Empresas deben conocer a las familias de Ransomware
Sería casi imposible usar una computadora o red para negocios y no estar al tanto del ransomware. Pero ¿qué pasa con las familias de ransomware? Si posee una pequeña y mediana empresa, cada vez es más importante comprender cómo el ransomware utilizado en un número predominante de ataques cibernéticos paraliza los sistemas de una empresa y controla sus datos.
Por ejemplo, los ataques de ransomware en los Estados Unidos aumentaron en un 300% en solo un año, y las pequeñas empresas representaron el 50% o más de los incidentes, dice el secretario del Departamento de Seguridad Nacional, Alejandro Mayorkas, quien compartió esos datos en un evento de la Cámara de Comercio de los Estados Unidos el año pasado.
¿Qué tienen que ver las familias con los ciberataques? Las familias están directamente relacionadas con el modelo moderno de RaaS (Ransomware as a Service), explica Martin Zugec, director de soluciones técnicas de Bitdefender. La infección de ransomware es solo el paso final; estos ataques modernos toman algún tiempo para prepararse y los actores de amenazas tratarán de prepararse a fondo antes de lanzar un ataque.
La mayor parte de los ciberataques tienden a construirse en menos de dos docenas de familias de ransomware. Las familias son las firmas de código comunes, las cargas virales y los comandos maliciosos que hacen el trabajo sucio una vez que obtienen acceso a los sistemas de una empresa. También comparten un estilo de ataque y un conocimiento similares, una especie de libro de jugadas, para los afiliados.
Tratar de implementar herramientas de seguridad para frustrar cientos de tipos de cualquier amenaza cibernética suena desalentador. Pero debido a que el ransomware es solo el paso final en un ataque moderno, la detección y la respuesta se vuelven cada vez más importantes.
¿Cuáles son las familias de ransomware más notables?
En un análisis de 12,7 millones de detecciones de malware, Bitdefender identificó 220 familias de ransomware. El número de familias de ransomware detectadas varía cada mes, dependiendo de las campañas de ransomware actuales en todo el mundo.
Dicho esto, solo tres familias, WannaCryptor, Stop / DJVU y Phobos, representaron el 59% de los ataques asociados con las 10 principales familias de ransomware.
El aumento de los incidentes de ransomware en los últimos años, particularmente como una herramienta de las organizaciones cibercriminales y los ladrones cibernéticos poco afiliados a familias específicas de ransomware, ha empujado estos ataques a convertirse en una de las principales amenazas cibernéticas en todo el mundo.
Anatomía rápida de un ataque de ransomware
El ransomware no es un fenómeno nuevo. El primer ataque de ransomware data de 1989, con el troyano SIDA / PC Cyborg que se dirigió a las organizaciones de atención médica. Hoy en día, generalmente se divide en dos categorías: Cripto y Casillero.
Crypto ransomware cifra los archivos de una empresa para que ya no pueda acceder a ellos.
Locker ransomware bloquea una empresa de algunos o todos sus sistemas y archivos por completo.
En ambos casos, los atacantes impiden el acceso a los recursos y exigen el pago, generalmente en criptomonedas difíciles de rastrear, para su lanzamiento. A menudo hay una ventana de tiempo después del cual el atacante promete destruir los activos digitales.
Con RaaS, los atacantes no solo bloquean el acceso y exigen un rescate: la extorsión doble, triple e incluso cuádruple se convirtió en una norma. Los grupos RaaS filtran los datos patentados de las víctimas y exigen otro rescate para detenerlos. Si las víctimas se niegan a pagar, lanzan ataques Denegación de Servicios DDoS y comienzan a acosar a socios comerciales y clientes o utilizan otras herramientas en su arsenal de hackers. Pocas organizaciones son capaces de combatir ataques desde tantos frentes.
Es importante combinar los esfuerzos de defensa contra cómo los códigos de firma de la familia ransomware causan estragos con los esfuerzos que se centran en evitar las brechas de seguridad. Ahí es donde los afiliados al RaaS suelen desempeñar su papel, ejecutando campañas de correo electrónico no deseado, lanzando ataques de fuerza bruta y aprovechando las vulnerabilidades existentes.