Ransomware 2021 en el panorama de amenazas

19 Febrero 2021
Informativo

 

Finalizado 2020, hemos consolidado nuevas estadísticas sobre ransomware que son concluyentes respecto al crecimiento vertiginoso que supone y seguirá proyectando. 

Los ataques de ransomware en 2020 dominaron como principal vector de amenaza, principalmente potenciados por la pandemia de COVID-19 debido a que muchas empresas se vieron en la necesidad de implantar y principiar en el teletrabajo. 

Fuimos testigos de cómo ransomware cobró una vida humana en un hospital en Alemania. Los ataques tuvieron un impacto en casi todos los sectores de la economía global, costando a las empresas, más de 20.000 millones de dólares en conjunto y creando grandes dolores de cabeza en ciberseguridad para otros.
 

Los cambios son parte de la naturaleza humana, sobre todo cuando vienen como una respuesta o consecuencia desde la necesidad de protegerse y adaptarse. Llevándolo a un caso práctico, a medida que aparecen nuevas medidas de seguridad, los ciberactores de amenazas, buscan la forma de adaptarse y mejorar sus tácticas de evasión e intrusión hasta lograr sus objetivos criminales.

Siguiendo el sentido de este constante e interminable ciclo, se ha evidenciado una nueva táctica que se suma a los patrones de la amenaza, utilizada por los grupos de ransomware a inicios de 2021.

Sabemos que el patrón de ataque base consiste en el cifrado de data por parte de los actores detrás de ransomware con el fín de obtener ganancias monetarias por recuperar la integridad y disponibilidad de la información.

Como medida preventiva, muchas organizaciones implementaron copias de respaldo en la nube, que fue una acción crucial para la continuidad de sus negocios y protección ante ransomware, logrando recuperar sus datos sin tener que pagar.

Esta acción, llevó a los ciberactores maliciosos a tener que buscar una estrategia y vector de ataque que presionara a las víctimas y las obliguara a realizar el pago solicitado. De esta forma, a finales de 2019 logramos evidenciar una nueva táctica que durante 2020 fue integrándose a la mayoría de las variantes de ransomware vigentes. Ésta, consiste en extraer la información de las víctimas antes de cifrarla, a fin de extorsionarlos con publicar en internet sus datos, afectando directamente la confidencialidad de la información. Esta táctica pretende asegurar el pago a cambio de no publicar los datos confidenciales de las empresas en la web, entendiendo que muchos ya habían implementado controles de respaldos periódicos como medida de prevención y remediación ante un incidente de ransomware.

El nuevo vector de ataque que se integra al cifrado y difusión pública de la información, es la denegación de servicios (DDos). Esta nueva táctica, obliga a las víctimas a tomar acciones inmediatas de respuesta ante incidentes, debido a que sus procesos y continuidad de negocio se ven fuertemente afectados, impactando directamente la reputación digital de las víctimas, mermando la disponibilidad de la información. Es importante destacar que este ataque se mantiene hasta que se establezcan los enlaces de comunicación entre la víctima y los atacantes, dejando a las organizaciones inoperantes. Hemos logrado evidenciar en algunos casos, ataques de tráficos mayores a 1 Tbit/s.


Si no paga, no recuperará sus datos

Siguiendo la línea y modus operandi esta es la táctica de ransomware original. En otras palabras, una denegación de servicio contra sus datos. Usted paga y (a veces) recupera sus datos.

Recomendación:

Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aislados de la red, junto con la implementación de políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.


Si no paga, divulgarán esta información al público

En los continuos cambios de los últimos años, los grupos de ransomware comenzaron a agregar una segunda táctica a sus operaciones. Ésta consiste en robar los datos antes de cifrarlos, y luego, si no pagan, los ciberdelincuentes amenazan con publicar la información, afectando la reputación de su negocio y la confidencialidad de sus datos.

Cabe destacar que varios grupos de ransomware, no siempre eliminaron los datos expuestos que habían robados de sus víctimas aún cuando éstas ya habían pagado el rescate. Por ejemplo, el grupo detrás de  Sodinokibi / REvil volvió a extorsionar a las víctimas por los mismos datos solo unas semanas después de haber recibido el pago de un rescate.

