A propósito de ransomware, encuentre al “Paciente Cero” de su ataque

Identificar a la primera víctima que generó su actúa ataque de ransomware puede mostrarle las debilidades de su sistema de seguridad.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Ya hemos visto gracias a la conferencia “Anatomía de un ataque” del investigador senior de seguridad de Cisco, Brad Antoniewicz que detrás de una gans de ransomware hay una sofisticada vertical industrial que incluye:

Y es que conocer al enemigo es esencial para no “distraernos” en medidas de seguridad que no le hagan justicia a tan elaborado emporio.

Sin embargo, este conocimiento será insuficiente si no podemos usarlo para proteger a nuestras empresas y sus activos digitales.

En este sentido, Antoniewicz y su equipo recomiendan que una de las primeras medidas que deben tomar los investigadores de seguridad tras un ataque comprobado es ubicar el origen: el paciente cero. Es decir, la primera persona en infectarse.

Más allá de la identificación

¿Por qué? En primer lugar porque nos permitirá identificar a las víctimas latentes de la infección y que más en la red podría estar afectado.

Saber quién y por dónde comenzó el ransomware nos permite crear firmas para detectar brechas futuras y evitar nuevos ataques.

“En realidad, el ataque no comenzó cuando el paciente cero fue golpeado“, explica Antoniewicz.

Señala que hubo una fase previa anterior a todo esto:

“Cuando el atacante comprometió ese primer sitio web, cuando el atacante tuvo que configurar la infraestructura que sirve a estas hazañas, es cuando el atacante necesita establecer un reconocimiento para Averiguar a quién están apuntando y entender la red“, destacó.

Entender al paciente cero, por tanto, nos permite entender al hacker, según los expertos de Cisco.