Este mes, una historia de ransomware ha estado haciendo muchas olas: el ataque a las redes de la ciudad de Baltimore . Este ataque ha estado recibiendo más presión de lo normal, lo que podría deberse a las acciones tomadas (o no tomadas) por el gobierno de la ciudad, así como a los rumores sobre el mecanismo de infección por ransomware.

En cualquier caso, la historia de Baltimore nos inspiró a investigar otras ciudades en los Estados Unidos, identificando cuáles han tenido la mayor cantidad de detecciones de ransomware este año. Si bien identificamos numerosas ciudades cuyas organizaciones tenían graves problemas de ransomware, Baltimore, y ninguno de los otros ataques a ciudades de alto perfil, como Atlanta o Greenville, no fue una de ellas. Esto sigue una tendencia de aumentar las infecciones por ransomware en las redes organizativas que hemos estado observando desde hace un tiempo .

Para frenar esto, estamos brindando a nuestros lectores una guía sobre cómo no solo evitar ser atacados con ransomware, sino también lidiar con las consecuencias del ransomware. Básicamente, esta es una guía sobre cómo no ser el próximo Baltimore. Si bien muchos de estos ataques están dirigidos, los ciberdelincuentes son oportunistas: si ven que una organización tiene vulnerabilidades, se abalanzarán y causarán el mayor daño posible. Y el ransomware es tan dañino como puede ser.

Ataque de Baltimore ransomware

A partir de hoy, los servidores de la ciudad de Baltimore aún no funcionan. El ataque original ocurrió el 7 de mayo de 2019 , y tan pronto como ocurrió, la ciudad cerró numerosos servidores en sus redes para mantenerlos a salvo de la posible propagación del ransomware.

El ransomware que infectó a Baltimore se llama RobinHood o, a veces, RobinHood ransomware. Cuando se descubrió una nota de rescate, exigió un pago de $ 100,000 o aproximadamente 13 Bitcoins. Al igual que otros ransomware, venía con un temporizador, que exigía que las víctimas pagaran en una fecha determinada, o el costo de la recuperación de archivos aumentaría en $ 10,000 por día.

RobinHood nota de rescate, cortesía de Lawrence Abrams & Bleeping Computer

RobinHood ransomware es una nueva familia de malware, pero ya se ha hecho un nombre para infectar a otras redes de la ciudad, como lo hizo para la Ciudad de Greenville . Según un informe del New York Times, algunos investigadores de malware han afirmado que el exploit filtrado por la NSA EternalBlue está involucrado en el proceso de infección, sin embargo, el análisis de Vitali Kremez en Sentinel One no muestra ningún signo de actividad de EternalBlue. Más bien, el método de propagación del ransomware de un sistema a otro implica la manipulación de la herramienta PsExec .

Este no es el primer ataque cibernético con el que Baltimore ha lidiado recientemente. De hecho, el año pasado sus sistemas de despacho del 911 fueron comprometidos por los atacantes , dejando a los despachadores usando lápiz y papel para realizar su trabajo. Algunos puntos de venta han culpado al diseño de red históricamente ineficiente de la ciudad a los Jefes de Información (CIO) anteriores, de los cuales ha habido muchos. Dos de sus CIOs renunciaron solo en esta década en medio de acusaciones de fraude y violaciones éticas.

Tendencias

Aparte de Baltimore, el ransomware dirigido a organizaciones ha estado activo en los Estados Unidos durante los últimos seis meses, con brotes periódicos y picos masivos que representan un nuevo enfoque para la infección corporativa de los ciberdelincuentes.

El siguiente mapa de calor muestra un efecto compuesto de las detecciones de ransomware en organizaciones en todo el país desde principios de 2019 hasta ahora.

Un mapa de calor de detecciones de ransomware en organizaciones desde enero de 2019 hasta la actualidad.

