Entradas Etiquetadas :

Ransomware

ransomware bitcoin prestigia seguridad
Ransomware y Bitcoin ¿debo pagar el secuestro de mi empresa?
1020 680 Prestigia

Uno de los ciberataques más comunes y graves involucra el ransomware, en el que un grupo de cibercriminales bloquea los datos de una organización, cifrándolos hasta que se cumple con la demanda de rescate para permitir descifrarlos a sus legítimos dueños. Estos ataques están aumentando no solo en número, sino también en gravedad. En los años 2021 y 2022, los pagos promedio de ransomware aumentaron en un 60 % y se usó bitcoin para la mayoría de los pagos.

Bitcoin representa aproximadamente el 98 % de los pagos de ransomware. Ya sea que una organización o PYME pague el rescate o intente recuperar los datos de forma independiente, una comprensión clara de bitcoin es esencial para la planificación de respuesta a incidentes cibernéticos.

Bitcoin, al igual que otras criptomonedas, permite a los ciberdelincuentes recibir fondos con un alto grado de anonimato, lo que dificulta el seguimiento de las transacciones. Bitcoin ganó notoriedad como la moneda común de la Dark Web, donde sigue siendo popular. Se considera la criptomoneda esencial: fácil de adquirir y usar, lo que hace que los actores de amenazas crean que es más probable que las víctimas paguen. Ocasionalmente, los cibercriminales exigen otras criptomonedas, como Ethereum, Monero y Zcash. Estos tienen características de privacidad adicionales que dificultan el seguimiento de los beneficiarios, pero son las excepciones a la regla.

Por lo general, los extorsionadores tienden a mantener cantidades pequeñas, entre $100,000 y $2 millones, según rescates que se han podido notificar por organizaciones. Estos tienden a ser cantidades de dinero que valen la pena, pero también cantidades que las empresas están dispuestas a pagar rápidamente para evitar la mala publicidad y el tiempo de inactividad prolongado.

El objetivo de los cibercriminales es evitar que las autoridades se involucren en primer lugar, porque una vez que los investigadores siguen el rastro de las transacciones de Bitcoin, es cada vez más común que los delincuentes queden expuestos, pierdan su dinero y eviten ser arrestados. Aun así, Bitcoin continua de moda para la extorsión de ransomware en primer lugar.

Porque NO pagar

Pagar un rescate de un ataque de tipo ransomware, lo único que fomentaría es la acción de los criminales, por lo tanto, no es aconsejable pagar el rescate de tus datos para evitar fomentar la criminalidad en Internet y evitar adicionalmente ser objeto de futuros chantajes.

Todas las organizaciones, sin importar su tamaño o dimensión, son vulnerables a los ataques de ransomware. Comprender los panoramas de pago de ransomware y reconocer las vulnerabilidades por adelantado es fundamental. Las organizaciones pueden tomar varias medidas proactivas para reducir el riesgo de verse afectadas por las demandas de pago de ransomware, que incluyen:

Las organizaciones y PYMES se enfrentan a los desafíos del cada vez más complejo mundo del cibercrimen, pueden proteger mejor su negocio, sus activos y su reputación. Tomar medidas proactivas antes de un ataque de ransomware puede ayudar a fortalecer la postura de seguridad de tu organización y dificultar que los actores de amenazas se aprovechen.

En Prestigia Seguridad tenemos planes formativos para empleados donde nuestros expertos en seguridad dan charlas de concienciación.

Y vosotros, ¿Tenéis planes formativos enfocados a la ciberseguridad para vuestros empleados? Si habéis realizado este tipo de formaciones ¿Creéis que este tipo de formaciones deberían de ser obligatorias para toda la organización? Desde Prestigia Seguridad, nuestros expertos están especializados en test de intrusión, análisis de malware y respuesta a incidentes, no dudes en contactar con nosotros para informarte.

errores ransomware prestigia seguridad
Errores comunes bajo ataques de Ransomware
1020 680 Prestigia

Cuanto mejor manejéis los ataques de tipo ransomware cuando sucedan, menor será la posibilidad de que el impacto sea mayor. En este artículo, veremos las cosas que puedes hacer para reducir la probabilidad de un ataque de malware y cómo manejarlo si ocurre, tanto durante el ataque como después y evitar posibles errores ante el pánico de la situación.

Si pensamos en los ataques de tipo ransomware (malware que cifra los datos de nuestros equipos y servidores como rehenes), los cibercriminales pueden ganar millones de euros con una sola variedad de ransomware, por lo que el motivo financiero su principal objetivo. Como sabéis, abundan las oportunidades para distribuir el malware, desde ataques de phishing contra usuarios hasta incrustarlo en parches de software legítimos atacando a la cadena de suministro.

