¿Cómo prevenir los ataques de ransomware antes de que se produzcan?
Superman tiene su Fortaleza de la Soledad. Batman tiene la Batcueva. Incluso el Doctor Extraño tiene el indetectable Sanctum Sanctorum. Con los ciberdelincuentes deambulando por los paisajes digitales de hoy en día, no puedes evitar empezar a buscar una fortaleza de datos que se defienda de lo peor de lo peor: el ransomware.
Cuando el ransomware ataca, el futuro de toda su empresa depende de lo que pueda recuperar y de lo rápido que lo haga. No es una hipérbole.
Según la Administración Nacional de Archivos y Registros de Washington, el 93% de las empresas que perdieron su centro de datos durante más de diez días se declararon en quiebra al año de la catástrofe. La mitad de esas empresas se declararon en quiebra inmediatamente.
Su empresa vive y muere por su capacidad de acceder, proteger y utilizar sus datos. Pero aunque es útil conocer la amenaza, es mucho más importante construir una fortaleza digital que proteja sus datos las 24 horas del día.
Es la diferencia entre la prevención y la mitigación, y es la única manera de asegurarse de que nunca tendrá que tomar la difícil decisión de pagar millones en criptomoneda a un oscuro villano del sótano o despedirse de sus datos (y de su negocio) para siempre.
Para adelantarse, es fundamental comprender el panorama actual de los ataques de ransomware y las soluciones más comunes, así como la forma en que Panzura puede ayudar a detectar y neutralizar los ataques inevitables.
El panorama de la ciberseguridad: El auge del ransomware
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) del Gobierno de Estados Unidos y el Centro Multiestatal de Análisis e Intercambio de Información (MS-ISAC) clasifican el ransomware como un programa malicioso "diseñado para cifrar los archivos de un dispositivo, inutilizando los archivos y los sistemas que dependen de ellos. Los actores maliciosos exigen entonces un rescate a cambio del descifrado".
Los ciberdelincuentes no distinguen entre servicios de misión crítica e infraestructuras vitales. Van a por objetivos que les brinden la oportunidad de pagar el rescate. De hecho, muchos ciberdelincuentes añaden ahora la extorsión a la pérdida de datos amenazando con hacer públicos los datos robados si no se satisfacen sus demandas. CISA afirma que incluso han empezado a moverse lateralmente por las redes para propagar sus malvados virus con mayor eficacia. A continuación, eliminan las copias de seguridad del sistema, lo que dificulta aún más, si no imposibilita, su restauración y recuperación. Te quieren a su merced, sin otra opción que pagarles millones.
Los delincuentes no son nada si no son resistentes dentro de su dominio. Migran y cambian a medida que se mueven las sombras: los rescates de PayPal son sustituidos por Bitcoin. Los descuentos son negociables. Los datos pueden ser liberados, pero es probable que hayan hecho una copia para sí mismos que explotarán para obtener beneficios adicionales. Algunos incluso se dirigen explícitamente a los sistemas sanitarios a raíz de COVID-19, debido a la creciente preocupación de los ciudadanos por su acceso a la atención sanitaria.
Si dedica unos minutos a hojear los informes del SonicWall Capture Lab sobre el panorama de las amenazas, descubrirá que evoluciona rápidamente, y no a su favor. Considere los siguientes ejemplos:
- Los desarrolladores de ransomware como servicio (RaaS), como DarkSide, aumentan el número de malos actores bajando el listón de los conocimientos tecnológicos y compartiendo las ganancias mal habidas con los "afiliados". Algunos incluso se centran en la "caza mayor", ataques a organizaciones grandes, públicas y bien dotadas que saben que pueden permitirse pagar. (Aparentemente, se trata también de un noble gesto de deferencia hacia los hospitales, escuelas, organizaciones sin ánimo de lucro y servicios públicos que otros delincuentes menos escrupulosos atacan). Pero no deja de ser una pistola digital apuntando a la cabeza de tus datos).
- También hay ransomwares "de diseño", como el virus Black Basta de Fin7, que robó 1.000 millones de dólares a más de 90 organizaciones en sólo seis meses.
- Por supuesto, está AtomSilo, que cifra tus archivos, obtiene información sensible (como datos personales de los empleados) y luego ofrece un plazo de 48 horas para pagar un rescate de 500.000 dólares, que pronto se duplica a un millón de dólares si no se paga. Luego, si el rescate sigue sin pagarse, las víctimas reciben la amenaza de que todos los datos privados se harán públicos.
La partida de ajedrez: Soluciones y evoluciones comunes
Este juego del gato y el ratón de la gestión de vulnerabilidades puede parecer, al principio, algo que se puede ganar con el talento adecuado, sistemas de detección y respuesta de última generación y políticas y procedimientos de seguridad rigurosos.
