Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Defensa contra el ransomware Conti: por qué CISA recomienda urgentemente la microsegmentación

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
23de septiembre de 2021
23 min. leer

En 2021, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) emitieron un aviso conjunto de ciberseguridad en torno a la ola en curso de ataques de ransomware Conti, una variante del modelo de ransomware como servicio (RaaS) que se sabe que estuvo detrás de más de 400 ataques a organizaciones estadounidenses e internacionales desde su creación en 2020.

Conti es solo el último en el flagelo de ransomware en curso. A medida que nos acercamos al primer aniversario de la violación de SolarWinds, los ataques de ransomware continúan evolucionando y abundando, a una escala inequívoca.

Ahora más que nunca, es imperativo que las organizaciones tomen las medidas necesarias para apuntalar su resiliencia cibernética, no solo para proteger y defender sus propios negocios, sino también a sus clientes y cadenas de suministro de la ola de ataques de ransomware en curso.

¿Qué es el ransomware Conti?

Según el aviso conjunto de CISA y el FBI, "En los ataques típicos de ransomware Conti, los actores cibernéticos maliciosos roban archivos, cifran servidores y estaciones de trabajo y exigen el pago de un rescate".

El aviso también señaló que los desarrolladores de Conti a menudo pagan a los implementadores del ransomware un salario en lugar de un porcentaje de las ganancias de un ataque exitoso. Esta revelación hace que el modelo en sí sea aún más alarmante, ya que a los implementadores se les paga independientemente de cuán "exitoso" sea un ataque determinado.

A principios de este mes, SiliconANGLE informó que Conti "fue vinculado a un serial de ataques, incluido uno dirigido al servicio de salud de Irlanda en mayo... Las víctimas anteriores de Conti incluyen al fabricante de computadoras industriales Advantech en noviembre, al fabricante de hardware y software VOIP Sangoma Technologies en diciembre y hospitales en Florida y Texas en febrero".

SiliconANGLE también señaló que Conti fue objeto de una advertencia del FBI en mayo que decía que la pandilla y sus afiliados estaban apuntando a proveedores de atención médica, un sector vital, particularmente a medida que continúa la pandemia de Covid-19.

Protección contra Conti

Para proteger los sistemas contra el ransomware Conti, CISA y el FBI recomiendan las siguientes precauciones: los principios de segmentación y Zero Trust son los principales entre ellos:

  • Emplee la autenticación multifactor para acceder de forma remota a las redes desde fuentes externas.
  • Implemente la segmentación de red y filtre el tráfico. Implemente y garantice una segmentación de red estable entre redes y funciones para reducir la propagación del ransomware. Filtre el tráfico de red para prohibir las comunicaciones de entrada y salida con direcciones IP maliciosas conocidas. Habilite filtros de spam estables para evitar que los emails de phishing lleguen a los usuarios finales.

    Las organizaciones también deben considerar la posibilidad de implementar un programa de capacitación de usuarios para disuadir a los usuarios de visitar sitios web maliciosos o abrir archivos adjuntos maliciosos. Los equipos de TI deben implementar una lista de bloqueo de URL y/o una lista de permitidos para evitar que los usuarios accedan a sitios web maliciosos; Con kits de herramientas tecnológicas más avanzadas, esto se puede automatizar.
  • Busque vulnerabilidades y mantenga el software actualizado. Configure programas antivirus y antimalware para realizar análisis regulares de los activos de red empleando firmas actualizadas. Las organizaciones también deben cerciorar de actualizar el software y los sistemas operativos, las aplicaciones y el firmware en los activos de red de manera oportuna.
  • Elimine aplicaciones innecesarias y aplique controles. Eliminar cualquier aplicación que no se considere necesaria para las operaciones diarias. Investigue cualquier software no autorizado.
  • Implemente herramientas de respuesta de detección y punto final. Se sabe que las herramientas de respuesta de detección y endpoints mejoran la visibilidad que tienen los equipos de SecOps en cualquier entorno de ciberseguridad, lo que significa que los actores cibernéticos maliciosos y las amenazas potenciales se pueden identificar y mitigar mejor desde el principio.
  • Cuentas de usuario seguras. Auditar periódicamente las cuentas de usuario administrativas y configurar los controles de acceso bajo los principios de mínimo privilegio (Zero Trust) y separación de funciones. Las organizaciones también deben auditar de manera regular los registros para cerciorar de que las nuevas cuentas sean usuarios legítimos.

