“Para luchar contra el ransomware las empresas deben dejar de utilizar productos de seguridad específicos heredados”, asegura Deepen Desai, CISO Global y responsable de Investigación de Seguridad de Zscaler, que acaba de publicar su 2023 ThreatLabz State of Ransomware, un informe que recoge las principales tendencias en torno a una las mayores ciberamenazas de nuestros tiempos.
Dice Deepen Desai que el ransomware como servicio ha venido contribuyendo a un aumento constante de los ataques sofisticados de ransomware y que sus creadores apuestan cada vez más por el lanzamiento de ataques sin cifrado que implican grandes volúmenes de exfiltración de datos.
La evolución del ransomware se caracteriza por su relación a la inversa entre la sofisticación de los ataques y la barrera de entrada para los nuevos grupos de ciberdelincuentes. La barrera ha disminuido mientras que los ciberataques han crecido en sofisticación gracias al modelo RaaS, en el que los actores de amenazas venden sus servicios en la web oscura a cambio del 70-80 % de los beneficios generados por el ransomware.
Recoge el informe de Zscaler que el Ransomware-as-a-Service (RaaS) ha seguido ganando popularidad en los últimos años, como lo demuestra la frecuencia de los ataques de ransomware, que aumentó casi un 40 % en el último año.
Principales países objetivo para el ransomware
Estados Unidos ha sido el principal objetivo de los ataques de ransomware de doble extorsión, con un 40 % de los ataques. Los tres países siguientes en conjunto, Canadá, Reino Unido y Alemania, registraron menos de la mitad de los dirigidos contra EE.UU. Entre las familias de ransomware más comunes que Zscaler ThreatLabz ha estado rastreando se incluyen BlackBasta, BlackCat, Clop, Karakurt y LockBit, todos ellos constituyen una amenaza significativa tanto de pérdidas económicas como de violaciones de datos e interrupciones de las operaciones para individuos y empresas de todos los tamaños.
Durante el último año, el segmento más atacado globalmente fue el de la industria manufacturera, donde la propiedad intelectual y las infraestructuras críticas son objetivos muy atractivos para los grupos de ransomware..
Tendencias en auge dentro del ransomware
En 2021, ThreatLabz detectó que 19 familias de ransomware adoptaban estrategias de doble o múltiple extorsión en sus ciberataques. Desde entonces, esta cifra no ha dejado de aumentar hasta las 44 familias de ransomware que se han observado en este último estudio. Este tipo de ataques es popular porque, después de cifrar los datos robados, los atacantes amenazan con filtrar la información en Internet para aumentar aún más la presión sobre las víctimas y obligarlas a pagar. La cada vez mayor popularidad de los ataques de extorsión sin cifrado, que se saltan el proceso de cifrado, emplea la misma táctica de amenazar con filtrar los datos de las víctimas en Internet si no pagan. Con esta táctica, las bandas de ransomware obtienen unos beneficios mayores y más rápidos al eliminar los ciclos de desarrollo del software y el soporte de descifrado.
Estos ataques también son más difíciles de detectar y apenas reciben atención de las autoridades porque no bloquean archivos y sistemas clave ni causan periodos de inactividad asociados a la recuperación. Los ataques de extorsión sin cifrado tienden a no afectar a las operaciones comerciales de sus víctimas, lo que se traduce en un índice de denuncias más bajo. Inicialmente, la tendencia de la extorsión sin cifrado comenzó de la mano de grupos como Babuk y SnapMC. Durante el año pasado, los investigadores vieron cómo nuevas familias nuevas adoptaban este método, entre ellas Karakurt, Donut, RansomHouse y BianLian.
Cómo protegerse con Zscaler Zero Trust Exchange contra los ataques de ransomware
Protegerse contra los ataques de ransomware requiere un planteamiento integral que aborde cada fase de la amenaza, minimizando el daño potencial. Zscaler Zero Trust Exchange ofrece un completo esquema de confianza cero que incluye medidas de protección contra el ransomware de última generación. Con la adopción de las siguientes directrices, es posible limitar eficazmente el riesgo de ser víctima de un ataque de ransomware:
- Prevenga las vulnerabilidades iniciales: Emplee políticas de seguridad coherentes que garanticen una seguridad sin fisuras. Al implementar amplias capacidades de inspección SSL, aislamiento del navegador, sandboxing en línea y control de acceso basado en directivas, puede frustrar el acceso a webs dañinas, bloquear canales de riesgo inicial y detectar amenazas desconocidas para que no lleguen a sus usuarios.
- Bloquee a los usuarios infectados y a las amenazas internas: La combinación de la inspección de aplicaciones en línea y la detección y respuesta ante amenazas de identidad (ITDR), con funciones de engaño integradas, le permite detectar, burlar y bloquear eficazmente a los posibles atacantes, tanto si se trata de amenazas externas como de personas internas con intenciones maliciosas.
- Minimice la superficie de ataque del exterior y elimine los movimientos laterales: Evite que los atacantes maniobren dentro de su red al desconectar las aplicaciones de Internet y adoptar una arquitectura de acceso a la red de confianza cero (ZTNA). El hecho de conectar directamente a los usuarios con las aplicaciones, y a las aplicaciones con las aplicaciones, en lugar de la red permite delimitar significativamente el alcance potencial de un ataque.
- Prevenga la pérdida de datos: Implemente medidas de prevención de pérdida de datos en línea con inspección TLS completa, e inspeccione exhaustivamente los datos, tanto en circulación como almacenados, para detener eficazmente los intentos de robo de información. Vaya un paso por delante de los agentes de las amenazas actualizando periódicamente el software e impartiendo formación exhaustiva en materia de seguridad.
Aprovechando el poder de Zscaler Zero Trust Exchange y adoptando estas mejores prácticas, las empresas pueden proteger de forma proactiva a sus usuarios, cargas de trabajo, dispositivos IoT/OT y la conectividad B2B, para que los datos valiosos estén a salvo del siempre cambiante escenario de amenazas de ataques de ransomware.