El ransomware siempre ha sido una de las amenazas más temidas por las organizaciones, pero este año parece encontrarse más que nunca en el punto de mira. TechRepublic publicó recientemente datos sobre ransomware que dan que pensar: en los últimos 3 meses, ha habido un incremento de este tipo de ataques en un 50% con respecto a la primera mitad de 2020. Y todo indica que seguirá siendo una tendencia al alza, lo que añade más preocupación en sectores e industrias que ya se encuentran bajo la presión de estos incidentes.
Además, al robo de información sensible y confidencial, y la posterior extorsión económica que el ransomware trae consigo por definición, se añade una nueva y preocupante vertiente de chantaje: las relaciones públicas. Así, los ciberdelincuentes han empezado a publicar notas de prensa anunciando el éxito de sus ataques de ransomware contra diferentes compañías y revelando los datos sustraídos de las mismas, como si fueran periodistas de investigación con objetivos poco (o nada) éticos.
En conclusión, el ransomware, sea general o dirigido, trae consigo tres problemas principalmente: la pérdida de información valiosa para las organizaciones, la extorsión económica y la temida crisis reputacional. Además, se ha vuelto más sofisticado, y el tiempo entre la brecha inicial y la explotación de los ataques se ha reducido significativamente: ahora puede contabilizarse en días, e incluso en horas. No es de extrañar, pues, que las organizaciones se sientan más vulnerables que nunca ante este tipo de amenazas.
Hace falta algo más que las clásicas estrategias y soluciones de ciberseguridad para atajar este problema en la medida de lo posible. Es aquí donde entra en juego la defensa activa.
¿Cómo ayuda la defensa activa contra el ransomware dirigido?
Pongamos el ejemplo de una organización cualquiera que un día recibe un email con un fichero malicioso, en el marco de un ataque que va específicamente dirigido a ella. En un escenario de lo más habitual, lo más probable es que alguien abra dicho fichero por desconocimiento y ponga así en marcha el ataque de ransomware, que cifrará la información de los servidores de la organización y mostrará un mensaje con las condiciones del rescate.
Pero ¿y si se pudieran detectar estos ataques dirigidos y así evitar sus catastróficas consecuencias? ¿Y si se pudiera recoger la mayor cantidad de inteligencia posible sobre esta amenaza, para conocer a fondo al atacante y mejorar las medidas de seguridad de la organización?
La defensa activa obliga al atacante a realizar más movimientos en su intento de lograr sus objetivos, incrementando sus costes y haciéndole perder tiempo. Mientras tanto, la organización puede estudiarlo para poder obtener información sobre él y sus intenciones, y así reforzar sus sistemas para impedir un nuevo intento de ataque.
En el caso concreto que exponemos, mediante la creación de un escenario sintético, parecido al real y que imita los servidores, ficheros de una organización, cuentas de servicio de correo-e basado en la web y servidores de correo, el ataque de ransomware dirigido queda contenido y puede ser estudiado en profundidad, sin que los propios adversarios sean conscientes de lo que ocurre.
De esta forma, se logran varios objetivos:
- Detectar los pasos iniciales de un ataque de ransomware.
- Estudiar al adversario sin que lo sepa, extraer inteligencia de alta calidad y propia de la organización sobre sus técnicas, tácticas y procedimientos.
- Interactuar con el adversario.
- Actuar en base a la inteligencia obtenida sobre el atacante.
Por supuesto, la defensa activa funciona dentro de un contexto de ciberseguridad más amplio, pero ha terminado por resultar esencial para las organizaciones. En arquitectura se conoce como clave a la pieza central de un arco o bóveda, que se coloca en último lugar y que determina la estabilidad de toda la estructura. Desde CounterCraft, y con la experiencia que nos dan años de experiencia en el sector, entendemos la defensa activa un poco la clave para la protección de las organizaciones frente al ransomware. Se dice, porque es cierto, que los ciberatacantes están siempre a la vanguardia en cuanto a innovación tecnológica. ¿Por qué no darle la vuelta a esta situación de una vez por todas y adoptar nuevas estrategias para lograr un 2021 más ciberseguro? Ha llegado el momento de la defensa activa.
Raúl Pérez es Regional VP Enterprise Sales de CounterCraft