El ransomware parece ser una de las aflicciones de Internet más costosas y perjudiciales. Es un tipo de malware que encripta los archivos y la información vital de la víctima, y los piratas informáticos exigen pagos para proporcionar las claves de descifrado.
Si bien el ransomware no es una nueva forma de ataque a la ciberseguridad, el escenario predominante es realmente alarmante; los siguientes números corroboran lo mismo-
- 66% de las organizaciones fueron atacadas por ransomware en 2021.
- sesenta y cinco% de los ataques anteriores dieron como resultado el cifrado de datos.
- En general, el pago de rescate promedio fue de 812.360 dólares estadounidenses.
Parece que es probable que las personas y las organizaciones se vean afectadas por ataques de ransomware incluso en 2023 y más allá.
Informe sobre el ataque de ransomware
Los ataques de ransomware son de varios tipos y hacen que la víctima sufra implicaciones financieras y operativas. Después de pagar el rescate, puede parecer que las empresas vuelven a la normalidad, pero obtener la clave de descifrado no lo resuelve todo.
Descifrar los archivos en los servidores informáticos comprometidos puede llevar días, semanas o meses, según la cantidad de sistemas afectados.
Además, incluso si una empresa paga un rescate a un grupo de ransomware, otros grupos podrían explotar las vulnerabilidades expuestas del sistema. Por lo tanto, las víctimas deben tomar medidas enérgicas para mejorar su ciberseguridad e infraestructura técnica para evitar ataques de ransomware.
El artículo habla sobre los ataques de ransomware: sus tipos, las implicaciones en las organizaciones de todo el mundo y las medidas preventivas. Pero primero, veamos el reciente ataque de ransomware al grupo ION, que ocurrió el 31 de enero de 2023.
Resumen del incidente de ION
ION Group es una empresa de software con sede en el Reino Unido cuyos productos son utilizados por bancos, instituciones financieras y corporaciones para el comercio, análisis de mercado, gestión de inversiones y liquidación de derivados negociados en bolsa.
El 31 de enero de 2023, ION lanzó un declaración diciendo: «ION Cleared Derivatives, una división de ION Markets, experimentó un evento de seguridad cibernética que comenzó el 31 de enero de 2023 y afectó algunos de sus servicios. El incidente está contenido en un entorno específico, todos los servidores afectados están desconectados y la reparación de los servicios Está en marcha.»
El ataque de ransomware tuvo lugar en las primeras horas y arrasó. La división Cleared Derivatives de ION proporciona software para automatizar el ciclo de vida comercial y el proceso de compensación de derivados.
Obstruyó la compensación y el comercio de derivados negociados en bolsa en algunos de los bancos e instituciones financieras más grandes del mundo. Esto eventualmente causó problemas para decenas de corredores, obligándolos a registrar manualmente las operaciones durante la interrupción, incluidas las entradas manuales en hojas de cálculo, retrasándolos por décadas.
La Comisión de Comercio de Futuros de Productos Básicos de EE. UU. no pudo publicar las estadísticas comerciales semanales porque algunos clientes de ION afectados no pudieron acumular información lo suficientemente rápido como para cotejar los informes de posicionamiento diarios.
El ataque contra ION comenzó en la madrugada del martes y afectó a 42 de sus clientelaincluidos ABN Amro Clearing (ABNd.AS) e Intesa Sanpaolo (ISP.MI), el banco más grande de Italia.
LockBit, un grupo de ransomware ruso, asumió la responsabilidad del ataque y publicó el nombre de ION en su «sitio filtrado» de la web oscura. Había fijado el 4 de febrero como fecha límite para que ION pagara el rescate y mostró un cronómetro contra la fecha límite en su sitio web.
Sin embargo, el 3 de febrero, el nombre de ION se eliminó del sitio web de extorsión de LockBit. Un representante de LockBit le comunicó a Reuters a través de su cuenta de chat en línea que se pagó el rescate pero se negó a aclarar quién había pagado el dinero o cuánto fue el rescate, diciendo que provino de un «filántropo desconocido muy rico».
Ataque de ransomware y sus tipos
El ransomware funciona cifrando datos vitales de la empresa y extorsionando a las víctimas a cambio de las claves de descifrado. Pero incluso si los piratas informáticos entregan las claves, aún pueden pasar días, semanas o más para deshacer el daño a la infraestructura digital de una empresa.
El malware ransomware se puede enviar a través de varios canales, incluidos archivos adjuntos de correo electrónico, software dañado, almacenamiento externo infectado y sitios web comprometidos. Además, la fácil disponibilidad de los kits de Ransomware en la web profunda ha facilitado que los delincuentes con muy poco o ningún conocimiento compren estos kits y lancen ataques.
Si bien hay muchas cepas de Ransomware, se pueden clasificar en los siguientes tipos:
1. Criptoransomware
También conocido como Encryption Ransomware, este ataque de ransomware es una de las variantes más comunes y perturbadoras. Cifra datos importantes como archivos, documentos, videos e imágenes dentro de un sistema, sin interferir con las funciones básicas de la computadora, es decir, la víctima puede ver los archivos pero no puede abrirlos.
Crypto Ransomware toma los datos como rehenes y los codifica para que los archivos no se puedan leer y, por lo tanto, hace que el contenido sea inaccesible sin una clave de descifrado. A menudo hay una cuenta regresiva adjunta a la demanda de rescate. Eventualmente, la mayoría de las víctimas ceden y pagan el rescate para restaurar sus datos.
2. Ransomware de casilleros
Este tipo de ataque bloquea las funciones esenciales de la computadora: bloquea completamente a la víctima de su sistema. Por ejemplo, se deniega el acceso al escritorio, pero el mouse y el teclado están parcialmente activos, solo lo suficiente para que la víctima interactúe con la ventana de rescate para acceder al escritorio.
