Ransomware en la mira: Cómo evitar ser la próxima víctima
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
La unidad de investigación de SILIKN ha incrementado sus esfuerzos para prevenir el ransomware facilitando a las organizaciones el conocimiento de las vulnerabilidades y configuraciones erróneas explotadas en estos ataques.
Como parte de un programa piloto de concientización de vulnerabilidades de ransomware, la unidad de investigación de SILIKN, está por lanzar una serie de recursos para ayudar a las organizaciones a identificar y eliminar fallas y debilidades de seguridad, que se sabe que son explotadas por grupos criminales de ransomware.
A través de esta iniciativa, la unidad de investigación de SILIKN, determina las vulnerabilidades que se asocian comúnmente con la explotación de ransomware y advierte a las organizaciones acerca de dichas vulnerabilidades, lo que ayuda a permitir la prevención antes de que ocurra un incidente de ransomware.
Entre los recursos se encuentran una base de datos que señala fallas asociadas con campañas de ransomware y enumera diversas vulnerabilidades que han sido objeto de ataques de ransomware.
Otro recurso es otra base de datos que enumera información sobre las configuraciones erróneas y las debilidades a las que se ha observado que los grupos criminales de ransomware apuntan sus ataques.
Este tipo de recursos ayudarán a las organizaciones a ser más ciberseguras al proporcionar recomendaciones que protegen contra fallos específicos, configuraciones incorrectas y debilidades asociadas con el ransomware. El ransomware ha vulnerado servicios, empresas y comunidades críticas en todo el mundo y muchos de estos incidentes son perpetrados por grupos criminales de ransomware que utilizan vulnerabilidades y exposiciones comunes conocidas. Sin embargo, muchas organizaciones pueden no ser conscientes de que en su red hay una vulnerabilidad utilizada por los delincuentes.
La unidad de investigación de SILIKN ha identificado cientos de sistemas vulnerables hasta la fecha, dentro de las redes de organizaciones de las industrias de energía, sector educativo, atención médica y salud pública, así como sistemas de agua entre otras áreas de infraestructura crítica.
Los grupos cibercriminales que se dedican al ransomware suelen aprovechar una variedad de vulnerabilidades y técnicas para llevar a cabo sus ataques. Aunque las tácticas pueden evolucionar con el tiempo, aquí hay algunas de las principales vulnerabilidades y métodos que estos grupos han utilizado en el pasado:
Vulnerabilidades de software sin parches: Los ransomware a menudo explotan vulnerabilidades conocidas en sistemas operativos, aplicaciones y software de terceros que no han sido parcheados. Los cibercriminales buscan sistemas que no estén actualizados y seguros.
Ingeniería social: Los atacantes a veces utilizan técnicas de ingeniería social para engañar a las personas y obtener acceso a sistemas o información sensible. Esto puede incluir el phishing, la suplantación de identidad y la persuasión.
RDP (Remote Desktop Protocol) débil o mal configurado: Algunos ransomware se propagan a través de conexiones RDP inseguras, donde los atacantes pueden adivinar contraseñas débiles o utilizar credenciales filtradas para obtener acceso a sistemas.
Correo electrónico malicioso: Los correos electrónicos de phishing y los archivos adjuntos maliciosos son una forma común de distribuir ransomware. Los cibercriminales envían mensajes aparentemente legítimos que, una vez abiertos o descargados, ejecutan el malware.
Explotación de vulnerabilidades de día cero: Aunque menos común, algunos grupos de ransomware utilizan vulnerabilidades de día cero, que son vulnerabilidades desconocidas para el fabricante o para el público en general. Esto les permite llevar a cabo ataques sin que haya parches disponibles.
Ataques a servidores de acceso remoto a empresas (por ejemplo, VPN): Los atacantes pueden buscar servidores VPN, Citrix u otros sistemas de acceso remoto utilizados por empresas y tratar de explotar sus vulnerabilidades o utilizar credenciales débiles para ingresar.
Malware que se propaga lateralmente: Una vez que los cibercriminales ganan acceso a una red, pueden utilizar malware para moverse lateralmente a través de los sistemas y cifrar archivos en múltiples dispositivos.
Ataques a proveedores de servicios: Algunos grupos de ransomware han atacado a proveedores de servicios que tienen acceso a múltiples clientes. Esto les permite cifrar los sistemas de varias organizaciones al mismo tiempo.
Es importante tener en cuenta que la ciberseguridad es una disciplina en constante evolución, y los grupos de ransomware están en constante búsqueda de nuevas formas de ataque. Para protegerse contra estos ataques, es fundamental mantener los sistemas y software actualizados, implementar prácticas de seguridad sólidas y educar a los empleados sobre la seguridad cibernética.
Para más información, visite: https://www.silikn.com/