FlagMartes, 26 Marzo 2019

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

ransom

 

Fortinet anunció los hallazgos del Informe de Ransomware en América Latina y el Caribe de FortiGuard Labs. La investigación del 2018, realizada por el servicio de inteligencia de amenazas de Fortinet, FortiGuard Labs, reveló la tasa y la frecuencia de las campañas de ransomware en Latinoamérica y el Caribe.

Con más del 60 por ciento de los ataques de ransomware en América Latina originados en México, este país ha sufrido más de 21.000 intentos de descargar o difundir ransomware detectados en 2018. Esto significa que México enfrenta un promedio de 57 intentos de ransomware por día, todos los días. Chile le sigue de cerca con el 34 por ciento de todas las detecciones de ransomware registradas el año pasado.

Según la investigación de FortiGuard Labs, estos son los otros países afectados por ransomware en la región: Argentina, Brasil, Colombia, Panamá, Perú, Puerto Rico y República Dominicana.

Como una metodología popular de cibercrimen, el ransomware es un tipo de malware que encripta los datos en la computadora de una víctima y retiene su contenido a cambio de un rescate. La víctima luego debe pagar por una clave para descifrar archivos, a menudo recibiendo un mensaje instantáneo o un correo electrónico con instrucciones. El rescate suele exigirse en algún tipo de criptomoneda para mantener la anonimidad del ciberdelincuente, pero el pago no necesariamente equivale a la resolución del problema, ya que se sabe que en algunas ocasiones los cibercriminales retienen la clave de descifrado incluso tras recibir el pago. Casi tres cuartos de los ataques de ransomware obtienen acceso a través de correos electrónicos con archivos adjuntos o vínculos para acceso a sitios web.

“Los cibercriminales no solo están desarrollando nuevos vectores de ataque para explotar la superficie de ataque en expansión creada por la transformación digital, también están utilizando el método comprobado de atacar vulnerabilidades antiguas y conocidas que los equipos de TI simplemente no tienen tiempo de abordar. Para defender la red de estos ataques multisectoriales, las organizaciones necesitan desarrollar un proceso sistemático y básico para reducir la cantidad de posibles orígenes de ataque a los que están expuestos”, señaló Martín Hoz, vicepresidente de Ingenería de Preventa y Servicios de Postventa en Fortinet para América Latina y el Caribe.

La actividad de ransomware alcanzó un máximo histórico en 2017, tanto en el número de detecciones como en la tasa de generación de nuevas variantes, mostrando una curva de crecimiento casi exponencial impuslada por el aumento de familias de ransomworm como ‘WannaCry’.

Como se esperaba, ‘WannaCry’ fue la campaña más activa en el 2018 después de su lanzamiento en mayo de 2017, representando el 25 por ciento del total de intentos de ransomware en América Latina. Sin embargo, FortiGuard Labs detectó una nueva campaña de ransomware conocida como ‘CrySiS’ o ‘Dharma’, actualmente la segunda campaña de ransomware más activa en la región.

FortiGuard Labs ha estado monitoreando a la familia de ransomware CrySiS/Dharma durante algunos años. Las credenciales para el uso malicioso de este ransomware se pueden encontrar comprando el acceso en línea en la “web oscura”. Sin embargo, una vez autenticado, un atacante con CrySiS/Dharma puede asignar un recurso compartido remoto del disco duro o simplemente usar el portapapeles para pasar contenido malicioso a la víctima. A partir de ese momento, el atacante tiene todo lo necesario para moverse dentro de la red y propagar la infección a otros servidores y dispositivos.

“Una de las formas más comunes de propagar este tipo de código malicioso sigue siendo el correo electrónico, por lo que seguir las buenas prácticas de correo electrónico y tener una solución de seguridad contra el malware se ha convertido en una necesidad. También es importante verificar los remitentes cuando se reciben mensajes e ignorar los enlaces sospechosos que solicitan la descarga de archivos en internet o lo redirigen a sitios desconocidos. Por otro lado, es recomendable ignorar los mensajes intimidantes o aquellos que suenan ‘demasiado buenos para ser verdad’, ya que los correos electrónicos legítimos generalmente se personalizan y la información solicitada puede ser prevista”, agregó Hoz.

Fortinet aconseja a sus clientes seguir las mejores prácticas de seguridad resumidas a continuación:

1. Realice una copia de seguridad de sus datos
La major respuesta al ransomware es estar preparado. Para proteger su red del ransomware, es importante utilizar buenas prácticas informáticas y software de seguridad. Primero, siempre debe tener una copia de seguridad confiable y probada de los datos que pueda usarse para recuperar dispositivos o redes en una emergencia, así como en un ataque de ransomware. También es recomendable mantener algunas copias de seguridad fuera de línea (en lugar de solo en línea) para evitar que el ransomware ataque al sistema de copia de seguridad. En lugar de pagar un rescate, el método más efectivo es reemplazar los sistemas operativos, el software y las aplicaciones comprometidas con versiones de respaldo limpias.

2. Gestión de acceso
Dado que el ransomware generalmente se instala mediante piratería de los Servicios de Escritorio Remoto, es importante asegurarse de que esos servicios estén correctamente bloqueados. Esto incluye asegurarse que las computadoras que ejecutan Servicios de Escritorio Remoto no se conecten directamente a internet. En su lugar, coloque las computadoras que ejecuten estos servicios detrás de la red privada virtual (VPN, por sus siglas en inglés) para que solo las personas con una cuenta VPN en la red puedan accceder a ellos. Cabe señalar que este ransomware cifrará unidades de red asignadas, unidades host de máquinas virtuales compartidas y recursos compartidos de red no asignados. Por lo tanto, es importante asegurarse de que los recursos compartidos de su red estén bloqueados para que solo tengan permiso aquellos que realmente necesitan acceso.


3. Tecnología adecuada
Los procesos y las prácticas deben estar respaldadas con tecnología de vanguardia. Es crucial establecer controles tecnológicos no sólo para prevenir, detectar y/o reaccionar ante el ataque, sino también para contenerlo, erradicarlo y recuperarse. El uso de tecnología como el sistema de gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés) o la zona de pruebas (sandboxing en inglés) que implementa Inteligencia Artificial y que puede ser respaldada por un equipo de investigación global con conocimiento y recursos locales para actualizar continuamente los motores de amenazas para detectar las tendencias de ataque más recientes, es altamente relevante. Pero también es importante asegurarse de que esta tecnología funcione como una entidad única, en forma de entramado, para que la protección sea uniforme en toda la superficie de ataque.

Las organizaciones necesitan transformar sus estrategias de seguridad como parte de sus esfuerzos de transformación digital. Los dispositivos de seguridad heredados y aislados y la higiene de seguridad deficiente siguen siendo una fórmula para aumentar el riesgo de incidentes de ransomware en el panorama de amenazas actual, ya que no brindan visibilidad o control adecuados. En su lugar, es vital un entramado de seguridad que abarque todo el entorno de red ampliado y se integre en cada elemento de seguridad. Este enfoque permite que la inteligencia de amenazas procesable se comparta a velocidad y escala, reduce las ventanas de tiempo para la detección y proporciona la remediación automática requerida para los exploits de vectores múltiples de hoy.