Los hackers agresivos actualizan su código con frecuencia para eludir las medidas implementadas por los sistemas basados en firmas.
Por: Vladimir Alem, Marketing Leader de SonicWall en América Latina
En 2016, SonicWall detectó un crecimiento del 600% en las familias de ransomware. Luego en el Informe Anual de Amenazas de 2017, evidenció una amplia gama de formas de ransomware y vectores de ataque, algunos exitosos, otros no tanto. Entonces, ¿cuál es el núcleo de cualquier ataque exitoso? ¿Por qué amenazas con impacto global como el recién WannaCry siguen generando tantos problemas?
Primero es importante volver a considerar que, ransomware es una categoría de código malicioso que utiliza distintos métodos de distribución, incluidos correo electrónico y redes sociales, que tienen por objetivo secuestrar dispositivos informáticos y datos de personas y/o empresas en busca de pago a través de monedas virtuales.
En este contexto, conforme las empresas logren entender los componentes de una campaña bien orquestada de ransomware, podrán defenderse más eficientemente de una de las formas de malware más perjudiciales de la historia. Aquí los 7 puntos principales:
1. Investigación inteligente de objetivos
Cualquier buen estafador sabe cómo encontrar a las personas adecuadas en una organización para para dirigirle el mensaje correcto.
2. Entrega efectiva
Dado que el 65% de los ataques de ransomware ocurren a través de correo electrónico, un estafador puede enviar fácilmente un archivo adjunto infectado a cualquier ejecutivo del departamento de cuentas por pagar alegando que es una factura no pagada. Por otro lado, los títulos colocados en redes sociales junto a una foto controversial atraen a las personas hacia sitios web infectados, permitiendo consolidar exitosamente alrededor del 35% de los ataques.
3. Buen código
Debido a que las empresas están reforzando su estrategia de seguridad, los atacantes deben centrarse en distintas formas de evasión:
· Los hackers agresivos actualizan su código con frecuencia para eludir las medidas implementadas por los sistemas basados en firmas.
· El código debe tener varias tácticas de evasión incorporadas para pasar disimuladamente las defensas avanzadas, inherentes a los appliances de seguridad desplegados en la red. El código de Cerber proporciona un ejemplo de cómo los atacantes usan ciertos recursos para copiar o imitar este tipo de amenazas.
· Los autores de código malicioso esperan que el objetivo no implemente una solución de seguridad multi-motor que es mucho más difícil de evadir.
· El código debe pasar entre las capas de seguridad y sistemas para crear tanta destrucción como sea posible y por lo tanto aumentar el potencial de pago.
4. Gran comprensión de los sistemas infectados
Cualquier hacker bueno sabrá lo que ha infectado y por lo tanto pedirá un rescate adecuado. Por ejemplo, un portátil USD$ 1,000, servidores USD$5,000 y en infraestructura crítica hasta cientos de miles de dólares.
De hecho, los hackers esperan que sus objetivos no tengan redes segmentadas para que puedan infectar múltiples sistemas en un solo ataque. También que las copias de seguridad sean inconsistentes para lograr con mayor facilidad que los afectados acepten la propuesta de pago. Aunque se observa que los ataques con mayor alcance y efectividad buscan pequeñas remuneraciones, incluso cada vez son menos dirigidos y quizá algo oportunistas.
5. Paciencia y persistencia
Para que las organizaciones se mantengan a salvo de un ataque efectivo, tienen que estar haciendo lo correcto todo el tiempo; en cambio los atacantes deben acertar una sola vez. Aunque tener conciencia del problema, contar con seguridad y los respaldos consistentes son ingredientes esenciales para la defensa del ransomware, no siempre son perfectos. Razón por la cual los buenos hackers siempre siguen intentando, “reempaquetando” los códigos con diferentes mecanismos de entrega y exploit kits.
6. Buena atención al cliente
Las mejores variantes de ransomware tienen buenos canales de soporte “al cliente”. Los atacantes los utilizan para negociar con las víctimas y les aseguran que obtendrán sus datos si pagan.
7. Buena gestión de pagos
Aunque algunas variantes de ransomware han utilizado otras formas de pago, bitcoin sigue siendo la mejor opción, ya que es más fácil de obtener e intercambiar, por lo que este tipo de ataques tienen una proporción de pagos más alta.
Espero que usted pueda leer estos apuntes para entender lo que está en la mente de un atacante que posiblemente tenga a su industria u organización como objetivo. Utilice estos consejos para desarrollar una buena estrategia anti-ransomware y malware.
Si bien las soluciones de seguridad avanzan de manera importante, los desarrolladores de código malicioso como WannaCry también lo hacen. Por ello, tener una comprensión general de estos temas de seguridad informática servirá para determinar en qué nos ayuda la tecnología, pero también será necesario analizar el comportamiento de las personas en el uso diario de los recursos y aplicaciones, a fin de crear e implementar políticas simples y verdaderamente efectivas que puedan ayudarnos en la lucha contra el malware. Para obtener más información acerca de las Perspectivas del escenario de Seguridad, mire esta prestación en línea de SonicWall para América Latina.