Sophos publica un informe titulado CryptoGuard: Un enfoque asimétrico en la lucha contra el ransomware, que revela que algunos de los grupos de ransomware más prolíficos y activos, como Akira, ALPHV/BlackCat, LockBit, Royal y Black Basta, están recurriendo deliberadamente al cifrado remoto para sus ataques. En estos ataques, también conocidos como ransomware remoto, los ciberatacantes aprovechan un endpoint comprometido y, a menudo infraprotegido, para cifrar los datos de otros dispositivos conectados a la misma red. CryptoGuard detectó un aumento interanual del 62% en los ataques de cifrado remoto intencional desde 2022.

“Las empresas pueden tener miles de ordenadores conectados a su red y, con el ransomware remoto, basta un dispositivo desprotegido para comprometer toda la red. La mayoría de las empresas tienen, al menos, uno y los atacantes lo saben, así que buscan ese ‘punto débil’. El cifrado remoto va a seguir siendo un problema perenne para los defensores y, según las alertas que hemos visto, este método de ataque está aumentando constantemente”, afirma Mark Loman, vicepresidente de investigación de amenazas de Sophos y cocreador de CryptoGuard.

Dado que este tipo de ataque implica el cifrado de archivos de forma remota, los métodos tradicionales de protección contra ransomware desplegados en dispositivos remotos no ‘ven’ los archivos maliciosos ni su actividad, por lo que no consiguen protegerlos del cifrado no autorizado y la posible pérdida de datos.

En 2013, CryptoLocker fue el primer ransomware extendido en utilizar el cifrado remoto con cifrado asimétrico, también conocido como criptografía de clave pública. Desde entonces, los ciberatacantes han sido capaces de intensificar el uso del ransomware, debido a las continuas y omnipresentes brechas de seguridad en las empresas de todo el mundo y a la llegada de las criptomonedas.

“Cuando hace diez años nos dimos cuenta por primera vez de que CryptoLocker se aprovechaba del cifrado remoto, sospechamos que esta táctica se iba a convertir en un reto para los defensores. Otras soluciones se centran en detectar binarios maliciosos o su ejecución. En el caso del cifrado remoto, el malware y la ejecución residen en un ordenador distinto (desprotegido) del que tiene los archivos cifrados. La única forma de detenerlo es vigilando los archivos y protegiéndolos. Por eso, hemos evolucionado CryptoGuard”, afirma Loman.

“El enfoque de la tecnología antiransomware de Sophos detiene tanto los ataques remotos como los que cifran sólo el 3% de un archivo. Apostamos por informar a los defensores sobre este método de ataque persistente para que puedan proteger adecuadamente los dispositivos”.