Las PYMES y pequeñas organizaciones, son blanco fácil del ransomware: sin recursos ni protección adecuada, se enfrentan a riesgos críticos que podrían poner en jaque su continuidad operativa. Este tipo de objetivos, suele carecer de los presupuestos y personal especializado en ciberseguridad, lo que las convierte en objetivos ideales para los cibercriminales. La falta de concienciación sobre la importancia de implementar medidas de seguridad, como copias de seguridad regulares y formación del personal en prácticas seguras de manejo de información, aumenta aún más su vulnerabilidad. Vamos a profundizar en este artículo sobre dicho asunto.
Probablemente, muchas personas crean que su empresa u organización, es demasiado pequeña para ser objeto de extorsión digital, pero la realidad, según datos publicados por Verizon, es que el ransomware representa el 39% de las violaciones de datos en grandes organizaciones, mientras que dicha cifra se eleva al 88%, en el caso de PyMES (Pequeñas y Medianas Empresas) y otras organizaciones. Las estructuras más grandes están más preparadas económicamente para pagar rescates multimillonarios, pero también es más probable que dispongan de las herramientas y políticas necesarias para prevenir, detectar y contener el riesgo de filtración de la información.
Lo cierto es que, en ambos casos, dependen totalmente de sus datos y de su infraestructura informática para seguir funcionando. La amenaza con la pérdida permanente de datos y el cierre total, ha sido con frecuencia un poderoso motivo para pagar los rescates, incluso sin tener garantías de que vayan a recuperar realmente sus datos.
Para complicar más el asunto, los atacantes cuentan con más opciones para forzar el pago, por ejemplo mediante ataques de doble extorsión, en los que además de robar datos sensibles, los cifran y amenazan con publicarlos. Además de robar y amenazar con filtrar o borrar datos internos confidenciales, pueden amenazar con ataques DDoS (ataque a un sistema o red que provoca que un servicio o recurso sea inaccesible para los usuarios legítimos), denuncias, incluso violencia física en algunos casos. De hecho, los atacantes incluso ajustan alegremente sus peticiones de rescate para aumentar las probabilidades de un pago, según se ha demostrado en la práctica.
Para no andar con rodeos, las PYMES u organizaciones peor defendidas son un objetivo muy jugoso para los atacantes. De hecho, al tener más activos digitales y dinero que los consumidores o usuarios y menos medidas de ciberseguridad, han estado durante mucho tiempo en un punto ideal, para el ciberdelito.
¿Cómo evolucionan los grupos de ransomware?
Para hacer frente a la amenaza, es necesario entender quién o qué la impulsa y cómo está cambiando. La industrialización del ransomware como servicio (RaaS) de la ciberdelincuencia, ha reducido las barreras de entrada y facilitado la proliferación del ransomware. Mientras, la rotación de tipos de ransomware continúa a un buen ritmo, causada en gran parte por la intensificación de los esfuerzos de las fuerzas de seguridad. Cuando un grupo es desmantelado, otro nuevo surge con tácticas y herramientas similares o innovadoras, en un intento de escapar al escrutinio. Además, la rápida evolución de las TTP (tácticas, técnicas y procedimientos en ciberseguridad), dificulta la mitigación del riesgo.
El cambio de tipos de ransomware puede ser un reflejo de las dificultades que tienen muchos grupos para obtener beneficios. Un análisis de los pagos de rescates en criptomoneda, revela un descenso del 35 % entre 2023 y 2024. No obstante, al enfrentarse a un menor número de víctimas dispuestas a pagar, los grupos de ransomware duplican el número de las que lo hacen, como lo demuestra un estudio de Semperis, que afirma que el 55% de las organizaciones que pagaron un rescate el año pasado lo hicieron varias veces; con un 29% llegando a pagar tres o más veces.
¿Cómo está transformando la IA el ransomware?
Con el avance de la tecnología, los grupos de ransomware también cambian de táctica para aumentar sus posibilidades de éxito. Las formas habituales de conseguir el acceso inicial a las redes de las víctimas siguen siendo la explotación de vulnerabilidades, el phishing y el compromiso del acceso remoto, por ejemplo, mediante credenciales obtenidas mediante malware para el robo de información. Sin embargo, las herramientas de IA potencian estos esfuerzos.
