Trabajo híbrido amenazado por el Ransomware

Por staff

03/05/2022

eSoft Latam, Expert Advantage Partner de Broadcom dio a conocer el informe de Symantec sobre las principales vulnerabilidades que enfrentan las empresas en un ambiente de trabajo híbrido, impulsado por la pandemia.

El ransomware sigue siendo una de las mayores preocupaciones de las empresas de la región. Según datos de la telemetría de Symantec, para 2022 aumentarán las detecciones de ransomware. “Si analizamos la cantidad de hashes (o muestras únicas de ransomware) detectadas año tras año, vemos que estas vienen aumentando considerablemente. Esto demuestra cómo los cibercriminales cambiaron el enfoque de sus ataques y migraron de campañas masivas a operaciones dirigidas a objetivos puntuales”, expuso Ricardo Dos Santos, gerente de Servicios de eSoft Latam.

De hecho, según el reporte de Symantec, “Una de las tendencias clave observadas en esta investigación es el conjunto de herramientas, tácticas y procedimientos (TTPS) en constante evolución que emplean los atacantes de ransomware. Los nuevos TTP surgen periódicamente cuando los atacantes intentan mantenerse un paso por delante de los defensores de la red. Los grupos de ransomware en estos días ahora emplean un conjunto de herramientas bastante diverso, haciendo uso de una combinación de malware personalizado, software legítimo y características del sistema operativo”.

De acuerdo con el experto, en la actualidad el ransomware no solo cifra la información del equipo comprometido, sino que también la roba y exfiltra datos para extorsionar y presionar más a las víctimas para que paguen el rescate, por lo cual es lógico pensar que continuarán apuntando a objetivos concretos que tengan información de valor.

Técnicamente, por ejemplo, en el buscador Shodan, hay más de 151 mil equipos con el puerto 3389 (correspondiente a RDP) publicados a Internet en Latinoamérica. Muchos, incluso, con varios usuarios disponibles para probar diferentes combinaciones de contraseñas. “A menos que las organizaciones comiencen a adoptar medidas para proteger los accesos remotos, por ejemplo, mediante la autenticación de dos pasos, es muy difícil que se revierta esta tendencia en los próximos meses”.

Uno de los principales protagonistas en los mercados clandestinos y la deep web es el malware como servicio (MaaS, por sus siglas en inglés), en el que se destaca puntualmente el ransomware como servicio (RaaS). “Aquí, quienes desarrollan el malware no se encargan de distribuirlo, sino que buscan reclutar afiliados para que se ocupen de su distribución y a cambio ofrecen dividir las ganancias que obtienen por el pago de los rescates. Este modelo de negocio, en combinación con la búsqueda de objetivos atractivos parte los atacantes, tiene a compañías de todo tipo de industrias a nivel mundial en la mira”, añade Octavio Gómez, Consultor Sénior en Ciberdefensa.

Si bien el ransomware como servicio no es una novedad ni tampoco la comercialización del malware en general, existe una tendencia que se consolidó en 2021 y que probablemente se mantenga en el futuro: ya no se trata de pocas bandas de ransomware realizando grandes ataques, sino que la escena se ha diversificado y hoy existen muchos grupos que crean amenazas diseñadas de forma única y a ello se suma que los grupos históricos perseguidos por las fuerzas de seguridad internacionales se reinventan completamente para continuar su accionar, incluso al usar otros medios como redes sociales, incluyendo Telegram.

Uno de los mayores desafíos que presenta este panorama es que expande significativamente la superficie de ataque, lo que significa mayor riesgo. La migración a la nube y la adopción de software e infraestructura como servicio proporciona a los cibercriminales más oportunidades para dirigir sus ataques, los cuales aprovechan cuentas y sistemas mal configurados, contraseñas débiles y otras vulnerabilidades.

Además, los usuarios remotos ya no trabajan solo desde sus casas, sino que podrán recurrir a bares y lugares públicos, por lo que se estarán conectando desde redes inseguras y llevando sus equipos de aquí para allá.

Muchas empresas han pasado de espacios de oficina propios a espacios compartidos de “coworking”, en los que ya no existe un perímetro de acceso físico controlado, sino que muchas personas pueden tener acceso al espacio de trabajo, a los dispositivos, la red y a los usuarios.

A medida que la infraestructura crece y abarca no solo equipos propios sino también servicios en la nube y cada vez más aplicaciones para comunicarse y acceder a la información, crece la cantidad de posibles fallos de seguridad. Durante la pandemia, se descubrieron importantes vulnerabilidades zero day en servicios de VPN, plataformas como Zoom y otras aplicaciones que se ofrecen como software como servicio (SaaS, por sus siglas en inglés) que podrían haber permitido a los atacantes tomar el control de manera remota de los dispositivos de los usuarios.

Ante ello, eSoft Latam recomienda que las organizaciones mejoren la gestión de su seguridad. Por ejemplo, migrando hacia una gestión Zero Trust. Este modelo, a diferencia del enfoque centrado en la seguridad perimetral que se apoya en la premisa de confiar y verificar, Zero Trust parte de la idea de que, por defecto, las organizaciones nunca deberían confiar en ninguna entidad interna o externa que ingrese a su perímetro y por eso su nombre.

Teniendo en cuenta que el trabajo híbrido aumentó la superficie de ataque, no se pueden poner todos los recursos de seguridad en el perímetro y luego confiar en todo lo que éste contiene.

“La buena noticia es que el cambio hacia este tipo de gestión no requiere un gran esfuerzo. De hecho, es posible que ya esté utilizando muchas de las herramientas y técnicas necesarias para comenzar a implementar Zero Trust, como controles de accesos basados en el principio del menor privilegio, la gestión de activos y clasificación de la información, la segmentación de redes, entre otros. A estos controles basta con añadir una capa crucial: automatización y orquestación; y visibilidad y análisis. Estos integran todos los controles de defensa en profundidad necesarios para admitir Zero Trust”, aclara Octavio Gómez, Consultor Sénior en Ciberdefensa.

“Si pensamos en la ‘nueva normalidad’ que ya estamos atravesando, muchos de los hábitos tecnológicos adoptados el año pasado seguirán siendo parte de nuestro día. La comodidad de trabajar o estudiar desde casa, el mayor uso de la tecnología para agilizar trámites o incluso realizar consultas a un médico se han vuelto actividades cotidianas. Las amenazas, sin embargo, seguirán este mismo camino. En este sentido, las soluciones de seguridad deben estar acordes con el mundo digital y prevenir, educar y proteger más allá del perímetro con una estrategia integral”, concluyó Ricardo Dos Santos, gerente de Servicios de eSoft Latam, compañía representante de las soluciones tecnológicas de clase mundial, con altos niveles de relacionamiento y Partner Tier 1 y VAD “Value Added Distributor” de Broadcom.

Las soluciones y servicios de seguridad de Symantec están disponibles en el país a través de eSoft Latam, que fue reconocida por Broadcom en su Programa Expert Advantage Partner, por su conjunto de habilidades altamente especializadas y experiencia localizada, y cuenta con amplia experiencia en ciberseguridad.