Contenido
La ciberseguridad es una de las grandes preocupaciones de cualquier empresa. En turismo es especialmente importante contar con protocolos claros. Sobre todo, para proteger la información sensible de los huéspedes. De lo contrario, se podría perder su confianza y además hacer frente a grandes multas. Por ese motivo resulta tan interesante estar al tanto de los principales grupos de ransomware. De esta manera, los trabajadores pueden hacer frente a este tipo de malware que secuestra los archivos personales y sistemas de una compañía para luego pedir un rescate.
El equipo de Inteligencia Frente a Amenazas de Kaspersky ha llevado a cabo un análisis de las tácticas, técnicas y procedimientos (TTPs) más comunes. Al menos, de aquellos utilizados por los ocho grupos de ransomware más activos durante sus ataques. La investigación revela que los distintos grupos comparten más de la mitad de la conocida como «cyber kill chain». También, que ejecutan las etapas centrales de los ataques de forma idéntica. Llega a estas conclusiones tras haber analizado Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte y BlackCat.
No hay que perder de vista que, aunque estos grupos han actuado principalmente en Estados Unidos, Gran Bretaña y Alemania, ya han atacado a más de 500 organizaciones. Además, esto ha sido solo entre marzo de 2021 y marzo de 2022. Por eso, a lo largo de 150 páginas, la guía práctica explica las etapas de despliegue del ransomware. O cómo los ciberdelincuentes utilizan sus herramientas preferidas o los objetivos que esperan conseguir. A su vez, incluye consejos sobre cómo defenderse de los ataques y conocer las reglas de detección de SIGMA, que pueden utilizarse para desarrollar medidas preventivas.
Conocer el patrón de los ataques
Desde Kaspersky han analizado cómo los grupos de ransomware emplearon las técnicas y tácticas descritas en MITRE ATT&CK. Así han encontrado muchas similitudes entre sus TTPs a lo largo de la «cyber kill chain». Las formas de ataque resultaron ser bastante predecibles, con ransomware que siguen un patrón que incluye la red corporativa o el ordenador de la víctima.
También la entrega de malware, el descubrimiento posterior, el acceso a las credenciales, la eliminación de las copias de seguridad y, finalmente, la consecución de sus objetivos. Los analistas también explican algunos motivos por los que hay esta similitud entre los ataques:
- La aparición de un fenómeno llamado «Ransomware-as-a-Service» (RaaS), en el que los grupos de ransomware no entregan el malware por sí mismos, sino que solo proporcionan los servicios de cifrado de datos. Quienes envían los archivos maliciosos se ahorran «trabajo» utilizando métodos de entrega de plantillas o herramientas de automatización para acceder.
- La reutilización de herramientas antiguas y similares facilita la vida a los atacantes y reduce el tiempo de preparación de un ataque.
- La reutilización de TTPs comunes facilita el hackeo. Aunque es posible detectar estas técnicas, es mucho más difícil hacerlo de forma preventiva en todos los posibles vectores de amenaza.
- Lentitud en la instalación de actualizaciones y parches entre las víctimas.
Cómo hacer frente al ransomware
La sistematización de las diversas TTPs utilizadas por los atacantes ha llevado a la formación de un conjunto general de reglas SIGMA de acuerdo con MITRE ATT&CK que ayuda a prevenir dichos ataques. Nikita Nazarov, Team Lead del equipo de Inteligencia Frente a Amenazas de Kaspersky, asegura que «en los últimos años, el ransomware se ha convertido en una pesadilla para toda la industria de la ciberseguridad».
«A los especialistas en ciberseguridad les supone un reto y una gran inversión de tiempo estudiar cada grupo de ransomware. Hemos seguido la actividad de varios grupos durante mucho tiempo, y este informe representa los resultados de un enorme trabajo de análisis. Su objetivo es servir de guía para los profesionales de la ciberseguridad que trabajan en todo tipo de organizaciones, facilitando su trabajo», ha asegurado.
Principales consejos para las empresas
Con el objetivo de que las empresas puedan protegerse de estos ataques de ransomware, desde Kaspersky recomiendan:
- No exponer los servicios de escritorio remoto (como RDP) a las redes públicas. A menos que sea absolutamente necesario, además de utilizar siempre contraseñas seguras para ellos.
- Instalar rápidamente los parches disponibles para las soluciones comerciales de VPN que proporcionan acceso a los empleados remotos.
- Mantener siempre actualizado el software en todos los dispositivos. Así se evita que el ransomware aproveche las vulnerabilidades
- Centrar la estrategia de defensa en detectar los movimientos laterales y la exfiltración de datos a Internet. También prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes.
- Hacer copias de seguridad de los datos con regularidad. Asegurarse de poder acceder rápidamente a ellos en caso de emergencia.
- Formar a los empleados para proteger el entorno corporativo.
- Utilizar soluciones como que ayudan a identificar y detener el ataque en las primeras fases, antes de que los ciberdelincuentes alcancen sus objetivos finales. También apostar por una solución de seguridad fiable para endpoints.
- Utilizar la información más reciente sobre Inteligencia Frente a Amenazas para mantenerse al tanto de las TTPs reales utilizadas por los actores de amenazas.
Imágenes cedidas: Adi Goldstein en Unsplash, Towfiqu barbhuiya en Unsplash, Shubham Dhage en Unsplash
