El ransomware no tiene fin a la vista. Es un ataque bastante simple – se instala el malware, se cifran datos/sistema, y se pide el ransom – entonces, ¿Por qué no detenemos el ransomware? Los proveedores de seguridad están plenamente conscientes de estos problemas, así como también de la forma de ataque y los métodos, pero no logran estar un paso adelante, incrementando los daños ocasionados por el ransomware desde $1 mil millones en 2016 a unos estimados $5 mil millones en el 2017, de acuerdo a Cybersecurity Ventures. Hay dos razones básicas que explican por qué el ransomware sigue siendo un “éxito” para los ciberdelincuentes.
Razón 1: Los autores del malware están mejorando el arte de su oficio
Justo cuando creemos que estamos llegando a la solución del problema del ransomware, nuestros enemigos alteran sus tácticas o producen nuevas técnicas para replicar y causar daños y miseria. Hemos visto recientemente que el ransomware, como el WannaCry, aprovecha las vulnerabilidades sin parche en los servicios Windows de pequeñas y medianas empresas para propagarse por las redes, especialmente en aquellas redes que tienen las pequeñas y medianas empresas abiertas al internet. Una técnica astuta tomada de los gusanos malware de Windows como el Sasser de finales de los 90. Hemos visto también como autores del malware desarrollan nuevas técnicas para instalar un código maligno en las computadores a través del Microsoft Office. Mientras que la amenaza planteada por los macros malignos en los documentos de Office ha existido por varios años, vemos en la actualidad el uso del protocolo de Microsoft llamado Intercambio de Datos Dinámicos (IDD) para ejecutar códigos malignos. A diferencia de los ataques basados en macro, el ataque IDD no le envía al usuario una ventana emergente, entrada o advertencia, de modo que la explotación es más efectiva y tiene mayor éxito.
Los avances tecnológicos de los autores del malware son significativos, pero sus habilidades interpersonales, como la ingeniería social, también siguen mejorando. Una mejora en la escritura, presentaciones de correo electrónico más realistas, y hasta tácticas de ingeniería social más sólidas son todas causas que explican el incremento de su éxito.
Y si es bueno en su trabajo, puede ofrecer el servicio y sacar una ganancia en aquellos que tienen un interés similar, pero que carecen de sus habilidades. Entonces, ahora existen “el-delito-como-un-servicio” y “malware-como-un-servicio”, promoviendo aún más el problema del ransomware. La disponibilidad y la facilidad para usar estas plataformas significa que cualquiera puede cometer delitos informáticos y utilizar el ransomware con poca o nada de experiencia en códigos o malware. Estas plataformas y redes son operadas por bandas organizadas de delito informático, para obtener grandes ganancias, así que no los veremos desaparecer pronto.
Razón 2: Nosotros somos los causantes de nuestros propios problemas
Naturalmente hay un gran problema que muchos de nosotros no hemos tratado todavía, y esa es la debilidad que nosotros mismos causamos que se convierte en la forma de entrada para los ciberdelincuentes. WannaCry fue tan exitoso porque hacía uso de una vulnerabilidad de windows sin parche. NotPetya funcionó de la misma manera. Entonces, ¿cuáles son las debilidades?
- Una falta de parches – Nos sigue saliendo el tiro por la culata porque no contamos con una sólida protección y rutinas de prevención que incluyan el parcheo de los sistemas operativos y las aplicaciones, especialmente los aprovechados por los autores de ransomware para obtener acceso.
- No hay backups (de confianza) suficientes – Una falta de backups validados (la herramienta de recuperación primaria del ransomware) nos puede dejar fuera del juego y con bajo rendimiento. Es una simple ecuación: si usted tiene backups, elige la recuperación sobre el ransom.
- Conciencia del usuario – Los usuarios simplemente no entienden la amenaza, el impacto o el costo de una infección del ransomware. Pero, ellos no deberían entenderlo – tienen un trabajo en ventas o finanzas, no en seguridad TI. Aun así, incorporar un entrenamiento de phishing y de pruebas puede ser una diferencia enorme.
- Una falta de privilegio mínimo – Mientras más acceso tiene un usuario, mayor será el alcance de infección que tiene el ransomware. Con 71% de los usuarios finales que dicen que tienen acceso a los datos de la empresa que no deberían tener[1], TI tiene mucho trabajo que hacer para garantizar que los privilegios estén bloqueados.
- Sin defensa en capas – Una única solución de seguridad, como un antivirus, no puede proteger por completo a la organización. Se necesitan soluciones como IPS, un portal de correo electrónico, protección de extremos, y muchas cosas más, todo eso trabajando en conjunto para lograr que el ransomware tenga el mínimo acceso posible.
Acciones contra el problema del ransomware
¿Qué debería hacer para evitar que el ransomware tenga tanto éxito? ¿Esconderse? ¿Correr? ¿Desconectar el internet? Probablemente ninguna de estas ideas sirva para resolver el problema, aunque esté fuera de vista y todo eso. Mencioné brevemente con anterioridad la idea de muchas capas finas de defensa, y aunque la “defensa en profundidad” parezca una idea de la vieja escuela y extinta, cuando perdemos el control de perímetro de la red, existen algunas ideas que podemos tomar prestadas:
- Defensa en profundidad – Asegúrese de contar con una postura de seguridad fuerte y proactiva, incluyendo: parches, privilegio mínimo, entrenamiento de usuario, entre otros.
- Protege los extremos – Las soluciones de protección de extremos y de escritorio pueden ofrecer cierto grado de protección, sin embargo, tenga en cuenta que el malware puede adaptarse a estas soluciones y evitarlas.
- Prepárese para lo peor – Ransomware parece saber cómo encontrar la forma y necesita asegurarse de que podrá recuperarse cuando suceda. Backups, backups remotos y backups en diferentes tipos de medios son esenciales. Asegúrese de evaluar su recuperación también, ya que no querrá saber cómo restaurar un backup con ira. Dicen que se trata de entrenar duro para pelear fácil. Nunca ha sido más cierto para la planificación de contingencias TI.
Domine estas tres cosas y estará más cerca de evitar que la lluvia de ransomware arruine su día, noche o fin de semana.
[1] Ponemon, Datos de la Empresa: ¿Un activo protegido o una bomba de tiempo? (2014)