Ataques de ransomware: La fortaleza no es la solución

Muchas empresas confían en la nube y en los servicios gestionados. Después de los últimos ataques, surge la pregunta de cómo se pueden evitar los daños, qué medidas de precaución tienen sentido y por qué la idea de retirarse por completo a las propias paredes puede no ser tan buena idea.

En este país tuvimos la suerte de que muchos servidores ya estaban caídos el viernes por la noche.

Thomas Uhlemann, evangelista de seguridad de Eset

Una estadística inicial de ataques

Una estadística inicial de Kaspersky muestra la distribución global de los intentos de ataque. En la noche del 5 de junio de 2021, los investigadores contaron más de 5.000 intentos de infección en Europa, América del Norte y del Sur. La mayoría de los intentos de ataque se produjeron en los siguientes cinco países:

  • Italia (45,2%),

Estados Unidos (25,9%),Colombia (14,8%),

  • Alemania (3,2%) y
    • México (2,2%).

En todo el mundo, entre 800 y 1.500 empresas de 17 países están probablemente afectadas, admitió el director ejecutivo de Kaseya, Fred Voccola, a la agencia de noticias Reuters, incluyendo algunas en Alemania, según la BSI. "Los proveedores de servicios informáticos y otras empresas de Alemania también se han visto afectados. Según los conocimientos actuales, se han cifrado varios miles de dispositivos informáticos. Las infraestructuras críticas o la administración federal no están afectadas según los conocimientos actuales."

Efecto bola de nieve

Causar el mayor daño posible con el mínimo esfuerzo es el objetivo declarado de los hackers y de este tipo de ataques a la cadena de suministro. Un ataque a un sistema como el de Kaseya es la consecuencia lógica. Como muchos PSM lo utilizan, puede producirse un efecto de bola de nieve. Aunque Kaseya habla de unos 50 clientes propios que se vieron afectados por el ataque, muchos de sus clientes se vieron afectados a su vez. En total, son entre 800 y 1.500 las empresas que se enfrentan actualmente al ransomware y a las que se les pide que paguen un rescate para poder descifrar de nuevo sus datos.

Ulrich Mertz, director general de Rangee, una empresa que deliberadamente no depende de la nube, lamenta por tanto que "la solución offline que funcionó de forma fiable durante años, actuando de forma segura tras el cortafuegos, lamentablemente ha pasado de moda recientemente." Y concluye: "Esta "tecnología de sobrecarga" es un objetivo atractivo para los ciberdelincuentes y atrae rápidamente a visitantes no deseados. Por lo tanto, se aconseja a las empresas que consideren cuidadosamente para cada servicio de gestión que se proporciona en todo el mundo si realmente ofrece un valor añadido - o si la solución fuera de línea con las mismas funciones no podría ser más valiosa porque ofrece una seguridad pasiva."

Hacer esta consideración es ciertamente sensata, pero en muchos casos simplemente no es una opción real. Entonces, ¿el que confía en la nube y en el MSP corre automáticamente más riesgos? Y: ¿Cómo se pueden minimizar los riesgos de seguridad?

Cómo aumentar la protección

Explica.

Kaspersky también adopta una línea similar. El proveedor también considera que el establecimiento de sistemas para la detección y respuesta de puntos finales es un elemento importante de protección.

Además, hace las siguientes recomendaciones:

  • No comparta servicios de escritorio remoto en redes públicas a menos que sea absolutamente necesario. Para ello, deben utilizarse siempre contraseñas seguras.

Instalar parches inmediatamente disponibles para las soluciones comerciales de VPN que proporcionan acceso a los empleados remotos y actúan como puertas de enlace en la red.

  • Mantener el software actualizado en todos los dispositivos utilizados para evitar que el ransomware explote las vulnerabilidades.
    • Centrarse en la detección de movimientos laterales y la exfiltración de datos a Internet en la estrategia de defensa. Hay que prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes.
  • Guarda los datos regularmente a través de copias de seguridad para poder acceder a ellos rápidamente en caso de emergencia.

