Cada día 30.000 sitios web son pirateados en el mundo, mientras que el 64 % de las empresas a nivel global ha sufrido al menos una forma de ciberataque. De acuerdo con la experiencia de Netdata Networks este año, el 70% de los casos de respuesta a incidentes ransomware y compromiso de correo electrónico comercial (BEC), puso en jaque a las empresas. Asimismo, las siete industrias a las que los hackers más persiguieron fueron: finanzas, servicios profesionales y legales, manufactura, atención médica, alta tecnología y retail.
El ransomware en particular ha sido un área de enfoque para muchos en la industria de la seguridad cibernética debido al impacto en las organizaciones y en quienes dependen de ellas.
“Los actores de amenazas de ransomware obtienen control sobre los datos y recursos críticos. Luego aprovechan este control para obligar a sus víctimas a realizar pagos elevados. Desafortunadamente, estos ataques se han hecho todavía más fáciles con el auge del ransomware como servicio (RaaS)”, afirmó Santiago Rangel, ingeniero de Gestión de Incidentes de ciberseguridad de Netdata.
“Incluso la época navideña es propicia para que los atacantes tomen ventaja gracias al aumento de transacciones que hay en el comercio online, lo que motiva a los ciberdelincuentes a enviar campañas de phishing o, crear páginas maliciosas relacionadas con la temática de navidad para que usuarios caigan y entreguen datos sensibles” concluye Rangel.
Sanitas, El Vaticano y hasta la Copa Mundo han estado en la mira de los atacantes, quienes empleando ransomware vulneran la seguridad de las empresas. “No es de extrañar que el 10 % de las filtraciones de datos el año pasado estuvo relacionada con ransomware, convirtiéndolo en el tercer método de ciberataque más utilizado”, de acuerdo con Panda Software.
¿Cómo operan los hackers?
La pregunta siempre es ¿cómo operan los hackers? Por lo general los atacantes vulneran la seguridad de las empresas con sobornos hacia un usuario de la compañía con campañas de envió de correos maliciosos hacia dominios de la organización o, brechas de información por el mal uso de los equipos dentro de la organización.
Luego de que los atacantes obtienen acceso inicial, empiezan a crear comunicaciones con los equipos afectados para poder descargar o utilizar otros malware con el objetivo de robar credenciales del equipo y, si no es el objetivo que desean, utilizan como pivote el equipo afectado para escanear la red corporativa y detectar los sistemas y aplicaciones que son del interés del ataque.
Una vez teniendo un panorama de la red empiezan a moverse lateralmente de la red para poder cumplir su objetivo. Esta actividad puede realizarse en meses o años dependiendo del atacante por ello es importante que se esté monitoreando constantemente la red con inteligencia artificial para detectar actividades anormales en conjunto de herramientas y servicios como Sentria by Netdata que previenen y detectan amenazas en la red y en los equipos.
Teniendo en cuenta que posiblemente dichas empresas han sido víctimas del grupo Ransom House, el cual, su objetivo principal es robar la información e interrumpir la actividad del negocio, el impacto que pueden enfrentar es que la información robada les sea vendida a otros atacantes como Lapsus$, que en anteriores oportunidades ha comprado información de esta índole, por lo que indica que opera con varios ransomware comenzando con el ransomware «White Rabbit». Por lo tanto, un ataque exitoso puede generar impacto tanto en la reputación como en la continuidad de sus negocios.
Expertos han evidenciado que los tres principales vectores de acceso para introducir actores de amenazas son el phishing, la explotación de vulnerabilidades de software conocidas y los ataques de credenciales de fuerza bruta, centrados principalmente en el protocolo de escritorio remoto (RDP). Estos tres vectores de ataque, según Palo Alto Networks, totalizaron más del 77 % de las presuntas causas raíz de las intrusiones que se han presentado en diversas compañías del mundo. Es de destacar que el siguiente medio de acceso más utilizado por los actores de amenazas fue aprovechar las credenciales previamente comprometidas.
El informante
Netdata Networks es reconocido como uno de los mejores proveedores de servicios de ciberseguridad en todo el mundo, nombrado por fabricantes líderes del mercado. Su equipo respalda una amplia gama de servicios de seguridad de red y nube, servicios de identidad, gestión de amenazas y respuesta a incidentes de ciberseguridad.
