Los ataques de ransomware remoto aumentan en un 62%

Los ciberdelincuentes siguen perfeccionando sus técnicas de ataque a empresas y particulares, siendo los ataques de ransomware remoto los más comunes actualmente. En ellos, los hackers aprovechan un endpoint comprometido e infraprotegido para cifrar todos los datos de los dispositivos que se encontrasen conectados a la misma red, atentando contra su vulnerabilidad.

En el informe reciente CryptoGuard: Un enfoque asimétrico en la lucha contra el ransomware, Sophos señala que este tipo de ataques han aumentado en un 62% por parte de numerosos grupos de ciberatacantes como Akira, ALPHV/BlackCat, LockBit, Royal y Black Basta.

La solución eficiente de Sophos

En este sentido, Sophos emplea su tecnología antiransomware conocida como CrytoGuard (adquirida en 2015 y que incluye todas las licencias oportunas) para supervisar el cifrado malicioso de archivos y proporcionar una protección inmediata, así como funcionalidades de restitución. Todo ello incluso cuando el ransomware no se inicia desde un host protegido.

La tecnología CrytoGuard de Sophos actúa salvaguardando a un endpoint comprometido, por lo que no busca el ransomware, sino que se centra en los archivos. Para Mark Loman, vicepresidente de investigación de amenazas de Sophos y cocreador de CryptoGuard, el cifrado remoto continuará siendo un problema perenne para los defensores, al incrementarse este tipo de ataque considerablemente durante los últimos meses.

Los atacantes son conscientes de que cualquier empresa tiene, al menos, un dispositivo comprometido, y lo aprovechan como vía de entrada para el ataque de ransomware remoto. La tecnología antiransomware es la última línea de defensa de protección por capas, por lo que solo se activará si el ciberdelincuente la accionase en la cadena de ataque.

Los métodos tradicionales de protección no son capaces de detectar el ransomware desplegado en dispositivos remotos, por lo que no pueden protegerlos del cifrado no autorizado y de la consecuente pérdida de datos. Con la tecnología CryptoGuard, Sophos adopta un enfoque innovador.

Se trabaja analizando el contenido por parte del equipo de investigación de Sophos X-Ops. Así pues, se supervisará si se ha cifrado algún dato y se podrá detectar la actividad del ransomware en cualquier dispositivo red, aunque no hubiese malware en el mismo.

CryptoGuard se centra en los archivos. Para ello, aplica un escrutinio matemático a los documentos detectando signos de manipulación y cifrado. Se define como una estrategia autónoma que no depende de indicadores de violación, firmas de amenaza, IA, búsquedas en la nube o conocimientos previos para tener plena eficacia.

Así pues, se trabaja por aumentar el coste y la complejidad para que los atacantes consigan cifrar los datos y abandones sus objetivos. Es una estrategia de defensa asimétrica muy destacable.

Antecedentes históricos

Antes de CrytoGuard, en 2013, CrytoLocker se presentaba como el primer ransomware empleado para el cifrado en remoto con cifrado asimétrico, conocido como criptografía de clave pública. Los ciberdelincuentes han ido perfeccionando e intensificando el uso del ransomware desde entonces, atentando contra las constantes brechas de seguridad presentes en las empresas de todo el mundo, algo más latente aún con la llegada de las criptomonedas.

CrytoLocker se aprovechaba del cifrado remoto y a la par pasaba a convertirse en un auténtico reto para los defensores. Loman asegura que han ido evolucionando hacia CrytoGuard ante la necesidad de ofrecer soluciones que detectasen binarios maliciosos o su ejecución. También hay que tener en cuenta que, en el cifrado remoto, el malware y la ejecución se encuentran en un ordenador diferente y desprotegido al que tiene los archivos cifrados. Por consiguiente, solo se podrá detener si se vigilan dichos archivos y se protegen.

El ransomware remoto es un importante problema para las empresas, por lo que contribuye a la longevidad del ransomware en general. La lectura de datos a través de una conexión red es más lenta que desde un disco local, por lo que muchos atacantes han logrado cifrar estratégicamente solo una fracción de cada archivo.

Con el ransomware remoto se busca maximizar el impacto en un tiempo mínimo, reduciendo la defensa y evitando que los sistemas de seguridad tuviesen capacidad de reacción frente a los ataques.

El enfoque de la tecnología antiransomware de Sophos detiene los ataques remotos y los que cifran sólo el 3% de un archivo. De ahí la importancia de que los sistemas de seguridad informática de las empresas se encuentren informados permanentemente y con una formación eficiente para garantizar la protección adecuada de los dispositivos. 

La entrada Los ataques de ransomware remoto aumentan en un 62% es original de MuySeguridad. Seguridad informática.