Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Comprender el ransomware: el patrón de ataque más común

Illumio Editorial
Illumio Editorial
16de marzo de 2022
23 min. leer

La transformación digital es ahora un objetivo comercial estratégico número uno. Desde Sídney hasta Santo Francisco, las salas de juntas están trabajando en la mejor manera de aprovechar el poder de la nube, la IA, el IoT y más para impulsar el éxito. Sus esfuerzos no solo son vitales para crear nuevas experiencias para los clientes y optimizar los procesos comerciales. También son fundamentales para apoyar el nuevo modelo de trabajo híbrido que emerge rápidamente de las cenizas de la pandemia.

Sin embargo, el precio que las organizaciones suelen pagar por aumentar su huella digital está ampliando la superficie de ciberataque. Esto invita al riesgo cibernético, particularmente la amenaza de violaciones de ransomware dañinas.

Decenas de desarrolladores de ransomware y grupos de afiliados operan actualmente en todo el mundo. Eso significa que también hay una amplia variedad de tácticas, técnicas y procedimientos de ataque en circulación. Pero eso no significa que no podamos discernir un modus operandi primario. Aún mejor, podemos tomar este patrón de ataque general y aplicar un proceso simple de tres pasos para ayudar a mitigar el riesgo de ransomware.

Este es el valor de la microsegmentación basada en una visibilidad integral de las comunicaciones de los activos de red y las vías comunes empleadas por los actores de amenazas.

Esta publicación de blog responderá preguntas comunes sobre cómo funciona el ransomware y cómo detenerlo.

¿Por qué es importante el ransomware?

El ransomware alcanzó niveles récord en los primeros tres trimestres de 2021, y un proveedor registró cerca de 500 millones de intentos de compromiso en todo el mundo. Los ataques evolucionaron en los últimos años hasta el punto en que la exfiltración de datos es ahora la norma, lo que agrega un elemento completamente nuevo de riesgo comercial. Significa que las organizaciones no pueden simplemente hacer copias de seguridad de los datos y cruzar los dedos. Existe un riesgo real de daño financiero y de reputación derivado únicamente de la violación de datos.

Hoy en día, los llamados ataques de "doble extorsión" podrían resultar en:

  • Multas reglamentarias
  • Pérdida de productividad
  • Ventas perdidas
  • Costos de horas extras de TI para recuperar e investigar
  • Honorarios legales (por ejemplo, demandas colectivas en caso de violación de datos)
  • Abandono de clientes
  • Caída del precio de las acciones

Cada organización y cada ataque es diferente. Si bien algunos comentaristas estiman que el impacto financiero promedio es de casi $ 2 millones en la actualidad, algunas redadas costaron a las víctimas cientos de millones. Eso hace que sea esencial tomar medidas proactivas para contrarrestar la amenaza.

¿Cómo funciona el ransomware?

La buena noticia es que, a pesar de las muchas variantes y grupos convertidos en miembro en funcionamiento hoy en día, podemos discernir un patrón básico para la mayoría de los ataques. En resumen, los actores de amenazas:

  • Escóndete dentro de las redes durante meses antes de atacar.
  • Explotar vías comunes para el acceso inicial a la red y el movimiento lateral continuo.
  • Realizar acciones en múltiples etapas para lograr sus objetivos.

Profundicemos en cada uno de estos.

¿Cómo es que los atacantes pasan desapercibidos durante tanto tiempo?

El objetivo de los atacantes es permanecer ocultos hasta que construyeron una presencia lo suficientemente fuerte dentro de la red de una víctima para robar grandes volúmenes de datos confidenciales e implementar ransomware en todas partes.

Para ello, ellos:

  • Violar un activo que la organización no sabía que era vulnerable o expuesto, ya sea un dispositivo, una aplicación o una carga de trabajo con una conexión abierta a Internet y otros activos de red
  • Usar rutas/flujos de datos que la organización no sabía que estaban abiertos y que deberían cerrar de acuerdo con la política de seguridad de mejores prácticas
  • Comprometer múltiples sistemas que abarcan múltiples funciones, lo que dificulta que los equipos rastreen todo hasta un solo incidente

¿Cómo explotan los atacantes las vías comunes?

La mayoría del ransomware llega a través de emails de phishing, compromiso de RDP o explotación de vulnerabilidades de software. Para aumentar las posibilidades de éxito, los atacantes buscan:

  • Un pequeño conjunto de vías populares de alto riesgo, como RDP o SMB. Por lo general, se aplican a toda la organización, se asignan fácilmente y, a menudo, están mal configurados.
  • Abra puertos y activos explotables, a través de escaneos automatizados empleando scripts y rastreadores.
  • Formas de mover lateralmente a gran velocidad, empleando estas vías de alto riesgo para extender por toda la organización en cuestión de minutos.

