Llegamos a ustedes gracias a:



Reportajes y análisis

Ransomware a su servicio

Descubra cómo es que se ve el ransomware como servicio y cómo proteger a su red de éste.

[23/01/2017] El ransomware ha producido al crimen cibernético organizado mil millones de dólares en el 2016, sin tener en cuenta los periodos de inactividad y otros costos. Y de acuerdo al 2016 Ransomware Report de KnowBe4, un 93% de los profesionales de TI que fueron encuestados muestra preocupación respecto al futuro crecimiento del ransomware.

La mayoría de nosotros sabe lo que es el ransomware -un malware perjudicial que deja a los usuarios fuera de sus dispositivos o bloquea el acceso a los archivos hasta que se paga algún tipo de rescate. Sin embargo, durante el año pasado, hemos estado escuchando más sobre el ransomware como servicio (RaaS, por sus siglas en inglés). ¿Cuál es la diferencia? ¿Acaso el RaaS requiere nuevas formas de protección? En esta presentación, el CEO de KnowBe4, Stu Sjouwerman, explica lo que es el RaaS, también proporciona ejemplos y ofrece los mejores procedimientos para proteger a su organización.

Ransomware como servicio

El RaaS es una variante del ransomware que está diseñado para ser fácil de utilizar por parte del usuario y sencillo de desplegar para los criminales cibernéticos, por lo que se está convirtiendo en un modelo popular para los criminales cibernéticos.

Se colgó del extremadamente exitoso modelo de software como servicio, después añadió un giro oscuro. ¿Cómo funciona? Cualquiera puede acceder a un sitio TOR de la web oscura, registrarse con una dirección de Bitcoin, después personalizar u descargar su propia versión del malware. Ellos pueden operar múltiples campañas con direcciones Bitcoin distintas. El ejecutable puede esparcirse con los vectores de infección usuales, como las campañas masivas de phishing 'spray-and-pray', spear phishing dirigidos, malvertising con anuncios envenenados en sitios web comprometidas con Exploit Kits causando descargas al paso del ejecutable RaaS, realizando hacking manual de servidores Linux o ataques de fuerza bruta en servidores terminales.

Los desarrolladores originales se llevan una porción del 25% de cualquier rescate pagado y el resto va a los criminales afiliados. Los afiliados tienen una consola disponible en la cual pueden ver estadísticas y actualizar configuraciones en sus campañas personales de ransomware.

RaaS en la vida real ­-Ransom32

Aunque vimos campañas de RaaS en el 2015 (TOX, Fakben y Radamant), la popularidad de éstas ha crecido en el 2016. Comenzando en enero, gracias a BleepingComputer, nos percatamos de una nueva tendencia llamada Ransom32 que fue única: fue desarrollada completamente en JavaScript, HTML y CSS, que potencialmente permitió infecciones de múltiples plataformas después de volver a ser empacadas para Linux y MacOS X. El uso de JavaScript nos trajo un paso más adelante en dirección a la amenaza "escriba una vez e infecte a todos.

RaaS en la vida real -Petya/Mischa

La mafia cibernética detrás del ransomware Petya/Mischa lanzo su producto de RaaS a fines de julio del 2016. Le pagó a los "distribuidores una parte del rescate que fue extraído de las víctimas, e incrementó los pagos hasta un 85% del rescate si es que lograban involucrar a más de 125 bitcoins. Inversamente, si un "distribuidor solo colectaba cinco bitcoins, podían conservar solo un miserable 25%. Como fue señalado por BleepingComputer, este nuevo modelo de negocio de RaaS estaba, desafortunadamente, alentando a que las personas distribuyeran el ransomware, si es que fuesen a recibir un pago diario considerable.

RaaS en la vida real -Cerber

A principios de marzo del 2016, debutó Cerber, un ransomware sofisticado. Para setiembre, había madurado y una campaña de ransomware Cerber más grande y sofisticada fue propagada a través de correos electrónicos de phishing algo inusuales. Debido a que se trató de un modelo RaaS, los usuarios podían encontrar campañas Cerber que estaban siendo operadas por varios actores maliciosos a través de una variedad de vectores de ataque.