Las áreas principales de detección de cargas pesadas incluyen regiones alrededor de ciudades más grandes, por ejemplo, Los Ángeles y Nueva York, pero también vemos detecciones pesadas en áreas menos pobladas. El siguiente diagrama ilustra aún más esta tendencia: la profundidad de color representa la cantidad de detección general para el estado, mientras que el tamaño de los círculos rojos representa la cantidad de detecciones para varias ciudades. Cuanto más profundo es el color, más detecciones contiene el estado. Cuanto mayor sea el círculo, mayor será el número de detecciones en la ciudad.

Mapa de los Estados Unidos de detecciones generales estatales y urbanas de ransomware centrado en la organización en 2019

Cuando observamos con mayor profundidad e identificamos las 10 ciudades principales en 2019 (hasta ahora) con detecciones de ransomware pesados, vemos que ninguna de ellas incluye ciudades sobre las que hemos leído en las noticias recientemente. Esta tendencia apoya la teoría de que no es necesario estar rodeado de víctimas de ransomware para convertirse en uno.

Dondequiera que el ransomware decida aparecer, aprovechará la infraestructura débil, los problemas de configuración y los usuarios ignorantes para entrar en la red. El ransomware se está convirtiendo en un arma más común para alojarse contra las empresas que en años anteriores. La siguiente tabla expresa el aumento masivo de detecciones de ransomware que vimos a principios de año.

Enero y febrero son brillantes ejemplos del tipo de fuerte empuje que vimos de familias como Troldesh a principios de año. Sin embargo, si bien parece que el ransomware se está extinguiendo después de marzo, pensamos más en ello como los criminales que toman un respiro. Cuando profundizamos en las tendencias semanales, podemos ver picos específicos que se debieron a fuertes detecciones de familias específicas de ransomware.

A diferencia de lo que hemos observado en el pasado con el ransomware centrado en el consumidor, donde se lanzó una amplia red y observamos una constante constante de detecciones, el ransomware se centró en los ataques del mundo corporativo en pulsos cortos. Estos pueden deberse a que ciertos marcos de tiempo son los mejores para atacar a las organizaciones, o puede ser el tiempo requerido para planear un ataque contra usuarios corporativos, lo que requiere la recopilación de correos electrónicos corporativos e información de contacto antes del lanzamiento.

En cualquier caso, la actividad de ransomware en 2019 ya alcanzó un número récord, y aunque solo hemos visto algunos picos en los últimos meses, puede considerar estos baches en la carretera entre dos grandes paredes. Simplemente no hemos golpeado la segunda pared todavía.

Observaciones

A pesar de un aumento en el ransomware que apunta a las redes de organizaciones, las redes de ciudades que han sido afectadas por el ransomware no aparecen en nuestra lista de las principales ciudades infectadas. Esto nos lleva a creer que los ataques de ransomware en la infraestructura de la ciudad, como lo que estamos viendo en Baltimore, no se producen debido a brotes generalizados, sino que son específicos y oportunistas.

De hecho, la mayoría de estos ataques se deben a vulnerabilidades, brechas en la seguridad operativa y una infraestructura débil en general descubierta y explotada por los ciberdelincuentes. A menudo, se afianzan en la organización mediante la captura de empleados en campañas de phishing e infectando puntos finales o teniendo la suficiente confianza como para lanzar una campaña de phishing contra objetivos de alto perfil en la organización.

Correo electrónico de spear phishing (Cortesía de Lehigh University lts.lehigh.edu)

También siempre se debe tener en cuenta las configuraciones erróneas, la actualización lenta o la aplicación de parches, e incluso las amenazas internas que son la causa de algunos de estos ataques. Los investigadores de seguridad y los funcionarios de la ciudad aún no tienen una respuesta concreta sobre cómo RobinHood infectó los sistemas de Baltimore en primer lugar.