Recomendación:

Prevenir que sus datos sean exfiltrados, para ello recomendamos tener políticas de seguridad que contemplen los principales vectores de ataque de ransomware:

  • Conocimiento de su superficie de ataque manteniendo procesos maduros de parcheado de vulnerabilidad
  • Reducir la exposición de RDP, habilitando NLA y MFA
  • Concienciación a sus colaboradores respecto a phishing


"Si no paga, desconectamos su negocio"

Cuando una doble extorsión no es suficiente, se suma una tercera táctica. Una denegación de servicio nuevamente, pero esta vez, a nivel de la red pública de la víctima. Esta nueva táctica realiza DDoS a su empresa, por lo que sus procesos y continuidad de negocio se ven fuertemente afectados, impactando directamente su reputación digital.

Recomendación:

Tener implementados dispositivos de seguridad AntiDDoS

 


Uno de los vectores de entrada más utilizados ha sido el compromiso del protocolo RDP (escritorio remoto de Windows). Es importante destacar que credenciales RDP para una dirección IP empresarial se pueden comprar por tan solo US$ 20 en mercados negros. En combinación con kits de ransomware baratos, los costos para llevar a cabo ataques en máquinas con RDP abierto son demasiado lucrativos económicamente, ya que permiten el acceso completo al sistema para así continuar con escalamientos verticales u horizontales dentro de la red.

Esto representa un gran riesgo para los sectores públicos y privados. A medida que la seguridad del trabajo remoto mejora gradualmente, se espera que el auge de los ataques que explotan RDP disminuya; ya hemos evidenciado esto al término del año 2020 y comienzos del 2021.

Otra tendencia observada a fines 2020 y comienzos de 2021 es el aumento de campañas de phishing, especialmente relacionadas con los lanzamientos de vacunas de fin de año, ofreciendo a los ciberdelincuentes la oportunidad de ampliar sus carteras de señuelos utilizados, una tendencia que se espera que continúe en 2021.

 

Uno de los hitos, que sin duda marcará el comienzo de este año, fue la operación en conjunto de autoridades estadounidenses y búlgaras que lograron tomar el control de la dark web de Netwalker alojada en Tor donde se filtraban los datos de la víctima y además, era el medio de comunicación entre ambas partes.

El 27 de enero de 2021, el sitio web de ransomware Netwalker fue incautado por la Oficina Federal de Investigaciones a la vez que se llevaba a cabo el arresto de un ciudadano canadiense. Al momento de hacerse pública la información no se tenía conocimiento exacto de cuál era su papel dentro de la organización. Días después investigadores de Chainalysis señalan que además de participar en al menos 91 ataques con NetWalker desde abril de 2020, Vachon-Desjardins trabajó como afiliado de otros operadores de RaaS como Sodinokibi, Suncrypt y Ragnarlocker.

Para más detalles, sigue el siguiente enlace.


Algunos afiliados a Egregor RaaS, han sido arrestados como resultado de una operación conjunta realizada por las fuerzas del orden en Ucrania y Francia.

Según informaciones entregadas por France Inter, la actual operación fue realizada en conjunto entre la policía francesa y ucraniana dando por resultado el arresto de varias personas que, hasta el momento, no se tiene información sobre sus nombres, pero si su relación estrecha con la banda de Ransomware entregando apoyo logístico, financiero y la distribución misma del ransomware.

Como lo hemos informado en anteriores boletines, Egregor comenzó sus operaciones a mediados de septiembre, justo cuando uno de los grupos más grandes conocido como Maze comenzaba a cerrar sus operaciones, provocando que Egregor creciera rápidamente en un período relativamente corto de tiempo. Ya a principios de diciembre, Egregor comenzó a desacelerar sus campañas con muchos menos ataques realizados por la operación. Actualmente, no se sabe si la disminución de la actividad de Egregor está relacionada con la aplicación de la ley o simplemente parte de una estrategia por parte de los actores detrás de las operaciones de ransomware.

Para más detalles, sigue el siguiente enlace.


Tamaño de la empresa objetivo vs vector de ataque

El camino para llevar a cabo un ataque de ransomware contra una empresa determinada depende de la unidad económica del ataque.

Las pequeñas empresas no son capaces de pagar millones de dólares en rescate. En consecuencia, atacar a las pequeñas empresas debe ser rápido y barato para que sea rentable para el delincuente. Afortunadamente para los actores de amenazas, los puertos RDP incorrectamente asegurados y sus credenciales comprometidas asociadas se pueden comprar por menos de US$20 dólares y son abundantes. A medida que crece el tamaño de una organización, el método de ingreso cambia al siguiente vector de ataque más barato y abundante, el cual tiene relación a la suplantación de identidad por correo electrónico o vulnerabilidades sin parchear. 

