El ransomware se ha convertido en un método de ataque de una magnitud épica. En la actualidad, la combinación de tecnología obsoleta, estrategias de defensa centradas solo en los perímetros, la falta de protocolos de seguridad y la ausencia de una solución mágica e infalible pone en riesgo a organizaciones de todos los tamaños. Cada día decenas de empresas en América Latina están perdiendo la batalla contra el ransomware.
Patricio Villacura, Especialista de Seguridad Empresarial para Akamai, dijo que aunque la amenaza de perder datos de forma permanente ya es de por sí estremecedora, los ciberdelincuentes se han vuelto lo suficientemente sofisticados como para utilizar el ransomware para introducirse en grandes empresas, administraciones públicas, infraestructuras globales u organizaciones de salud pública, y paralizarlas.
A partir de 2022, el costo promedio de una sola filtración de datos en todas las industrias en el mundo fue de alrededor de 4,35 millones de dólares. Se descubrió que esto era más costoso en el sector de la salud, y se informó que cada fuga supuso a la parte afectada 10,1 millones de dólares. El segmento financiero le siguió de cerca, cada incumplimiento resultó en una pérdida de aproximadamente 6 millones de dólares, 1,5 millones más que el promedio mundial.
De acuerdo con Villacura, hay muchas variantes de ransomware. No obstante, buscar los Indicadores de Vulnerabilidades o IoC específicos en función de nombres de dominio sospechosos, direcciones IP y hash de archivos asociados con actividades maliciosas conocidas puede ayudar a obtener más información sobre el origen del ataque y cómo responder. El experto explicó que la metodología utilizada por los cibercriminales para realizar un ataque de ransomware normalmente obedece a los siguientes cinco pasos:
- Romper el perímetro. Por medio de alguna de las técnicas existentes como ataques de fuerza bruta, vulnerabilidades, phishing, etcétera, el atacante busca acceder a los sistemas.
- Ganar privilegios a nivel de administrador. Es en este punto cuando el atacante busca capturar credenciales de usuarios de altos privilegios para poder realizar modificaciones en las configuraciones de los sistemas y aplicaciones con el único fin de evitar la correcta operación de los servicios.
- Moverse lateralmente. El atacante se mueve de manera lateral con el objetivo de reconocer la infraestructura circundante, servicios potencialmente vulnerables y detectar la existencia del repositorio de datos de respaldo.
- Infección. Una vez entendido el entorno se busca avanzar al cuarto paso que es continuar con la infección de dichos servidores ya sea atacando protocolos potencialmente vulnerables como RDP, SMB o SSH que precisamente son de fácil presencia en la operación normal de los sistemas o la ejecución de herramientas maliciosas como EthernalBlue, Zerologon, entre otras.
- Todo lo que pueda ser cifrable como archivos de sistemas, datos sensibles de usuarios, bibliotecas con los detalles de configuración de sistemas incluyendo permisos, entre otros datos que sean vitales para la operación normal del día a día de las empresas e instituciones.
Patricio Villacura destacó que los controles específicos que pueden ser establecidos en cada una de estas etapas son variadas para detectar y frenar cada una de ellas, pero es la Microsegmentación la solución que puede desde una etapa temprana evitar que no solo se pueda proteger la infraestructura crítica y los servicios que la sustentan, sino además disminuir la superficie de ataque.
Así es cómo la Microsegmentación ayuda a prevenir el ransomware
La Microsegmentación es la forma más rápida de visualizar y segmentar los activos en el centro de datos, la nube o la infraestructura de nube híbrida. El elemento de segmentación basado en software de la Microsegmentación separa los controles de seguridad de la infraestructura subyacente y ofrece a las organizaciones flexibilidad para ampliar la protección y la visibilidad en cualquier lugar.
A decir del experto, es importante entender cómo una solución de Microsegmentación actuaría ante un ciberataque, para ello expuso un ejemplo muy famoso que pudo evitarse con una estrategia utilizando esta herramienta. El directivo informó que el 8 de Mayo de 2022, el presidente de Costa Rica, Rodrigo Chaves, se vio obligado a declarar estado de emergencia nacional por la exfiltración de aproximadamente 700GB de información sensible de los ciudadanos viéndose afectados ocho organismos gubernamentales debido al ataque producido por el grupo de Ransomware Conti. Los atacantes aprovecharon brechas de código fuente de aplicaciones y brechas en la validación de accesos públicos a bases de datos SQL de los servicios de gobierno; posteriormente ejecutaron un cifrado de la información sensible de los ciudadanos para después pedir un pago por el rescate de la información antes de ser divulgada.
De acuerdo con Patricio Villacura, una solución de Microsegmentación podría haber evitado la expansión de este ataque sobre la operación de los servicios de los ministerios por medio del control de las rutas de comunicación de las herramientas usadas por Conti, luego por la capacidad de restricción de acceso a los recursos compartidos de archivos que guardan información sensible de los ciudadanos y finalmente, por la limitación del acceso a las bases de datos y servidores de copia de seguridad.
Ante la amenaza de ransomware, el experto recomendó a las empresas limitar al máximo el acceso entre los equipos para evitar el movimiento lateral. Sugirió prestar especial atención a aquellos protocolos y servicios que las campañas de ransomware suelen atacar. En caso de detectar que se está produciendo un ataque de ransomware, la compañía deberá utilizar herramientas que proporcionen visibilidad para comprender el alcance de la filtración. Según la información que se obtenga, se deberán aislar las partes afectadas de la red del resto de la organización y agregar más capas de seguridad a las aplicaciones y copias de seguridad esenciales. Solo se deberán restablecer gradualmente los flujos de comunicación una vez tomadas las medidas de mitigación y que se hayan restaurado los servicios.
Patricio Villacura agregó que cuando se tenga una lista de todos los equipos infectados e indicadores de riesgo, se puede iniciar la desinfección. “La segmentación de red no es una alternativa a un antivirus, un antimalware o una plataforma de EDR, es un enfoque complementario que ha demostrado reducir sustancialmente el riesgo de sufrir ataques“, finalizó el experto.