Evitación

Hay varias respuestas a la pregunta, » ¿Cómo puedo vencer el ransomware? ”Y desafortunadamente, ninguno de ellos aplica el 100 por ciento del tiempo. Los delincuentes cibernéticos pasaron la mayor parte del 2018 experimentando con nuevos métodos para romper las defensas con ransomware, y parece que están poniendo a prueba esas experimentaciones en 2019. Incluso si las organizaciones siguen «todas las reglas», siempre hay nuevas oportunidades para infección. Sin embargo, hay maneras de adelantarse al juego y evitar los peores escenarios. Aquí hay cuatro áreas que deben tenerse en cuenta al intentar planificar los ataques de ransomware:

Parches

Si bien dijimos que EternalBlue probablemente no participó en la propagación del ransomware RobinHood, ha sido utilizado por otras familias de ransomware y malware en el pasado. Con este fin, los sistemas de parches se están volviendo cada vez más importantes, ya que los desarrolladores no solo están corrigiendo errores de usabilidad o añadiendo nuevas funciones, sino que están llenando los huecos que pueden ser explotados por los malos.

Si bien la aplicación de parches rápidamente no siempre es posible en una red empresarial, es necesario identificar qué parches se requieren para evitar un posible desastre y desplegarlos en un ámbito limitado (como en los sistemas más vulnerables o que contienen datos altamente prioritarios). En la mayoría de los casos, los parches de inventario y auditoría deben completarse, independientemente de si el parche se puede extender a través de la organización o no.

Actualizaciones

Durante los últimos siete años, muchos desarrolladores de software, incluidos los de sistemas operativos, han creado herramientas para ayudar a combatir el delito informático dentro de sus propios productos. Estas herramientas a menudo no se ofrecen como una actualización del software existente, pero se incluyen en versiones actualizadas. Windows 10, por ejemplo, tiene capacidades antimalware integradas en el sistema operativo, lo que lo convierte en un objetivo más difícil para los ciberdelincuentes que Windows XP o Windows 7. Observe qué software y sistemas están llegando al final de su ciclo de desarrollo. . Si una organización los ha eliminado del soporte, entonces es una buena idea buscar la actualización del software por completo.

Además de los sistemas operativos, es importante al menos considerar y probar una actualización de otros recursos en la red. Esto incluye varias herramientas de nivel empresarial, como plataformas de colaboración y comunicación, servicios en la nube y, en algunos casos, hardware .

Email

Hoy en día, los ataques por correo electrónico son el método más común de propagación de malware, ya sea mediante el uso de ataques de phishing generalizados que engañan a quienes puedan o los ataques de phishing especialmente diseñados, en los que se engaña a un objetivo en particular.

Por lo tanto, hay tres áreas en las que las organizaciones pueden enfocarse cuando se trata de evitar las infecciones por ransomware o cualquier tipo de malware. Esto incluye herramientas de protección de correo electrónico, capacitación de concienciación sobre seguridad y educación del usuario , y bloqueo posterior a la ejecución de correo electrónico.

Existen numerosas herramientas que proporcionan seguridad adicional y posible identificación de amenazas para los servidores de correo electrónico. Estas herramientas reducen la cantidad de posibles correos electrónicos de ataque que recibirán sus empleados, sin embargo, pueden ralentizar el envío y la recepción de correos electrónicos debido a que comprueban todo el correo que entra y sale de la red.

Sin embargo, la educación del usuario implica enseñar a sus usuarios cómo es un ataque de phishing . Los empleados deben poder identificar una amenaza basada en la apariencia en lugar de la funcionalidad y, al menos, saber qué hacer si se encuentran con un correo electrónico de este tipo. Indique a los usuarios que reenvíen correos electrónicos sospechosos a los equipos de seguridad o de TI internos para investigar más a fondo la amenaza.

Finalmente, el uso de software de seguridad de punto final bloqueará muchos intentos de infección por correo electrónico, incluso si el usuario termina abriendo un archivo adjunto malicioso. La solución de punto final más efectiva debe incluir tecnología que bloquee los exploits y los scripts maliciosos, así como la protección en tiempo real contra sitios web maliciosos. Si bien algunas familias de ransomware tienen descifradores disponibles que ayudan a las organizaciones a recuperar sus archivos, la reparación de los ataques exitosos de ransomware rara vez devuelve datos perdidos.

Seguir los consejos anteriores proporcionará una mejor capa de defensa contra los métodos principales de infección hoy en día, y puede ayudar a su organización a repeler los ataques cibernéticos más allá del ransomware.