Independientemente, el objetivo final para el actor de la amenaza es siempre el mismo, escalar los privilegios hasta que el atacante pueda comandar un controlador de dominio con privilegios administrativos superiores.
 

Impacto operacional y reputacional

Por su parte, para las víctimas, el impacto de verse envuelto en este tipo de amenazas involucra un elevado costo derivado de la pérdida de su operación e impacto reputacional. El escenario actual se ve mermado debido a la falta de visión respecto a riesgos de ciberseguridad y la poca conciencia digital de las organizaciones lo cual, lamentablemente, está favoreciendo a los atacantes debido a que naturalmente gran parte de las víctimas prefieren pagar por el rescate, antes de seguir soportando pérdidas de productividad o costes de recuperación.

Según estadísticas de empresas dedicadas a la recuperación digital cifrada por ransomware, el costo total de un ataque se puede dividir en dos:

  • El costo de recuperación. Estos gastos cubren revisiones forenses y asistencia en la reconstitución de servidores y estaciones de trabajo. Si se paga un rescate, entonces eso también es un gasto de recuperación.
  • El costo total del tiempo de inactividad, que en promedio se estiman en 19 días. Los costos de tiempo de inactividad suelen ser de 6 a 13 veces la cantidad de rescate real y se miden en pérdida de productividad (oportunidades de ingresos perdidos).

Actualmente, el pago promedio de rescate empresarial aumentó +300% respecto al cuarto trimestre de 2019. Los distribuidores de ransomware se dirigieron cada vez más a las grandes empresas y lograron forzar los pagos de rescate para la recuperación segura de datos, alcanzando cifras por encima de los US$ 250.000 durante fines de 2020.
 

Más del 60% los casos de ransomware utilizan la exfiltración de datos como táctica

La exfiltración de información como táctica de ransomware, comenzó a fines de 2019 con unas pocas variantes innovadoras, sin embargo, comenzando 2021 podemos evidenciar que más del 60% de los ataques registrados incluyen esta nueva amenaza de liberar los datos cifrados en portales públicos para asegurar los pagos. 

Anteriormente, cuando una víctima de ransomware tenía copias de seguridad adecuadas, simplemente se restauraban y seguían con su rutina de negocio; no había ninguna razón para siquiera involucrarse con el actor de la amenaza. Ahora, cuando un grupo de ransomware roba y cifra los datos, aún las empresas con políticas de seguridad maduras y respaldos perfectamente restaurables se ven obligadas a interactuar con el actor de amenazas para determinar qué datos se tomaron.


 

Ransomware-as-a-Service

Ransomware-as-a-Service es un término de ciberseguridad que se refiere a bandas criminales que alquilan ransomware a otros grupos, ya sea a través de un portal dedicado o mediante hilos en foros de piratería.

Los portales de RaaS funcionan proporcionando un código de ransomware listo para usar a otros grupos. Estos grupos, a menudo llamados “clientes o afiliados de RaaS”, alquilan el código de ransomware, lo personalizan con las opciones y luego lo implementan en ataques mediante un método de su elección.

Estos métodos varían entre los afiliados de RaaS y pueden incluir:

  • Ataques de suplantación de identidad (spear-phishing) por correo electrónico.
  • Campañas masivas de correo no deseado indiscriminado.
  • Uso de credenciales de RDP comprometidas para obtener acceso a redes corporativas.
  • Uso de vulnerabilidades en dispositivos de red para obtener acceso a la empresa interna. 

Los pagos de estos incidentes, independientemente de cómo los afiliados lograron infectar a una víctima, van a los grupos creadores del RaaS, que se quedan con un pequeño porcentaje y luego reenvían el resto al afiliado.

Las ofertas de RaaS existen desde al menos 2017 y se adoptaron ampliamente durante el año 2020, ya que permiten que bandas criminales no muy técnicas propaguen ransomware sin necesidad de saber cómo codificar y manejar conceptos avanzados de criptografía.
 

Industrias afectadas

Asimismo, las pequeñas y medianas empresas de servicios profesionales, como firmas de abogados, proveedores de servicios administrados y otras firmas, junto a organismos relacionados con servicios de salud, retail e instituciones financieras, fueron el subconjunto más grande de la industria objetivo de ransomware en 2020. Las organizaciones del sector público también aumentaron su prevalencia, principalmente como resultado del brote de COVID-19. El subconjunto de organizaciones públicas más seleccionadas fueron los organismos educacionales, obligados a pagar por rescates para mantener el flujo de clases y aprendizaje remoto. El cambio apresurado a esta nueva modalidad on-line, causó que muchas escuelas se volvieran vulnerables a los ataques.