¡Que no cunda el pánico!

Obviamente, no existe una defensa perfecta contra el ransomware. Si la hubiera, los ataques no habrían aumentado en órdenes de magnitud estratosférica, especialmente en los últimos años. Dicho esto, hay pasos que puede seguir para reducir el riesgo, como por ejemplo formar al personal para detectar y evitar ataques de phishing y para no abrir archivos adjuntos de correo electrónico peligrosos, ayudará a mantener alejado el ransomware de nuestra empresa o pyme. Mantener el software actualizado ayuda a detener los ataques que aprovechan las vulnerabilidades conocidas, sin embargo, los expertos también recomiendan un enfoque de seguridad en capas que incluye firewalls, análisis web y antivirus.

La prevención y preparación es excelente y evitará ataques de ransomware, pero tu defensa más importante contra el ransomware es la mitigación: planificar con anticipación para limitar el daño y ayudar a recuperarse rápidamente de un ataque. Puedes estar mejor preparado antes de que se produzca un ataque de ransomware si estableces una relación con un proveedor de respuesta a incidentes de igual forma, externalizando tu seguridad. Calma bajo fuego cruzado, os damos algunos consejos:

  • No apagues las maquinas infectadas, dejar las máquinas en funcionamiento puede preservar datos vitales para una investigación forense posterior.
  • Las máquinas infectadas se pueden aislar desconectándolas de la red, ya sea desconectando los cables de red o desactivando los puertos en la infraestructura de red.
  • No borres los ficheros cifrados, es posible que los necesites para la recuperación de los datos.
  • No restaurar la copia de seguridad hasta que se conozca el alcance completo del incidente y se haya creado un plan de remediación.
  • Asegura tu perímetro de red.
  • Aislar copias de seguridad.
  • Cierra los puertos expuestos en internet y cualquier otro acceso externo abierto.
  • Cambiar credenciales de usuario de los administradores.
  • Cambiar las credenciales de los usuarios.
  • Recopilar evidencia del malware.
  • Evalúa y planifica tu estrategia de restauración a través de las copias de seguridad disponibles.

Es imposible detener todos los ataques, pero hay pasos que las empresas y pymes pueden tomar para disminuir las posibilidades de infectarse con malware. A medida que los atacantes continúan buscando nuevas formas de explotar nuestros sistemas e información, debemos permanecer atentos para asegurarnos de haber realizado nuestros deberes para ayudar a prevenir y detectar estos ataques.

En vuestra empresa, ¿habéis sufrido algún tipo de ataque de malware? ¿Cómo actuasteis ante el incidente de seguridad? Desde Prestigia Seguridad, nuestros expertos están especializados en test de intrusión, análisis de malware y respuesta a incidentes, no dudes en contactar con nosotros para informarte.

Ransomware Calavera Hacker Hacking
Consecuencias de una mala planificación IT ante un ciberataque.
1024 693 Prestigia

Uno de los negocios más lucrativos para los delincuentes es la Ciberdelincuencia. Se considera que ya suponen un valor de alrededor de un 0,8% del PIB Mundial (entre 445.000 y 600.000 millones de dólares). Y esto es debido al anonimato y protección de internet, y a la par, a la facilidad para hacerlos. Además, los ciberdelincuentes se aprovechan de los errores humanos en la mayoría de casos para que sus ataques sean efectivos. Los últimos estudios indican que el 95% de los casos de ciberataques necesitan de un fallo humano (o más) para ser efectivos.

Uno de los ataques más efectivos (y lucrativos) son los ataques Ransomware (o también conocidos como Cryptolockers). Estos ataques aprovechan un descuido de un usuario o una mala implementación de seguridad de un entorno empresarial para poder ejecutar un programa (conocidos como Ransomware) que encriptará la información de la empresa.

Como muestra, os explicamos uno de los últimos casos que hemos conocido. En este caso fallaron muchas cosas, y los atacantes pudieron hacer uno de los ataques más efectivos que hemos visto.

Vamos a exponer desde el punto de vista técnico un ejemplo en el que la afectación ha sido importante y en que unas medidas de seguridad insuficientes y ciertos errores en la planificación IT propiciaron unos importantes quebraderos de cabeza a la empresa.