Preparación

Obviamente, ser capaz de evitar la infección en primer lugar es preferible para las organizaciones, sin embargo, como se mencionó anteriormente, muchos actores de amenazas desarrollan nuevos vectores de ataque para penetrar las defensas de las empresas. Esto significa que no solo debe establecer una protección para evitar una violación, sino que debe preparar su entorno para una infección que se contagiará.

La preparación de su organización para un ataque de ransomware no debe tratarse como un «si» sino como un «cuándo» si espera que sea útil.

Para ese fin, aquí hay cuatro pasos para preparar a su organización para el «cuándo» experimenta un ataque de ransomware.

Paso 1: Identificar datos valiosos

Muchas organizaciones segmentan su acceso a los datos según la necesidad requerida. Esto se denomina compartimentación, y significa que ninguna entidad individual dentro de la organización puede acceder a todos los datos. Para ello, necesita compartimentar sus datos y cómo se almacenan con el mismo espíritu. El objetivo de hacer esto es mantener los datos más valiosos (y el mayor problema si se pierden) segmentados de los sistemas, las bases de datos o los usuarios que no necesitan acceder a estos datos de manera regular, lo que hace más difícil que los delincuentes roben o Modificar dichos datos.

La información de identificación personal , la propiedad intelectual y la información financiera de los clientes son tres tipos de datos que deben identificarse y segmentarse del resto de su red. ¿Para qué necesita Larry, el pasante, acceso a los datos del cliente? ¿Por qué la fórmula secreta para el producto que vende en el mismo servidor que los cumpleaños de los empleados?

Paso 2: Segmentar esos datos

Si es necesario, debe desplegar servidores o bases de datos adicionales que pueda colocar detrás de capas adicionales de seguridad, ya sea otro cortafuegos, autenticación multifactor o simplemente limitando la cantidad de usuarios que pueden tener acceso. Aquí es donde los datos identificados en el paso anterior van a vivir. 

Dependiendo de sus necesidades operativas, es posible que deba acceder a algunos de estos datos más que a otros y, en ese caso, debe configurar su seguridad para tenerla en cuenta, de lo contrario, podría dañar la eficiencia operativa más allá del punto donde corre el riesgo. vale la recompensa

Algunos consejos generales sobre la segmentación de datos:

  • Mantenga el sistema con estos datos lejos de la Internet abierta.
  • Requerir requisitos de inicio de sesión adicionales, como una autenticación VPN o multifactor para acceder a los datos
  • Debe haber una lista de sistemas y qué usuarios tienen acceso a los datos de qué sistemas. Si un sistema es violado de alguna manera, ahí es donde empiezas.
  • Si tiene el tiempo y los recursos, despliegue un servidor que apenas tenga protección, agregue datos que parezcan legítimos pero que, en realidad, sean falsos, y asegúrese de que sean vulnerables y fáciles de identificar por un atacante. En algunos casos, los delincuentes tomarán el fruto de poca importancia y se irán, asegurando que sus datos valiosos reales permanezcan intactos.       

Paso 3: Copia de seguridad de datos

Ahora sus datos se han segmentado según la importancia que tienen, y están detrás de una capa de seguridad mayor que antes. El siguiente paso es identificar y priorizar una vez más los datos importantes para determinar cuánto de ellos se puede hacer una copia de seguridad (es de esperar que todos los datos importantes, si no todos los datos de la compañía). Hay algunas cosas a tener en cuenta al decidir qué herramientas usar para establecer una copia de seguridad segura:

  • ¿Es necesario actualizar estos datos con frecuencia?
  • ¿Es necesario que estos datos permanezcan en mi seguridad física?
  • ¿Qué tan rápido necesito poder realizar una copia de seguridad de mis datos?
  • ¿Qué tan fácil debería ser acceder a mis copias de seguridad?

Cuando pueda responder estas preguntas, podrá determinar qué tipo de solución de almacenamiento a largo plazo necesita. Hay tres opciones: en línea, local y fuera del sitio.

