo innovadores y resistentes, las organizaciones deben hacer lo mismo. La combinación de una ciberhigiene básica sólida, la formación de los empleados y una estrategia bien pensada de gestión de datos y backup es la mejor defensa contra los ciberataques dinámicos.