A medida que salen a la luz más modelos RaaS y cepas de ransomware, es esencial que las organizaciones identifiquen y minimicen cualquier vector de amenaza potencial o vulnerabilidad desde el principio. Entre las recomendaciones descritas anteriormente, una de las mejores prácticas críticas sobre las que las organizaciones deben actuar hoy en día es la segmentación.

Cómo puede ayudar la segmentación de confianza cero de Illumio

Illumio detiene el ransomware en seco y, a diferencia de la segmentación de red heredada, evoluciona con su organización al ofrecer:

  • Segmentación sencilla y rápida. Con Illumio, puede segmentar aplicaciones, usuarios y activos específicos en minutos mediante la creación automática de políticas.

    En el caso de Conti, el ransomware explotó el bloque de mensajes del servidor (SMB) y el protocolo de escritorio remoto (RDP) para mover lateralmente. Con Illumio Core, puede redactar una política simple que bloquee ambos protocolos en todo su patrimonio, excepto cuando sean absolutamente necesarios, lo que reduce la exposición al riesgo de manera rápida y efectiva.
  • Política que se adapta a sus entornos dinámicos. Dado que Illumio emplea su infraestructura existente para hacer cumplir la política, escalará junto con su red a medida que evolucione.
  • Segmentación a nivel de host. Mediante el uso de firewalls basados en host existentes, puede gestionar todas sus políticas de segmentación desde una sola instancia en la nube sin tener que tocar la infraestructura o mover cables. 


Obtenga más información sobre cómo Illumio puede reducir significativamente su riesgo al limitar el alcance de una violación exitosa: Lea el documento, Cómo evitar que el ransomware se convierta en un desastre cibernético, y consulte la publicación del blog, 9 razones para usar Illumio para combatir el ransomware

Para obtener información adicional sobre la banda de ransomware Conti, visite la página oficial de avisos

Temas relacionados

Ransomware Containment

Artículos relacionados

Estudio sobre el costo global del ransomware: lo que nos dicen las cifras
Ransomware Containment

Estudio sobre el costo global del ransomware: lo que nos dicen las cifras

Descubra cómo los atacantes están cambiando a la interrupción operativa, por qué la prevención no es suficiente y cómo Zero Trust y la microsegmentación contienen el impacto del ransomware.

Read more
Asuma la violación con Zero Trust Endpoint Security
Ransomware Containment

Asuma la violación con Zero Trust Endpoint Security

Descubra por qué los enfoques tradicionales de seguridad de endpoints no son suficientes y cómo Illumio Endpoint puede complementar sus herramientas de detección existentes.

Read more
Vuelva a centrar en el ransomware: 3 verdades para construir una red lista para ransomware
Ransomware Containment

Vuelva a centrar en el ransomware: 3 verdades para construir una red lista para ransomware

Obtenga información sobre la creación de redes que sean seguras contra la propagación de ataques de ransomware.

Read more
Cómo Brooks usa Illumio para evitar que el ransomware se descontrole
Ransomware Containment

Cómo Brooks usa Illumio para evitar que el ransomware se descontrole

Vea por qué Brooks eligió Illumio Zero Trust Segmentation para garantizar la confiabilidad de sus negocios minoristas y de comercio electrónico.

Read more
Cómo contener los ataques de LockBit Ransomware con Illumio
Ransomware Containment

Cómo contener los ataques de LockBit Ransomware con Illumio

Descubra cómo funciona el ransomware LockBit y cómo Illumio Zero Trust Segmentation contuvo un ataque de ransomware LockBit en el verano de 2022.

Read more

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more