Los dos tipos de ataques anteriores se pueden clasificar en los siguientes subconjuntos:
- Leakware/Doxware es un tipo de ransomware de encriptación que encripta datos críticos y confidenciales y amenaza con publicarlos en caso de que las víctimas no paguen el rescate.
- ransomware móvil es un ransomware sin cifrado que se entrega a los dispositivos móviles a través de aplicaciones o descargas maliciosas. Sin embargo, las copias de seguridad de datos en la nube automatizadas en casi todos los dispositivos móviles facilitan la reversión de estos ataques de cifrado.
- Limpiaparabrisas/ ransomware destructivo amenaza con destruir los datos si la víctima no paga el rescate. Sin embargo, en algunos casos, el atacante destruye los datos incluso si se paga el rescate.
- ransomware asusta a las víctimas para que paguen un rescate. Podría enviar un mensaje haciéndose pasar por una agencia de aplicación de la ley, presentando cargos contra la víctima por un delito. Alternativamente, podría enviar una alerta de infección de virus falsa, pidiéndole a la víctima que compre un software antivirus.
3. RaaS (ransomware como servicio)
Es un ataque de ransomware en el que el operador de ransomware permite a los afiliados que carecen de las habilidades técnicas lanzar un ataque. El operador brinda soporte a los afiliados desde el lanzamiento del ataque hasta el manejo de los pagos y el restablecimiento del acceso a cambio de un margen del monto del rescate.
Impactos de los ataques de ransomware
1) Pérdida financiera
Las organizaciones afectadas por ransomware sufren pérdidas financieras sustanciales junto con la pérdida de clientes y empleados.
El costo global del ransomware ha aumentado de $325 millones en 2015 a $20 mil millones en 2021.
2. Tiempo de inactividad prolongado
Después de un ataque de ransomware, las organizaciones pueden tardar semanas o meses en volver a su nivel de productividad habitual. El período medio de inactividad ha aumentado de 15 días en 2020 a 22 días en 2022.
3. Más ataques de ransomware
Un ataque de ransomware podría conducir a otro en el sentido de que al realizar un ataque inicial a los sistemas de TI de una organización, los atacantes también encuentran vulnerabilidades adicionales, que explotan más tarde, sabiendo que la organización estará dispuesta a pagar un rescate considerable.
4. Daño a la reputación
Junto con la pérdida de ingresos, la reputación de una empresa también está en juego debido al ataque. Ser golpeado por un ataque de ransomware significa una brecha en la ciberseguridad que dificulta la confianza de los clientes en la empresa.
46% de las organizaciones que experimentaron una brecha de seguridad cibernética sufrieron un impacto significativo en su reputación y en el valor de su marca como resultado.
¿Qué deben hacer las organizaciones para protegerse?
Protección de punto final
Los antivirus convencionales pueden proteger contra variantes de ransomware, pero no todas. Tener un antivirus de próxima generación (NGAV) lo defenderá contra ataques sin archivos, ransomware ofuscado o malware de día cero. Las plataformas modernas de protección de endpoints también proporcionan firewalls y capacidades de detección y respuesta de endpoints (EDR), que ayudan a detectar y bloquear los ataques de ransomware que ocurren en los endpoints en tiempo real.
Respaldos de datos continuos
Es posible que mantener copias de seguridad periódicas en un disco duro externo no evite el ataque, pero evita la pérdida de datos en caso de un ataque. La regla 3-2-1 es la clave aquí: hacer tres copias de seguridad en dos medios tipos con una copia de seguridad guardada en una ubicación diferente.
Gestión de parches
Implica identificar las vulnerabilidades del sistema y mejorar o reparar estas funciones, iniciar las actualizaciones y validar la instalación de esas actualizaciones. El sistema operativo debe mantenerse actualizado y los parches de seguridad deben instalarse para evitar que los atacantes exploten los sistemas que aún no están parcheados.
Control sobre aplicaciones
Tener los controles de dispositivo necesarios garantizará un límite en la cantidad de aplicaciones instaladas en el dispositivo. Además, el aumento de la configuración de seguridad del navegador, la desactivación de complementos y macros vulnerables del navegador en el procesamiento de textos, la ejecución de análisis de seguridad impulsados por IA y el uso de filtrado web protegerían a los usuarios del acceso a sitios maliciosos.
Formación de los empleados
Las organizaciones deben realizar sesiones de capacitación periódicas para los empleados e impartir conocimientos sobre las señales de alerta de un ataque de ransomware y las medidas de ingeniería social. Daría como resultado la identificación oportuna de las amenazas emergentes y la comunicación de la situación al personal adecuado.
Otras medidas incluyen trabajar en conjunto con proveedores de servicios de seguridad administrados (MSSP) y expertos en seguridad cibernética, implementar y mejorar la seguridad del correo electrónico, restringir el acceso a la infraestructura de administración de virtualización, desarrollar y probar a presión un plan de respuesta a incidentes e implementar un plan IAM.
Pensamientos finales
El ataque del ransomware ION evoca la urgencia de contar con un sólido sistema de ciberseguridad.
Dado que los sistemas de TI vitales están fuera de línea durante días o meses, los ataques de ransomware pueden causar graves interrupciones operativas además de las pérdidas financieras que sufre una organización. Hay varios tipos de cepas y tipos de ransomware, y es vital conocerlos en profundidad para tener un plan de respuesta a incidentes adecuado, prevenir el ataque y mitigarlo en caso de que ocurra.
Relacionado:
Leyes de privacidad de datos que las organizaciones no pueden ignorar en 2023
Ulefone España Atencion Al Cliente
Servicio Atencion Cliente Ulefone
Ulefone Atencion Al Cliente