 

¿Cuáles son los sistemas operativos más afectados?

Aunque muchos son escépticos respecto a las vulnerabilidades de sistemas operativos como MacOS o sistemas basados en Linux, es importante destacar que las variantes de ransomware están hechas para ser efectivas en cualquier tipo de sistema operativo. Durante el primer semestre de 2020, se evidenció un aumento de ransomware dirigido a sistemas iOS y MacOS, aumentando en ambos casos más de un 1% respecto a 2019, lo cual, en líneas generales se mantuvo durante el segundo semestre del mismo año.

 

Variantes de ransomware más connotadas en 2020

  1. Sodinokibi ransomware:
    Los pagos de ransomware Sodinokibi suelen ser más bajos que el promedio del mercado de ransomware. Afecta a las pequeñas y grandes empresas. Destaca debido a que los montos de rescate se ajustan al tamaño de la organización y a la cantidad de archivos cifrados. En relación con otros tipos de ransomware, tiene una alta tasa de éxito de recuperación después de realizar un pago de rescate. La herramienta de descifrado es relativamente sencilla de usar.
     
  2. Egregor ransomware:
    Egregor parece ser el heredero natural de Maze, que finalizó públicamente sus operaciones durante el tercer trimestre de 2020. En los últimos meses, los operadores de Egregor se han convertido en uno de los grupos maliciosos de ransomware más prolíferos, con múltiples víctimas informadas por varios medios de comunicación desde septiembre de 2020, principalmente grandes empresas financieras. Trabajan con la nueva táctica de ransomware, extorsionando a sus víctimas con la filtración de su información si no efectúan el pago del rescate. Es distribuido a través de kits de explotación o correos de phishing. A principios de diciembre, Egregor comenzó a desacelerar sus campañas con muchos menos ataques realizados por la operación. Algunos afiliados a Egregor RaaS, han sido arrestados como resultado de una operación conjunta realizada por las fuerzas del orden en Ucrania y Francia. Actualmente, no se sabe si la disminución de la actividad de Egregor está relacionada con la aplicación de la ley o simplemente parte de una estrategia por parte de los actores detrás de las operaciones de ransomware.

     
  3. Netwalker ransomware:
    Se dirige tanto a pequeñas como a grandes empresas, ajustando los montos de los rescates según sea el tamaño de la organización y la capacidad percibida de pago. Este grupo exfiltra datos, lo que conduce a un mayor riesgo para las organizaciones. En su versión inicial, el ransomware se llamaba Mailto pero cambió su nombre a NetWalker a finales de 2019. Funciona como un RaaS (Ransomware-as-a-Service) de acceso cerrado y exclusivo, donde quienes solicitan su compra deben registrarse y pasar por un proceso de verificación después del cual se les otorga acceso a un portal web donde pueden crear versiones personalizadas del malware. Ganó renombre durante 2020, ya que fue una de las primeras variantes que tuvo como objetivo centros de salud a nivel mundial. En enero de 2021, una operación de autoridades estadounidenses y búlgaras tomaron el control de la dark web donde el ransomware Netwalker llevaba a cabo las acciones de extorsión y publicación de la data robada de sus víctimas. El sitio web, alojado en la red Tor, hoy muestra un banner donde notifican que la Oficina Federal de Investigaciones lo ha incautado. Dentro de la misma operación lograron arrestar a un ciudadano Canadiense, donde la operación llevada a cabo dice estar “contraatacando la creciente amenaza del ransomware no solo presentando cargos penales contra los actores responsables, sino también interrumpiendo la infraestructura criminal en línea.”
     
  4. Ryuk ransomware:
    Los pagos de Ryuk ransomware suelen ser mucho más altos que el promedio del mercado de ransomware. Esto se debe a la naturaleza altamente selectiva de los ataques. Ryuk afecta a organizaciones de tamaño medio-grande que tienen una mayor capacidad de pago en relación con pequeñas empresas e individuos, generalmente se basa en asociaciones con sofisticadas integraciones de troyanos de spear phishing y banca, como Trickbot / EMOTET. Su principal vector de entrada es a través de correos de phishing y compromiso de crdenciales RDP. En relación con otros tipos de ransomware, tiene una baja tasa de éxito de recuperación de datos después de realizar un pago de rescate y su herramienta de descifrado requiere mucha mano de obra y es propensa a fallas.
     