Tenga siempre acceso a datos actualizados de inteligencia de amenazas para conocer las TTPs reales utilizadas por los actores de las amenazas.Formar regularmente a los empleados en materia de ciberseguridad

La estafa perfecta

El hecho de que interceptar este tipo de ataques no es fácil también se pone de manifiesto en una declaración publicada por el proveedor de seguridad Sophos en junio: "REvil, también conocido como Sodinokibi, es una oferta madura y extendida de Ransomware-as-a-Service (RaaS). Los clientes criminales pueden alquilar el ransomware a los desarrolladores y colocarlo en los ordenadores de sus víctimas con sus propios parámetros. El enfoque particular y el impacto de un ataque con el ransomware REvil es, por tanto, muy variable y depende de las herramientas, comportamientos, recursos y capacidades del atacante que alquila el malware."

Así mismo, el Dr. Bernd Rohleder, de Bitkom, afirma: "Con el reciente ataque a la empresa de TI Kaseya, se está utilizando una estratagema especialmente pérfida para atacar a las empresas en general". La asociación del sector sospecha que el sabotaje, el robo de datos o el espionaje ya han causado un daño total de más de 100.000 millones de euros a la economía alemana en 2019. "Muchas empresas se han vuelto más vulnerables a la ciberdelincuencia debido a la pandemia y al traslado imprevisto a las oficinas en casa. Esperamos que los totales de daños y el número de empresas afectadas en 2020 sean significativamente superiores al nivel del año anterior."

Adición al tema

Comentario: externalizar datos, sí - ¡responsabilidad, no!

Ante el ataque masivo de REvil, el primer impulso suele ser cuestionar la nube y el negocio de los MSP. Al fin y al cabo, sin los servicios gestionados y los servicios en la nube, este ataque no podría haberse producido con tanta vehemencia, ¿verdad? El hecho es que los hackers han existido desde que existen los sistemas de TI. El primer ataque documentado a un sistema informático se remonta a 1983. Por aquel entonces, un joven de 17 años se coló en la ARPA-Net, la red reservada al ejército, las grandes universidades y las empresas. En términos actuales, se trata de un ataque a infraestructuras críticas. Sin embargo, esto no pudo detener la marcha triunfal de la informática y de Internet. De lo contrario, se habrían perdido demasiadas ventajas. Y quién querría prescindir del trabajo móvil, la colaboración independiente del tiempo y la ubicación, el análisis automático de datos... la lista podría ser interminable.

Si un ladrón consigue entrar en tu casa, no se te ocurriría mudarte a un piso en la vigésima planta de un edificio alto. Lo cual es algo sobre lo que deberías reflexionar: ¿Dónde estaba el punto débil? ¿Qué precauciones de seguridad puedo seguir tomando? En otras palabras: asume la responsabilidad de tu propia seguridad.

Lo mismo ocurre con los entornos de nube y MSP. Ninguna empresa se plantea la externalización de datos y sistemas a la ligera. Suele haber razones de peso para hacerlo. Pero lo que no debe descuidarse en ningún caso son los conceptos de seguridad. Porque ayudan a evitar daños. Las herramientas de análisis del comportamiento de los proveedores de seguridad también fueron rápidamente eficaces esta vez. Por ello, muchas empresas pudieron apagar sus servidores a tiempo para protegerse del ataque del ransomware. Un análisis del ataque unido a una revisión del propio concepto de seguridad es la mejor opción que demonizar la nube y los servicios gestionados per se.

Eres responsable de tus propios datos

Eric Waltert, Vicepresidente Regional DACH de Veritas: "El ataque de ransomware a Kaseya VSA es un doloroso recordatorio de que las empresas deben vigilar de cerca tres tipos de datos diferentes para protegerse de los ciberataques: Datos que poseen y alojan ellos mismos; datos que poseen y alojan para ellos; y datos que no poseen pero de los que dependen para el éxito de su negocio"

Demasiado pocas empresas, según Waltert, "se dan cuenta de que ellos mismos son responsables de asegurar sus datos en la nube y su servicio SaaS. En cambio, piensan erróneamente que los proveedores de servicios lo hacen por ellos. Además, por todos esos datos de los que dependen, las empresas deben presionar a su cadena de suministro y exigir, como parte de sus negociaciones contractuales, que los proveedores sean capaces de ofrecer el máximo nivel de protección de datos".


Deja un comentario