El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha advertido recientemente que, en los próximos dos años, el uso de la IA provocará un aumento de la frecuencia e intensidad de las ciberamenazas, y que la búsqueda de víctimas vulnerables mediante reconocimiento, la explotación de vulnerabilidades y la ingeniería social, en particular, se democratizarán a favor de la ciberdelincuencia.
Por su parte, ESET descubrió recientemente lo que se cree que es el primer ransomware del mundo impulsado por IA, «PromptLock», que utiliza un modelo legítimo de OpenAI para generar scripts maliciosos. La perspectiva de malware impulsado por IA que puede, entre otras cosas, adaptarse al entorno y cambiar sus tácticas sobre la marcha puede representar en general una nueva frontera en los ciberataques, advierten desde ESET.
Además, un informe separado de ESET destaca nuevos desarrollos, incluyendo la aparición de EDR killers (malware diseñado para detectar y desactivar las defensas de seguridad), diseñados para bloquear las herramientas de detección y respuesta de endpoints (EDR), instaladas en los sistemas de las víctimas. También se han observado grupos que utilizan tácticas de ingeniería social como ClickFix, para engañar a los usuarios e inducirles a instalar malware en sus dispositivos.
¿Cómo proteger la empresa u organización?
Un buen número de PYMES y organizaciones conocen ya, por experiencia propia, lo que puede ocurrir tras un ataque de ransomware. Un ejemplo, puede ser el de la gran empresa británica de logística KNP, que debió cerrar sus operaciones tras un ataque de ransomware, sirve para valorar el daño que puede causar este tipo de amenaza, incluso a quienes puedan tener una mejor preparación.
Para que la empresa u organización reduzca las posibilidades, es fundamental tomar medidas preventivas como pueden ser:
- Aplicar una gestión de parches que priorice la corrección de vulnerabilidades críticas para limitar aún más la posibilidad de acceso inicial y movimiento lateral.
- Adoptar un enfoque de ZeroTrust (políticas de seguridad para cada conexión individual), con políticas de mínimo privilegio, autenticación multifactor y verificación continua de usuarios.
- Instalar software de seguridad de proveedores de confianza en todos los dispositivos, desde terminales y servidores hasta portátiles de trabajadores remotos.
- Realizar copias de seguridad de los archivos confidenciales siguiendo buenas prácticas, para evitar un posible cifrado, y reducir la ventaja del atacante.
- Diseñar y probar periódicamente un plan de respuesta a incidentes,en colaboración con las principales partes interesadas de la empresa u organización.
- Supervisar continuamente las redes, terminales y partes del entorno informático en busca de señales de comportamiento sospechoso, y reducir el tiempo de permanencia del atacante.
- Actualizar los cursos de formación y concienciación, incluyendo ejercicios de simulación con las últimas tácticas de phishing, incluido el phishing basado en la voz (vishing). Los empleados son a la vez el mejor activo y el eslabón más débil.
Es muy importante, asegurarse de evaluar adecuadamente los activos, recursos y riesgos, incluidos los que emanan de las cadenas de suministro. Mantener un inventario de todas las herramientas de código abierto y patentadas que utiliza la organización. En términos generales, la visibilidad de los activos es la base de cualquier programa de gestión de riesgos. Se sabe que los atacantes cuentan con los puntos ciegos. Si no se sabe que un sistema existe o qué datos contiene, no se puede proteger.
Muchas pymes y organizaciones, son cada vez más conscientes del ransomware y otros riesgos a los que se enfrentan, pero no confían en su experiencia interna en ciberseguridad. Por tanto, muchas de ellas están recurriendo cada vez más a los servicios de detección y respuesta gestionada (MDR) para delegar la supervisión en un socio experto que se encargue de la búsqueda, detección y respuesta ante amenazas, las 24 horas del día, los 7 días de la semana, reduciendo la carga operativa de su equipo interno y garantizando al mismo tiempo que cualquier actividad de ransomware se identifique, contenga y elimine rápidamente.
STI 2020 ® 
Deja un comentario