1

Ransomware está empeorando. Ahora tiene spearphishing

Cada vez el ransomware es más visible, y mientras más se habla de seguridad cibernética, más se incrementa su amenaza con el spearphishing.

Para nadie es ya un secreto que el ransomware afecta a consumidores y empresas por igual. Ataca ordenadores portátiles, PCs, y todo tipo de servidores mediante el cifrado de datos y la destrucción de las copias de seguridad. Estos ataques han costado millones de dólares, ya que en muchos casos, los pagos son imposibles de rastrear, lo que indica el excelente trabajo de los hackers.

En muchos casos al cancelar a los ciberdelincuentes, estos emiten una clave de descifrado lo que permite que los datos sean recuperados. A veces las víctimas pagan el rescate y no reciben la clave de descifrado, o dicha clave no funciona, o incluso encuentran otra demanda de más dinero.

¿Cómo es víctima uno de un ataque o un envió de ransomware? A menudo mediante el uso de spearphishing, es decir, un correo electrónico que engaña al destinatario y lo hace abrir un documento malintencionado, o visitar un sitio web dañado. A partir de ahí, el malware se instala en el ordenador del usuario, y puede cifrar rápidamente los datos en el dispositivo del usuario e incluso en servidores de red.

Es malo, y cada vez se pone peor. Afortunadamente, una serie de proveedores de seguridad informática de vanguardia, incluyendo Cylance, Javelin Networks, Menlo Security, TrapX Security y Wedge Networks, entre otros, ofrecen herramientas que pueden detener el ransomware y eliminar cualquier capacidad de volver a atacar..

Esta es la opinión de varios expertos en tecnología, dijo Andrew Braunberg, director general de Investigación de NSS Labs, una empresa de consultoría de seguridad de red basada en Reino Unido y Francia, que señaló la ironía de que la Oficina Federal de Investigación de los Estados Unidos (FBI) les dice a las víctimas de no pagar el rescate, pero luego se les pide saber cuánto fue la cantidad cancelada por el rescate.

“El FBI dice que las víctimas deben sólo sonreír y aguantar; además que le envíen una pequeña nota con la cantidad del monto exigida y los detalles del ataque, y esa no debe ser la manera”.

Seguridad debe contar con las herramientas para lograrlo

Si no desea ser atacado, usted tiene dos opciones: una, asegurarse de que usted, su familia y sus empleados están siempre alerta y nunca, nunca abrirán correos electrónicos que tengan spearphishing. Eso sí, buena suerte entonces. La otra es utilizar herramientas de seguridad cibernética para protegerse contra el spearphishing, es decir el bloqueo de los mensajes y que el usuario nunca los vea.

Una vez que estas herramientas son ofrecidas por Cylance , Bryan Gale, vicepresidente de mercadeo de producto, explica que “nos centramos en el ransomware específicamente. El punto de la cadena a la que lleva el bloque que está en el punto final. No estamos en la capa de red o en cualquier otro dispositivo perimetral en absoluto”.

“Una de las cosas que vemos con el ransomware es el aumento de los-as-a-service ransomware, donde cualquiera puede implementar un ataque con eficacia y en unos 10 minutos obtener un encargo hecho de forma binaria, y así obtener los datos más importantes de cualquier organización”.

“Ese ataque evade las defensas del anti-malware de las firmas tradicionales que laboran en el área de la seguridad”, explicó Gale, “ya que sólo se detectará si el archivo del proveedor sabe acerca de esa manera binaria, diseñada de manera específica y que sólo podría haber sido creado un minuto antes”.

La respuesta, dijo Gale, radica en el análisis de lo que en realidad hace al ransomware peligroso, y lograr prevenirlo o escanearlo antes mediante la extracción de las características comunes dentro de esas variantes de ransomware.

Enmascarado de topología

Un enfoque diferente ofrece Javelin Networks, ya que enmascara la topología de las redes empresariales para que los atacantes no puedan conseguir un equilibrio en los servidores u otros dispositivos.

“El ransomware se ha vuelto muy maduro y sofisticado”, dijo Greg Fitzgerald, director de Operaciones de Redes en Javelin. “El ransomware cifra los datos que, son encerrados en un dispositivo final y para descifrarlos de nuevo, tienes que cancelar una alta suma en bitcoins. También se suelen desviar datos de la computadora y así atacar otras máquinas, ya que el hacker quiere reunir más información y penetrar en otros equipos de la red.

-El atacante no quiere obtener sólo los datos de una máquina, que es a la que está tratando de llegar. Quiere llegar a todas, o al mayor número posible de ordenadores “. Pero es aquí donde Javelin entra a hacer su trabajo, ya que de forma autónoma recoge que el movimiento, de estas actividades, o de los detalles sobre otras máquinas que se quiere llegar. Javelin trabaja de manera silenciosa y así alerta a los administradores de TI, y al mismo tiempo bloquea esa máquina, o las que estén siendo atacadas para que esos datos no puede salir, y el atacante no puede penetrar más en la organización”.

Por su parte Menlo Security posee un enfoque bastante particular para la lucha contra el ransomware y otros tipos de malware, incluyendo sitios web maliciosos. La misma se basa en tratar de asegurar que los ejecutables no se ejecuten en el ordenador del usuario final.

En su lugar, los sitios web y correos electrónicos, incluyendo archivos adjuntos, se abren en una plataforma de aislamiento basado en la Nube, donde las amenazas pueden ser detectados y neutralizados.

 

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.