En línea

El uso de una solución de respaldo en línea probablemente sea lo más rápido y fácil para sus empleados y / o personal de TI. Puede acceder desde cualquier lugar, usar la autenticación de múltiples factores y estar tranquilo sabiendo que está asegurado por personas que protegen los datos para ganarse la vida. La copia de seguridad puede ser rápida e indolora con este método, sin embargo, los datos están fuera del control físico de la organización y, si se viola el servicio de copia de seguridad, eso podría comprometer sus datos.

En general, las soluciones de respaldo en línea probablemente sean la mejor opción para la mayoría de las organizaciones, debido a lo fácil que son para configurar y utilizar.

Local

Tal vez su organización requiere copias de seguridad de almacenamiento local. Este proceso puede variar desde increíblemente molesto y difícil a super fácil e inseguro.

El almacenamiento local le permite almacenar sin conexión, pero en el sitio, manteniendo una presencia de seguridad física. Sin embargo, está limitado por su personal, recursos y espacio sobre cómo puede establecer una operación de respaldo localmente. Además, los datos operativos que deben utilizarse diariamente pueden no ser candidatos para este tipo de método de copia de seguridad.

Fuera del sitio

Nuestra última opción es almacenar datos en discos duros o cintas extraíbles y luego guardarlos en un lugar externo. Esto podría ser preferible si los datos son especialmente sensibles y deben mantenerse alejados de la ubicación en la que se crearon o usaron. El almacenamiento externo asegurará que sus datos estén seguros si el edificio explota o es allanado, pero el proceso puede ser lento y tedioso. Tampoco es probable que utilice este método para datos operativos que requieren acceso y copias de seguridad regulares.

Las copias de seguridad externas solo son necesarias en casos de almacenamiento de información extremadamente confidencial, como secretos del gobierno, o si los datos deben mantenerse y conservarse para los registros, pero no se requiere acceso regular.                                              

Paso 4: Crea un plan de aislamiento

Nuestro último paso para preparar a su organización para un ataque de ransomware es saber exactamente cómo aislará un sistema infectado. La velocidad y el método en que lo hace podría salvar los datos de toda la organización de una infección de ransomware que se propaga activamente.

Un buen plan de aislamiento tiene en cuenta tantos factores como sea posible:

  • ¿Qué sistemas se pueden aislar rápidamente y cuáles necesitan más tiempo (p. Ej., Puntos finales frente a servidores)?
  • ¿Se puede aislar el sistema local o remotamente?
  • ¿Tienes acceso físico?
  • ¿Qué tan rápido puedes aislar los sistemas conectados al infectado?

Hágase estas preguntas sobre cada sistema en su red. Si la respuesta a la rapidez con la que puede aislar un sistema «no es lo suficientemente rápida», entonces es hora de considerar la reconfiguración de su red para acelerar el proceso.

Afortunadamente, existen herramientas que brindan a los administradores de red la capacidad de aislar remotamente un sistema una vez que se detecta una infección. Invertir tiempo y recursos para garantizar que tenga un plan efectivo para proteger los otros sistemas en su red es primordial con el tipo de amenazas que vemos hoy.

Resiliencia ransomware

Como hemos cubierto, ha habido un gran aumento en el ransomware centrado en la organización en 2019 y esperamos ver más picos en los próximos meses, pero no necesariamente en las ciudades que podría esperar. La realidad es que las grandes ciudades principales afectadas por el ransomware conforman solo algunos de los cientos de ataques de ransomware que se producen todos los días contra organizaciones de todo el país.

Los ciberdelincuentes no obedecerán las reglas sobre cómo realizar los ataques. De hecho, están constantemente buscando nuevas oportunidades, especialmente en lugares donde los equipos de seguridad no están cubriendo activamente. Por lo tanto, gastar todos sus recursos en medidas de evitación va a dejar a su organización en un mal lugar. 

Tomarse el tiempo para establecer un plan para cuando sea atacado y construir sus redes, políticas y cultura en torno a ese concepto de resiliencia evitará que su organización se convierta en otro titular.