Por Richard Rule, Regional Sales Director MCLA de Quest Software
El ransomware no es nuevo. Ha existido durante tiempo, y mientras los ciberdelincuentes vean la oportunidad de obtener ganancia financiera, está aquí para quedarse. De hecho, según un informe reciente, el número de ataques de ransomware a las empresas ha aumentado un 500% con respecto al 2019. Además, se proyecta que estos ataques costarán a las empresas 11.500 millones de dólares.
Además, también está el costo de no poder recuperar completamente recuperar todos los datos tras un ataque de ransomware. De hecho, una encuesta demostró que tras un ataque de ransomware, solo el 25% de los encuestados dijo que fue capaz de recuperar entre el 75% y el 100% de sus datos. Por el contrario, el 39% de los encuestados dijo que solo pudo recuperar entre el 50% y el 74% de sus datos.
Sin embargo, esa no es la historia completa, porque el tiempo de inactividad después de un ataque de ransomware es de 16 días en promedio. Más allá de los costos directos, como el pago de rescates y los costos de TI de la reconstrucción de servidores, existen importantes costos indirectos dentro de los cuales se incluyen la interrupción del negocio, la pérdida de ingresos, la pérdida de productividad de los empleados y el daño a la reputación de la marca. La confianza de los clientes, socios e inversores disminuye si los datos del usuario se ven comprometidos. Como si fuera poco lo anterior, podrían seguir acuerdos de litigio y multas reglamentarias.
¿Qué sigue para este tipo de ataques?: RaaS
El ransomware está pasando a una nueva fase, con un enfoque más dirigido. Algunos conjuntos de herramientas se consideran ahora como “Ransomwareas-a-Service”, o RaaS. Estas brechas y credenciales comprometidas están siendo vendidas a criminales que sólo quieren ganar dinero a través del rescate.
Incluso los modelos financieros están cambiando. Los días en que los hackers pedían 300 dólares de Bitcoin para descifrar los datos han desaparecido. Hoy en día, las peticiones de rescate suelen entre 1 y 10 millones de dólares. Además, los delincuentes están utilizando nuevas tácticas para cobrar el rescate, como la amenaza de publicar los datos de la organización abiertamente si no se paga el rescate. Esto a menudo se presenta como una brecha de datos, lo que expone a la organización a violaciones en el cumplimiento de legislaciones internacionales como GDPR, CCPA o la ley HB1071.
¿Cómo puedes prepararte? Una defensa multicapas
Para minimizar la amenaza del ransomware, las organizaciones deben establecer una defensa en capas. Esta lista inicia el camino para considerar lo que debes proteger:
1) Capacitar a los usuarios: Es imperativo educar y formar a la base de usuarios y hacerles saber los riesgos. Instrúyales sobre las formas en que el ransomware entra en una organización (por ejemplo, descargas, archivos, sitios web falsos, sitios de archivos, ataques de phishing para obtener información de los usuarios y sus credenciales). También deben ser conscientes de las oportunidades físicas para que el ransomware pueda entrar en la organización. Por ejemplo, se conocen casos de USB infectadas que son recogidas por usuarios desprevenidos y que las conectan en su laptop.
2) Parches: Mantén tus sistemas actualizados. No confíes en recordar, o en hojas de cálculo. Automatiza el proceso con una solución de confianza, como Quest KACE Unified Endpoint Management de Quest. Parchea todos los equipos y servidores.
3) No sólo Windows: No asumas que esto es sólo una «cosa de Windows». Linux sigue teniendo amenazas, así que mantener los servidores Linux actualizados es importante.
4) Monitorización de la red: Asegúrate de monitorear cualquier cosa que parezca una interceptación del tráfico. Redireccionamiento, las aplicaciones falsas y la redirección del tráfico son el punto de partida para obtener acceso a la infraestructura organizativa más amplia con ataques «Man in the Middle» (MITM).