¿Cómo funcionan los ataques de varias etapas?

La mayoría de los ataques comienzan comprometiendo un activo de bajo valor, ya que suelen ser más fáciles de secuestrar. El truco para los actores de amenazas es pasar por etapas adicionales para llegar a activos valiosos de los que pueden robar datos o cifrar, proporcionando beneficio al extorsionar a la organización víctima.

Para hacerlo, los atacantes generalmente hacen lo siguiente:

  • Aproveche la escasa visibilidad, los controles de políticas y la segmentación de una organización.
  • Conectar a Internet para descargar herramientas adicionales que lo ayuden en las siguientes etapas de un ataque o exfiltrar datos a un servidor bajo su control.
  • Causar la mayor parte del daño a través del movimiento lateral, que es el proceso de saltar en la red de un activo a otro.

Tres sencillos pasos para detener el ransomware

Con este patrón de ataque típico en mente, los CISO pueden comenzar a diseñar una respuesta: una nueva arquitectura de seguridad basada en tres componentes simples:

1. Desarrolle una visibilidad integral de los flujos de comunicación en su entorno

Esto dejará a sus atacantes sin ningún lugar donde esconder, desenmascarándolos mientras intentan comprometer el activo inicial o durante el movimiento lateral.

Para hacerlo, debe:

  • Desarrolle visibilidad en tiempo real de todos los activos, lo que le permite abordar cualquier flujo de datos no esencial o anómalo.
  • Cree un mapa en tiempo real del entorno para identificar qué cargas de trabajo, aplicaciones y puntos finales deben permanecer abiertos y cuáles se pueden cerrar.
  • Cree una vista unificada de los flujos de comunicaciones y los datos de riesgo con los que todos los equipos de operaciones puedan trabajar, reduciendo la fricción interna.


2. Cree capacidades de bloqueo de ransomware

No basta con mapear los flujos de comunicación y comprender qué activos se pueden cerrar. Debe tomar medidas para reducir la superficie de ataque y bloquear las incursiones en curso.

Haga esto de la siguiente manera:

  • Cerrar tantas vías de alto riesgo como sea posible y monitorear las que permanecen abiertas en tiempo real.
  • Cerrar los puertos que no necesitan estar abiertos, lo que reduce las posibilidades de que los análisis automatizados encuentren activos expuestos.
  • Crear un conmutador de contención de emergencia que se pueda lanzar en segundos para restringir las comunicaciones de red en caso de un ataque.

3. Aislar activos críticos

La etapa final es evitar que los atacantes lleguen a los activos críticos, obligándolos a tomar acciones más fáciles de detectar para progresar.

Esto implicará:

  • Aplicaciones de delimitación para evitar que los activos de alto valor se vean comprometidos.
  • Cerrar las conexiones salientes a direcciones IP que no son de confianza, permitiendo solo aquellas en una "lista de permitidos" aprobada.
  • Desarrollar medidas de seguridad posteriores a la violación para proteger los activos críticos y evitar que los ataques se propaguen.

La remontada comienza aquí

Ninguna organización puede ser 100% a prueba de brechas hoy en día: los atacantes están demasiado decididos, cuentan con buenos recursos y son grandes en número para eso. Pero con el enfoque correcto en la visibilidad de la red, los controles de políticas y la segmentación, puede crear una arquitectura de seguridad más inteligente con más probabilidades de aislar la amenaza.

La mayoría de los actores de amenazas son oportunistas y buscan un ROI rápido y fácil. Siga estos tres pasos para interrumpir sus planes y tendrá una gran oportunidad de evitar un compromiso serio.

Aprende más:

Temas relacionados

No items found.

Artículos relacionados

Cómo detener los ataques de ransomware basados en RDP con Illumio
Ransomware Containment

Cómo detener los ataques de ransomware basados en RDP con Illumio

Descubra cómo mapear, evaluar y bloquear la exposición a RDP con microsegmentación, MFA y aplicación de políticas, para detener el ransomware antes de que se propague a través de RDP.

Read more
Desmitificando las técnicas de ransomware mediante ensamblajes .Net: un ataque de varias etapas
Ransomware Containment

Desmitificando las técnicas de ransomware mediante ensamblajes .Net: un ataque de varias etapas

Aprenda los fundamentos de un ataque de carga útil de varias etapas empleando un conjunto de cargas útiles por etapas.

Read more
Cómo Brooks usa Illumio para evitar que el ransomware se descontrole
Ransomware Containment

Cómo Brooks usa Illumio para evitar que el ransomware se descontrole

Vea por qué Brooks eligió Illumio Zero Trust Segmentation para garantizar la confiabilidad de sus negocios minoristas y de comercio electrónico.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more