Los ataques de ransomware en 2020
El ransomware ha tomado lugar como una de las principales armas de los ciberdelincuentes, él cual se encuentra en constante evolución para evitar ser detectado por los controles de seguridad.
Por lo cual los atacantes se enfocan desarrollando nuevas estrategias de evasión y propagación que va dirigido no solo a los individuales si no hacía grandes empresas sin importar el tipo de industria y el sector ya sean públicas o privadas.
Las víctimas del ransomware tienen grandes pérdidas económicas para recuperarse de un incidente de este tipo, ya sea por el pago del secuestro de información que establece el atacante o los gastos de recuperación que conlleva el incidente. Muchas veces las víctimas de ransomware buscan evitar que la información de la compañía sea expuesta y con ello tener daños en la reputación o recuperar la operación lo mas pronto posible por lo que optan por realizar los pagos por el rescate de la información.
Los casos siguen en aumento
Los grupos de ciberdelincuentes han aprovechado el tema del COVID-19 este año 2020, ya que se enviaron correos de campañas masivas con este tema, lo que propicio que los usuarios abran archivos infectados, ante la necesidad que se tiene de conocer más sobre esta pandemia. Por otro lado, se encuentra la necesidad que han tenido las organizaciones de que sus usuarios tengan que realizar trabajo remoto, lo que conlleva a no tener controles de seguridad adecuados fuera de las organizaciones. Esta combinación de factores ha incrementado los riesgos de sufrir un ataque por lo cual los casos de ransomware se han incrementado tanto en frecuencia como en cantidad en el ultimo año.
Por lo tanto, los principales retos a los que se están enfrentado los expertos en ciberseguridad son los siguientes:
-
- Se tiene la necesidad de establecer controles de seguridad tanto de prevención como de detección que se puedan adaptar a la nueva forma de trabajo.
- Estar conscientes de que con el tema del COVID 19 se tiene un porcentaje mayor de ser víctima de un ataque de ransomware tanto dentro de la organización como fuera de ella.
- Se requieren equipos de trabajo preparados para este tipo de incidentes con las nuevas formas de operar.
Algunas cifras de 2020
- En Q3 de 2020 se incrementaron en 50% en promedio diario los ataques en comparación con la primera mitad de 2020. 1
- 73% de los ataques de ransomware fueron exitosos y cifraron los datos de las victimas.2
- El 24% de los ataques fueron detenidos por la tecnología anti-ransomware antes de que los datos fueran cifrados.2
- El 41% de los ataques de ransomware ocurrieron en infraestructura on-premise y el 59% ocurrió en infraestructura de nube publica. 2
- 45% de las organizaciones realizó pagos de ransomware.
Corresponde a las organizaciones que sufrieron un ataque y pagaron un rescate por su información, sin embargo, la mitad de ellas no logró recuperar su información. 3
- 86% de los ataques tienen motivaciones económicas.
De estos ataques el 70% fueron perpetrados por atacantes externos y el resto por usuarios internos. 4
2
Sin importar el tipo de industria, los casos de ransomware que se dieron en el 2020 afectaron a diversas organizaciones en todo el mundo.
Una de las tendencias que va a la alza sobre los ataques de ransomware es el Ransomware as a Service (RaaS), el modelo Ransomware-as-a-Service (es decir, donde los desarrolladores de ransomware mantienen este código de malware y los atacantes lo adquieren y utilizan para realizar los ataques sin haberlo desarrollado) también ha demostrado ser muy rentable para los atacantes de ransomware por las ganancias que les deja el rescate, por lo que este modelo ha tenido una participación alta en los ataques ocurridos.
¿Cómo prevenir el ransomware?
Lo más importante para prevenir un ataque de ransomware es estar preparado tanto antes como después de ser victima de un ataque. A continuación, agrego algunos puntos que se deben tomar en consideración para crear un plan de acción contra este tipo de ataques.
- Prevención: Uno de los vectores de ataque mas comunes es el correo electrónico, tener filtros efectivos en el correo electrónico es esencial, como son para el bloqueo de spam y el análisis de archivos adjuntos. Otros factores a considerar, es bloquear la navegación de los usuarios hacia sitios peligrosos y las descargas de archivos que posiblemente contengan malware, así como también el ingreso de archivos maliciosos provenientes de dispositivos extraíbles como son las USB en las maquinas.
- Detección: Para minimizar el daño de un ataque de este tipo es reducir el tiempo en el que detectamos que se es victima de un ataque, por lo que tener controles de seguridad que nos ayuden a detectar, detener y por lo tanto evitar que se esparza en otros sistemas de la organización reduce considerablemente el daño que el ataque cause a la organización.
- Concientización: Los usuarios bien capacitados en temas de ciberseguridad es indispensable para evitar ser victima de este tipo de ataques, por lo que los usuarios deben ser capaces de identificar correos maliciosos y el ingresar en páginas que contienen malware, por lo que esta actividad es parte fundamental en la protección de la organización.
- Actualizaciones: Mantener los sistemas actualizados parte fundamental para evitar que los sistemas se encuentren vulnerables y los exploits conocidos pueden tomar efecto ingresando a los sistemas.
- Respaldos: Contar con respaldos de los sistemas críticos después de ser victima de un ataque por ransomware hace la diferencia al momento de que tan rápido vamos a estar preparados para responder y reestablecer la operación de la organización.
Estas son algunas recomendaciones que se deben seguir para estar preparado; entre más puntos se cubran de las anteriores podemos reducir en mayor medida el riesgo de sufrir un ataque tanto de ransomware como de otro tipo de malware.
Derivado de las nuevas tácticas para atacar los sistemas con ransomware que cada vez son más sofisticadas, las empresas sin importar el tamaño que estas sean deben protegerse contra los ciberdelincuentes oportunistas que utilizan este tipo de ataques, que muchas veces pueden obtener a bajo costo como es la adquisición del servicio RaaS.
Ya sea dentro de las organizaciones o con esta nueva forma de trabajo de manera remota que surgió en 2020 y que se mantendrán en muchas de ellas en el futuro, se debe priorizar la importancia de la ciberseguridad para evitar ser víctima de ataques costosos como es el ransomware, para este 2021 las organizaciones deben continuar preparándose en tener claras las acciones a considerar para prevenir estos incidentes, por otro lado si llegaran a ocurrir, tener las capacidades de responder en el menor tiempo posible ante el ataque, ya que como hemos visto se dispararon considerablemente los ataques por ransomware a lo largo del 2020 y se prevé que el aumento en los casos continúe en este 2021.
Referencias:
- “Global Surges in Ransomware attacks” Checkpoint 2020, https://blog.checkpoint.com/2020/10/06/study-global-rise-in-ransomware-attacks/
- “The State of Ransomware 2020” Sophos 2020, https://secure2.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf
- “2019 Cyberthreat Defense Report” Cyber Edge Group, https://cyber-edge.com/wp-content/uploads/2019/03/CyberEdge-2019-CDR-Report.pdf
- “2020 Data Breach Investigations Report” 2020 Verizon, https://enterprise.verizon.com/resources/reports/dbir/
- “Ransomware ENISA Threat Landscape”, European Union Agency For Cybersecurity, https://www.enisa.europa.eu/publications/ransomware