Crece el uso de plataformas de RaaS, revela reporte de ciberamenazas
En 2020, los pagos asociados con el ransomware se estimaron en 370 millones de dólares, según investigación de Infoblox.
El ransomware permite grandes recompensas con una mínima posibilidad de ser atrapado físicamente. Los actores de las amenazas de ransomware suelen estar a miles de kilómetros de sus objetivos, hay poca o ninguna interferencia de las fuerzas del orden y la extradición por delitos de ransomware es rara o inexistente.
De acuerdo con Infoblox, el impacto y el costo de los ataques de ransomware exitosos pueden ser devastadores para una organización. En 2020, los pagos asociados con ransomware se estimaron en 370 millones de dólares. Sin embargo, los costos del ransomware no se refieren solo al pago del rescate: se estima que el daño total asociado con el ransomware es mucho mayor que los pagos, tal vez de $ 20 mil millones de dólares.
Asimismo, 35 % de las empresas que han pagado rescates proporcionaron entre $ 350 mil a $ 1,4 millones de dólares, y el 7 % de las empresas pagaron rescates de más de $1,4 millones de dólares.
«El ransomware vuelve a ocupar un lugar destacado en nuestro informe trimestral de amenazas. Este año ha resultado ser uno de los peores para el ransomware porque ahí es donde está la gran cantidad de dinero. El gran retorno de la inversión potencial hace que las actividades de extorsión de ransomware sean muy atractivas para los actores de amenazas», señaló Iván Sánchez, director de ventas de Latinoamérica de Infoblox.
La mayoría de ataques de ransomware provinieron de plataformas RaaS
La empresa de seguridad explicó que las plataformas de ransomware como servicio (RaaS) incluyen soporte, foros comunitarios, documentación, actualizaciones y más. Están diseñadas según el tipo de soporte ofrecido con productos SaaS legítimos y tienen un costo relativamente bajo.
En algunos casos, dijo Infoblox, los afiliados pueden registrarse por una tarifa única o por una suscripción mensual, en tanto en otros se pueden tener cargos por funciones especiales, como la visualización de la cantidad de archivos cifrados y la información de pago.
El uso de ataques RaaS altamente dirigidos ha sido lucrativo para los ciberdelincuentes. Los actores que utilizan RaaS para apuntar a grandes organizaciones pueden solicitar grandes rescates y, en casos específicos, pueden usar tácticas cuidadosamente investigadas, como correos electrónicos bien elaborados, para atraer a los objetivos a hacer clic en URL peligrosas o abrir archivos adjuntos maliciosos. En otros casos, pueden apuntar a una vulnerabilidad que es particular o comúnmente utilizada por su grupo de víctimas objetivo.
Métodos de distribución de ransomware
Aunque no es exhaustivo, Sánchez explicó que los cuatro métodos de distribución suelen ser: sitios web maliciosos, correo electrónico malspam, el protocolo de escritorio remoto y memorias USB. De acuerdo con las empresas encuestadas para el informe de Infoblox, los porcentajes de ataques de ransomware que utilizan estos métodos de distribución han variado significativamente.
Páginas web maliciosas
Un sitio web malicioso diseñado para recibir clics en enlaces dirigidos a ese sitio distribuye descargas dañinas a los usuarios. Además de configurar su propio sitio falsificado, los actores de amenazas pueden encontrar y explotar vulnerabilidades en un sitio web legítimo e implantar código malicioso en él. Alternativamente, pueden usarlo para redirigir al objetivo a otro sitio web bajo su control. Algunos de los sitios web deportivos y de medios de comunicación más conocidos del mundo se han visto comprometidos o secuestrados en algún momento.
La publicidad maliciosa también es un mecanismo de entrega estrechamente relacionado para la implementación de malware, en el que se colocan anuncios falsos en sitios web seleccionados. En algunos casos, los actores de amenazas han comprado anuncios incrustados con malware y han pagado redes publicitarias para implementar esos anuncios.
Correo electrónico de spam
Los actores de amenazas utilizan constantemente campañas de correo electrónico como métodos de distribución para su malware, descargadores o enlaces maliciosos. Algunos ataques están altamente dirigidos contra un individuo u organización, una técnica conocida como spear-phishing, pero otras son campañas más grandes y amplias. El correo electrónico es fácil de propagar y, desde muchas perspectivas, requiere la menor cantidad de habilidades. Los correos electrónicos dirigidos a consumidores y usuarios comerciales tienen mensajes que intentan atraer a los destinatarios para que revelen información confidencial, hagan clic en enlaces a sitios inseguros o abran archivos adjuntos maliciosos.
Protocolo de escritorio remoto (RDP)
RDP proporciona acceso a la red a través de un canal cifrado y permite a los usuarios controlar de forma remota los dispositivos de Microsoft Windows. RDP es el protocolo estándar para muchas empresas, porque permite a los miembros del equipo trabajar desde casa. Los actores de amenazas pueden obtener acceso a los servidores RDP mediante el uso de contraseñas predeterminadas en los servidores que no se han actualizadas. Alternativamente, pueden usar técnicas de fuerza bruta para entrar, o pueden usar crackers de contraseñas de código abierto. Una vez que los actores ingresan y escalan sus privilegios a los de un administrador, pueden obtener el control total de una máquina y cifrar archivos.
Tarjetas de memoria USB
Las memorias USB se han utilizado para distribuir muchos tipos de malware, incluido el ransomware. Los actores de amenazas dejan unidades USB en cafeterías, aeropuertos, y otros lugares, para que los objetivos desprevenidos las recojan y usen. Una vez que se inserta una unidad USB en una computadora, el ransomware cifra los archivos en el dispositivo y se propaga dentro de la red.
Mitigar el ransomware
Infoblox recomendó practicar las siguientes medidas puede ayudar a una empresa a reducir su vulnerabilidad a un ataque de ransomware:
- Requerir autenticación multifactor para acceder a activos y aplicaciones de TI. Vuelva a validar la autenticación cada vez que se requiera acceso para una nueva sesión.
- Utilizar filtros de correo no deseado para evitar que los correos electrónicos de suplantación de identidad y los archivos ejecutables lleguen a los usuarios finales.
- Filtrar el tráfico de red con seguridad DNS para prohibir las comunicaciones de entrada y salida con direcciones IP maliciosas conocidas.
- Actualizar el software con regularidad. La mayoría de las vulnerabilidades se pueden eliminar instalando las últimas actualizaciones del proveedor.
- Limitar el acceso a los recursos a través de las redes, especialmente restringiendo RDP. Asegúrese de que las contraseñas de RDP se hayan cambiado de la configuración predeterminada.
- Ejecutar análisis periódicos con programas antivirus que utilicen firmas que se actualizan con frecuencia.
- Configurar un escáner de vulnerabilidades para ejecutar pruebas de penetración con regularidad. Los cambios recientes en la configuración o la instalación de actualizaciones pueden causar o exponer vulnerabilidades.
- Establecer controles para evitar que los programas se ejecuten desde ubicaciones que el ransomware suele utilizar, como carpetas temporales que admiten navegadores de internet y programas de compresión/descompresión populares.