La empresa empieza a detectar ficheros encriptados, con afectación a un número importante de servidores, lo que le impide trabajar con normalidad hasta el punto de dejar la empresa totalmente inoperativa ya que dejan de estar operativos los sistemas IT. Cuando se intenta recurrir a las copias de seguridad estas también están afectadas ya que el ataque se propaga también a través del sistema de copias de seguridad que no esta correctamente aislado y además uno de los equipos de backup esta averiado.

Se identifica que el ataque se ha propagado y generado distintos códigos desde varios servidores, lo que dificulta la recuperación de los datos. Se analiza el ataque en busca de soluciones para su recuperación pero no hay ningún sistema conocido que permita esta gestión, con lo que a la empresa solo le queda la opción de contactar con el atacante y pagar el rescate, la peor de las opciones y que genera muchas dudas sobre la efectividad, a parte del alto riesgo que conlleva.

Esta gestión finalmente les permite una recuperación parcial de los datos, al ser diferentes servidores el ataque genera diferentes códigos y incluso pagando el rescate resulta complicado recuperar los datos. Con la ayuda de los especialistas técnicos en ciberseguridad se consigue agilizar la localización de las fuentes del ataque y agilizar el proceso de recuperación, así como lo mas importante de cara al futuro, que es evitar que vuelva a ocurrir este grave suceso.

Todo ello lleva a esta empresa a estar con graves afectaciones durante mas de dos semanas, y afectaciones menores que se prolongan durante meses hasta volver a la normalidad. Analizando el ataque y con una posterior auditoria podemos resumir qué ha fallado y los principales errores cometidos que han permitido esta grave afectación:

  1. Errores en la planificación de la infraestructura IT: gran cantidad de usuarios (incluso externos) con permisos de administrador que permiten al atacante llegar hasta todos los recursos y datos de la red. Insuficiente seguridad en el acceso a los datos críticos de la empresa. Configuración DNS errónea que impide identificar correctamente el origen del ataque detectado por la herramienta de seguridad perimetral y endpoint.
  2. Copias de seguridad incorrectamente configuradas: sin copia o réplica aislada y encriptada en la nube u offline en soporte externo.
  3. Ausencia de elementos adecuados de protección a nivel perimetral y endpoint. Las soluciones avanzadas permiten detectar ataques desconocidos de este tipo mediante nuevos sistemas de análisis: deep inspection, escaneo en la nube via sandboxing, análisis de comportamiento y machine learning, entre otros.
  4. Comunicaciones inseguras: accesos desde fuera de la empresa no suficientemente controlados, aun disponiendo de conexiones VPN. Wifi insegura con acceso a los datos de la empresa. Redes incorrectamente segmentadas.
  5. Carencia de formación y phishing experiment a los usuarios: es necesario que los usuarios dispongan de una formación adecuada en el uso de la tecnología y la prevención de ataques, focalizado principalmente a la detección precoz de phishing, spear phishing y spoofing. Se recomienda también testear mediante herramientas de phishing experiment y similares la efectividad de la formación realizada a los usuarios.
  6. Ausencia de plan de contingencia. El hecho de no disponer de un plan de contingencia ante este tipo de situaciones provoca una crisis importante, disponer de este plan ayudará a volver cuanto antes a la normalidad y operativa diaria en un breve plazo de tiempo.

Todos estos puntos nos permiten llegar a conclusiones sobre las acciones a realizar para minimizar las probabilidades de recibir este tipo de ataques y evitar que nos puedan afectar gravemente, ya que a día de hoy nos es posible evitarlos al 100%. El paso previo para la mayoría de empresas es realizar una auditoria de seguridad, para luego implantar las soluciones recomendadas en las conclusiones.

Hoy en día la inversión en tecnologías y concienciación en ciberseguridad es una prioridad para proteger debidamente la empresa ante afectaciones directas a tesorería, reputación y productividad y así deben valorarlo los consejos de administración y dirección de las empresas.

*Post invitado, por Jordi Bartes, IT Consultant en Infoself Grouppartner de Prestigia Seguridad

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.

Configuración de Cookies

Debajo puede elegir el tipo de cookies que permite en esta web. Las funcionales son necesarias para el funcionamiento de la web. Las analíticas nos ayudan a ofrecer contenido más interesante según sus intereses. Las de Social Media ayuda a compartir el contenido que considere interesante.

Pulse el botón "Guardar configuración de cookies" para aplicar selección.

FunctionalOur website uses functional cookies. These cookies are necessary to let our website work.

AnalyticalOur website uses analytical cookies to make it possible to analyze our website and optimize for the purpose of a.o. the usability.

Social mediaOur website places social media cookies to show you 3rd party content like YouTube and FaceBook. These cookies may track your personal data.