Aunque las campañas Cerber han estado creciendo en tamaño desde hace varios meses, el mes de setiembre resaltó al estar marcado por varios picos de actividad de Cerber. Los correos electrónicos maliciosos fueron notorios por muchas razones, incluyendo una serie de temas diferentes y, aun así, bastante similares: líneas y ganchos de ingeniería social. Adicionalmente, un documento de Word protegido por una contraseña frustró la detección sencilla por parte de los motores de escaneo de virus y proporcionó a la experiencia de usuario un aire de seguridad adicional, reforzando a los usuarios más ingenuos la sensación de que el documento que estaban manejando era, de hecho, seguro.

Protegiéndose del RaaS

El ransomware es ahora tan exitoso y lucrativo que ha atraído a las mafias de malware más grandes y mejor financiadas que continúan innovando con fuerza para intentar competir por obtener una mayor participación de mercado.

Por cada candidato en el mercado de ransomware que cuenta con habilidades insuficientes y un exceso de confianza, existe al menos un grupo extremadamente inteligente de actores maliciosos capaces de construir efectivamente prisiones codificadas para los datos de su compañía. Y cuando sus datos ingresan a la cárcel de malware, su organización sufre tiempo de inactividad, pérdida de datos, posible robo de propiedad intelectual y, en ciertas industrias como la de salud, las infecciones de ransomware ahora posiblemente se considerarán como una violación de HIPAA, lo que resulta en multas muy altas.

Cómo protegerse del RaaS -Entrenar a sus usuarios

Protegerse del RaaS es realmente igual que protegerse de cualquier otra forma de ransomware. Con cada nueva variación del ransomware, se he vuelto cada vez más importante prepararse y movilizar la última línea de defensa de su compañía, así como a sus usuarios finales. Eso significa asegurar que les ha proporcionado un entrenamiento efectivo de concientización sobre seguridad para identificar señales de peligro de ingeniería social, ya sea si estas provienen a través de malvertising en páginas web enlazadas a explotación, o correos electrónicos phising de diseño malicioso que logran pasar a través de sus filtros.

Como parte de los entrenamientos, considere utilizar intentos simulados de phishing que le permiten enviar enlaces, archivos adjuntos con Word Docs que contengan macros, o incluso mensajes de texto solicitando cambios de credenciales para que puede ver quiénes fueron los usuarios que cayeron en los distintos métodos.

Cómo protegerse del RaaS -¿Qué más?

Más allá de entrenar a sus usuarios, aquí existen otras cosas que puede hacer para proteger a su organización del RaaS o ransomware en general:

  • Su mejor protección sigue siendo una estrategia de respaldo sólida y comprobada, con copias off-site. Si puede tomar imágenes instantáneas cada 10 minutos para poder regresar a lo que necesite, casi habrá eliminado la amenaza.
  • De aquí en adelante, con cualquier infección de ransomware, limpie la máquina y dele una nueva imagen.
  • Si no cuenta con una Secure Email Gateway (SEG), consiga uno que realice filtrado de URL y asegúrese que esté correctamente sintonizado.
  • Asegúrese de que sus puntos finales, sistema operativo y aplicaciones externas estén actualizados religiosamente.
  • Asegúrese de que sus puntos finales y vías de entrada web tengan capas de seguridad de última generación, y que sean actualizadas frecuentemente (unas pocas horas o menos).
  • Identifique a los usuarios que manejen información confidencial y refuerce algún tipo de autentificación de mayor confiabilidad (como 2FA).
  • Revise sus políticas procedimientos de seguridad interna específicamente relacionados a transacciones financieras para prevenir fraudes de CEO.
  • Revise su configuración de firewall y asegúrese que se permita que ningún tráfico de red criminal escape.