  5. Conti ransomware:
    El malware Conti hizo sus primeras apariciones en diciembre de 2019 pero no fue hasta mediados del 2020 que su participación fue más notoria y desde ese instante alertó a las empresas de seguridad por su gran parecido y probable relación con los ataques del ransomware Ryuk. Al igual que su predecesor, los pagos de Conti ransomware suelen ser mucho más altos que el promedio del mercado de ransomware, afecta a organizaciones de tamaño medio-grande que tienen una mayor capacidad de pago en relación con pequeñas empresas e individuos, generalmente se basa en asociaciones con sofisticadas integraciones de troyanos de spear phishing y banca, como Trickbot / EMOTET. Sus principales vectores de entrada son a través de correos de phishing y compromiso de credenciales RDP y explotación de otras vulnerabilidades.
     
  6. Dharma ransomware:
    Los pagos de ransomware Dharma están en el promedio de pago del mercado de ransomware. Los incidentes de ransomware Dharma suelen durar mucho más que otros ataques debido a la naturaleza complicada de la herramienta de descifrado que proporcionan los atacantes. A pesar de la complejidad logística de recibir claves y ejecutar la herramienta de descifrado, tiene una tasa de éxito de recuperación relativamente alta después de realizar un pago de rescate. La mayoría de los ataques se remontan al acceso del Protocolo de escritorio remoto (RDP) como el vector de ataque. Esto se debe a la prevalencia de puertos RDP mal asegurados y a la facilidad con la que los distribuidores de ransomware pueden utilizar fuerza bruta o comprar credenciales en sitios de mercado negro. Las empresas que permiten a los empleados o contratistas acceder a sus redes a través del acceso remoto sin tomar las protecciones adecuadas corren un grave riesgo de ser atacadas por Dharma Ransomware.
     
  7. Phobos ransomware:
    Es relativamente nuevo y sus pagos son más bajos que el promedio del mercado de ransomware. Esto se debe al hecho de que ataca a las empresas más pequeñas y a las personas que tienen menos capacidad de pago en comparación con las empresas más grandes. Los incidentes de ransomware Phobos suelen durar mucho más que otros ataques debido a la naturaleza complicada de la herramienta de descifrado que proporcionan los atacantes. Su tasa de recuperación de datos es de aproximadamente un 85%. Sin embargo, han sido reportados casos en que no se ha entregado ninguna herramienta de descifrado después del pago. El proceso de descifrado es el mismo que el ransomware Dharma.
     
  8. Snake ransomware:
    Usa un alto nivel de ofuscación y está escrito en el lenguaje de programación Golang. El malware elimina procesos, incluidos los relacionados con los sistemas SCADA e ICS, máquinas virtuales y varias herramientas de administración remota y de red. Los incidentes de ransomware Snake suelen durar mucho más que otros ataques debido a la naturaleza complicada de la herramienta de descifrado que proporcionan los atacantes. Destaca por su comportamiento agresivo y complejo orientado a Sistemas de Control Industrial (ICS), que son aquellos que facilitan la automatización y la operación segura de los procesos industriales. Pueden verse como la columna vertebral de la infraestructura crítica, ya que se utilizan en plantas de energía, controles de sistemas de presas y fábricas que dependen de altos niveles de automatización de máquinas.


¿Qué tan factible es protegerse de este tipo de ataque?

Los ciberdelincuentes que están detrás de este tipo de campañas maliciosas, por lo general no tienen intenciones disruptivas, solo buscan obtener ingresos económicos de forma rápida y con altas probabilidades de éxito, es por esto que, en líneas generales, no se concentran en objetivos que tengan una buena infraestructura de seguridad, sino más bien en organizaciones inmaduras o con vulnerabilidades conocidas que puedan ser explotadas con facilidad. Entonces, ¿cómo se convierte una empresa en un objetivo costoso? ¿requerirá una revisión masivamente costosa para la seguridad de TI? La respuesta es no. 

El reto de las organizaciones está en contar con tecnologías adecuadas que prevengan este tipo de amenazas junto con la concienciación de sus colaboradores, quienes siguen siendo el eslabón más débil y principales responsables de la entrada de ciberataques.

Existen muchas estrategias que pueden resultar efectivas, sin embargo, se ha comprobado que el conjunto de éstas debe basarse en procedimientos y uso de la tecnología de forma preventiva en lugar de reactiva. Esto supone una alianza entre el departamento tecnológico y el resto de la organización logrando identificar todas las brechas de seguridad y hacer que estos ciberdelincuentes no quebranten la estabilidad de su organización.
 

