Avances en la protección contra el ransomware de ESET

Siguiente
James Shepperd

En el mundo digital de hoy, existen múltiples problemas de ciberseguridad que las corporaciones deben enfrentar, incluyendo al ransomware. El ransomware es una variante de código malicioso que cifra o bloquea los contenidos de un dispositivo y exige un rescate para reestablecer el acceso a la información. Entre los equipos en cuestión se incluyen dispositivos móviles y PCs, aunque también servidores y dispositivos IoT.

Cuando una infección de ransomware es exitosa, las compañías pueden perder acceso a su propiedad intelectual, sufrir un freno en su producción o perder clientes – lo que añade daños a la reputación. Al igual que con otros ataques informáticos, las infecciones de ransomware pueden resultar en grandes pérdidas financieras – la compañía farmacéutica británica Reckitt Benckiser estimó que el ransomware NotPetya le costó unos US$140 millones.

En diálogo con ESET, varias organizaciones identificaron al ransomware como su mayor problema de seguridad, aunque esto no se debe necesariamente a la prevalencia de este tipo de malware. “Las compañías nombraron al ransomware como su principal preocupación debido ataques con alta publicidad, como WannaCry y NotPetya, que causaron daños de miles de millones de dólares, haciendo que las marcas afectadas figuraran en los titulares de los medios más reconocidos del mundo. Por ello, incluso aquel que nunca ha experimentado una infección de ransomware lo percibe como una amenaza grave”, explicó Jakub Debski, Principal Product Manager de ESET.

Recientemente, nuevas variantes de ransomware, como Sodinokibi y Ryuk han estado causando grandes daños en los negocios. Un aspecto interesante de Ryuk es que ha sido distribuido como payload del poderoso troyano Emotet, a través de correos maliciosos. Estas amenazas han sido exitosas al requerir el pago de un rescate en varias organizaciones reconocidas. En consecuencia, la tendencia de “caza mayor” que prevalece muestra que (a) el ransomware sigue siendo un arma temida y (b) que pueden estar desarrollándose otros compromisos para la seguridad de las redes dentro de una organización.

Aun así, existen otras vías para una infección de ransomware. Entre los ejemplos destacan WannaCry, que sigue siendo un caso modelo para concientizar usuarios acerca de las consecuencias de las vulnerabilidades no emparchadas, y NotPetya, que mostró las consecuencias de un ataque a la cadena de suministro. Podemos también referir a amenazas recientes como BlueKeep, que ha sido aprovechada para campañas de minería de criptomoneda y podría serlo para introducir ransomware mediante vulnerabilidades en productos RDP (Remote Desktop Protocol), ampliamente utilizados.

El correo sigue siendo el canal más utilizado para infecciones de ransomware

En respuesta a las preocupaciones y necesidades de los clientes, ESET integró Ransomware Shield (una herramienta que evalúa el comportamiento del código malicioso para detectar si efectivamente es ransomware) a sus soluciones de seguridad empresariales. ESET ya ofrece a sus clientes la detección de malware basada en el comportamiento de última tecnología en el Sistema de Prevención de Intrusiones basado en el Host (HIPS, por sus sigas en inglés), permitiendo a los usuarios establecer sus propias reglas para la protección contra el ransomware. Sin embargo, si algo lograra sobrepasar las otras 11 capas de seguridad previas, el Ransomware Shield se activará automáticamente.

Dado que el correo sigue siendo el método de distribución de ransomware más común, a través del cual se entrega un archivo de descarga inicial que es seguido por el ransomware como infección secundaria, aparece ESET Dynamic Threat Defense (EDTD). EDTD ofrece protección adicional al incluirse en Mail SecurityFile Security, y productos de protección Endpoint, y utiliza tecnología de sandboxing basado en la nube y múltiples modelos de machine-learning para detectar amenazas nunca antes vistas.

A modo de ejemplo, la tecnología de machine-learning de ESET descubrió recientemente una muestra sospechosa en equipos de universidades de Hong Kong, que los investigadores de ESET identificaron como un lanzador actualizado que era aprovechado por el grupo Winnti.

Someter muestras sospechosas para un análisis de machine learning en la nube vía EDTD, es de especial importancia para aprovechar al máximo el procesamiento en la nube y sacar ventaja de más modelos para la detección de malware. Los adjuntos clasificados como maliciosos por EDTD son luego eliminados del correo, informando al receptor y a la red de la detección. 

La creciente necesidad de concientizar a los empleados

El debate alrededor de si la causa de un ataque de ransomware exitoso es la habilidad del atacante o la negligencia de los empleados en sus hábitos de seguridad no tiene un claro ganador. Independientemente de ello, el riesgo de una infección de ransomware es una de las tantas razones por la que las compañías deberían concentrarse en entrenar a sus empleados en mejores prácticas de seguridad.

En el caso de WannaCry, la infección fue distribuida al explotar una vulnerabilidad en Microsoft Windows. Para prevenir el ataque, las compañías solo necesitaron instalar los parches de seguridad disponibles, y aquellas que no lo hicieron sufrieron las consecuencias. “No es un detalle pequeño que tanto las compañías como los consumidores asegurados por las múltiples tecnologías de ESET no sufrieran el impacto de WannaCry, ya que ESET ha tomado los pasos apropiados para añadir la detección de red del exploit dos semanas antes del mayor ataque de ransomware de la historia”, agregó Debski.

¿En qué invierten las compañías?

Las compañías deberían ver si se han implementado las medidas correctas que contribuyen a la seguridad. “Vemos una tendencia de algunas compañías en gastar cientos de miles de millones de dólares en soluciones avanzadas, pero no tantas en personal bien entrenado que tome responsabilidad para desplegar y administrar medidas de seguridad en una red. En cambio, las compañías suelen elegir aceptar el riesgo de ciertas amenazas porque no esperan ser víctimas de un ataque de ransomware”, comentó Debski. 

Desplegar una solución de seguridad en múltiples capas como ESET Endpoint Protection deberían ser prioridad para las empresas, seguido de un mantenimiento sostenido y de buenas prácticas de seguridad para asegurar un abordaje holístico de la seguridad.


Si quiere obtener más información sobre cómo proteger su compañía del ransomware y ataques similares, consulte los siguientes recursos:

1.    RANSOMWARE: una perspectiva corporativa

2.    Best practices to protect against Filecoder (ransomware) malware

3.    ESET vs. crypto-ransomware (en inglés)

4.    ¿Qué es el ransomware?