¿QUÉ MEDIDAS DE PREVENCIÓN PODEMOS TOMAR?
Asegure cualquier servicio remoto para reducir el riesgo en un 35%

Actualmente el 35% de los ataques de ransomware se originaron por explotación de vulnerabilidades del protocolo de escritorio remoto (RDP). El protocolo RDP está incluido en todos los sistemas Windows, es nativo de Microsoft y permite conectarse remotamente a un equipo a través de su IP o nombre de red, desde cualquier lugar de la red. Un ciberatacante podría buscar vulnerabilidades en este protocolo a través de configuraciones poco robustas o vulnerabilidades de sistemas operativos obsoletos o sin parchar. Una vez dentro de una organización, los atacantes probablemente recopilarían más credenciales para escalar sus privilegios. 

Las recomendaciones para reducir estos riesgos son ajustes de configuración disponibles en todos los servicios RDP, las que no requieren de mayor consumo de recursos, haciendo actualizaciones y capacitando a los usuarios sobre cómo conectarse:

  • Deshabilitar o eliminar servicios remotos siempre que sea posible. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • No permitir el acceso remoto directamente desde internet. En cambio, imponga el uso de puertas de enlace de acceso remoto junto con una VPN que requiera autenticación de múltiples factores.
  • Requerir credenciales únicas e intransferibles para cualquier servicio de acceso remoto.
  • Si no es posible cerrar el puerto, limite las direcciones IP de origen que pueden conectarse mediante RDP en la lista blanca, para que solo las máquinas de confianza puedan conectarse.
  • Implementar disposiciones de bloqueo de contraseña para evitar intentos de fuerza bruta.
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada.
  • Habilitar la autenticación de nivel de red (NLA). Cuando se habilita esta opción, los usuarios deben autenticarse en la red antes de conectarse a tu equipo. Permitir conexiones solo desde equipos que ejecutan Escritorio remoto con NLA es un método de autenticación más seguro que puede ayudar a proteger el equipo de usuarios y software malintencionados.


Implemente la autenticación multifactor en todas las cuentas administrativas para reducir aún más el riesgo

Requerir a los usuarios finales que inicien sesión con autenticación multifactor (MFA) es una buena política. Ésta, debe estar complementada con la implementación de privilegios mínimos para garantizar que los usuarios de una red no tengan acceso administrativo a piezas críticas de su infraestructura tecnológica.

La autenticación multifactor por lo general es una opción gratuita presente en la mayoría de los servicios de software y hardware. Hacer uso de este recurso solo en cuentas administrativas de sistema, limita las ineficiencias percibidas de implementarlo en cada usuario, ya que incluso si se obtienen estas credenciales administrativas, una aplicación de autenticación sólida o un MFA basado en claves físicas evitará que los atacantes utilicen con éxito estas credenciales para acceder a controladores de dominio o sistemas de respaldo.

Aunque la autenticación multifactor no puede evitar que se haga clic o ejecute correos electrónicos malintencionados, evita que un intento de phishing exitoso se convierta en un incidente de ransomware sistémico a través de un privilegio escalado.
 

Prevención y mitigación del riesgo de correo electrónico

Debemos tener presente que los correos electrónicos son uno de los medios más explotados por ciberdelincuentes para efectuar la entrega de distribución de malware, ya sea a través de archivos adjuntos o de vínculos a dominios maliciosos o comprometidos, aprovechándose del factor humano puesto que su propagación depende de las acciones de una persona y no de un sistema. Para ello se recomienda:

  • Forzar la rotación regular de contraseñas para que las credenciales cambien para los usuarios del perímetro.
  • Utilizar herramientas de capacitación sobre conciencia de seguridad para ayudar a los empleados a identificar técnicas de ingeniería social y correos electrónicos de phishing con enlaces maliciosos.
  • Utilizar políticas restrictivas como el bloqueo de correos electrónicos externos y archivos adjuntos solo a aquellos que sean necesarios para las operaciones comerciales, considerando bloquear el acceso si la actividad no se puede monitorear bien o si presenta un riesgo significativo.

 

 


Tags: #ransomware #malware #2020 #multifactor #Ransomware-as-a-Service #Sodinokibi #Egregor #Netwalker #Dhrama #Phobos #Snake #Ryuk #Conti
  • Productos Afectados
  • Producto Versión
    - -


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.