Sea cual sea el enfoque, los expertos en ciberdelincuencia, incluidos CISA, el MS-ISAC y el FBI, coinciden en un consejo: NO PAGUES EL RESCATE. Enviar criptomoneda a algún bobo de la Web oscura no garantiza nada. No asegura que tus datos serán descifrados y no protege mágicamente los datos de ser comprometidos cuando y si se devuelven.
En cambio, estas fuerzas de seguridad federales ofrecen numerosas buenas prácticas de TI que le ayudarán a mitigar el riesgo de que el ransomware llegue a sus datos. Empieza por conocer los vectores de ataque más comunes:
- Vulnerabilidades y configuraciones erróneas de Internet, como navegadores web y plug-ins, puertos y protocolos no utilizados como el protocolo de escritorio remoto [RDP] o el protocolo de control de transmisión [TCP] puerto 3389 o puerto TCP 445, versiones obsoletas de Server Message Block como v1 o v2, y literalmente cualquier software o sistema operativo sin parches o sin actualizar.
- Phishing mediante correos electrónicos falsos o modificados de dominios válidos, ingeniería social y secuencias de comandos de macros en archivos de Microsoft Office incrustados.
- Las infecciones de malware precursoras, como TrickBot, Dridex o Emotet, aprovechan la actividad de mando y control para infiltrarse en la red y, a menudo, lanzan ransomware sólo como tapadera de otras fechorías aún más nefastas dentro de un sistema.
- Terceros como los proveedores de servicios gestionados, que almacenan las copias de seguridad de su organización y son susceptibles de infiltración o suplantación, incluso suplantadas a través de cuentas de correo electrónico comprometidas.
Son muchas posibles vías de acceso a un sistema. Para obtener la máxima protección, hay que cubrir todas las entradas simultáneamente. Estos son los estándares de oro de la mitigación del ransomware que puede utilizar para defender estas innumerables capas de exposición:
- Realice cuanto antes todas las actualizaciones de software necesarias. Esto incluye sistemas operativos, aplicaciones, firmware, etc.
- Exija la autenticación multifactor para cualquier tipo de acceso a la red.
- Aproveche las políticas de seguridad basadas en cuentas para controlar el acceso a un nivel granular.
- Manténgase alerta. Nunca deje de supervisar sus sistemas.
En otras palabras, la vigilancia y la dedicación son sus mejores herramientas en su arsenal contra el ransomware.
Su equipo de TI debe ser implacable en la vigilancia de los comportamientos humanos tontos que hacen que el phishing y la ingeniería social sean como honeypots de la muerte digital. Su segmentación y compartimentación deben ser herméticas para evitar que el barco se hunda cuando se rompa el casco.
El ransomware es incluso una amenaza para los activos de tecnología operativa (OT) y los sistemas de control, lo que amplía aún más el territorio que tiene que defender y le obliga a cubrir más posibles vías de ataques digitales mortales.
Es una carga muy pesada. Tus copias de seguridad deben ser impecables. Tu tiempo de reacción, perfeccionado a la milésima de segundo. No puedes permitirte fallar, ni una sola vez. Los ciberdelincuentes, por su parte, sólo tienen que tener suerte una vez, sin importar cuántos intentos necesiten para encontrar una grieta en su armadura. Por desgracia, las probabilidades nunca están a su favor.
Tiene que haber algo mejor que las copias de seguridad encriptadas y fuera de línea que se almacenan cada noche en la cámara acorazada de un banco con acceso mediante escáner de retina. Hablando en serio, confiar en las copias de seguridad de hardware para proteger la integridad de los datos que son el alma de tu negocio no es nada preventivo.
Lo que necesita es una forma de impedir que el ransomware tenga poder alguno sobre su sistema. Acaba con la amenaza antes de que afecte a tu sistema y saldrás ganando.
La respuesta inesperada: Más allá de la mitigación
Resistencia automatizada. Estas dos palabras resuelven la prevención del ransomware en el panorama actual de amenazas. Gracias a la inmutabilidad del back-end de CloudFS, Panzura garantiza que todos los archivos de un despliegue sean efectivamente inmunes al ransomware. los archivos de un despliegue sean efectivamente inmunes al ransomware. En caso de ataque, Panzura simplemente restaura sus archivos a una versión no infectada y marca los archivos afectados como "sólo lectura". Entonces, sus herramientas antivirus pueden detectarlos y eliminarlos con facilidad.
Panzurano pretende detener todos los ataques de ransomware, porque se producirán. En su lugar, nos centramos en recuperarnos de la infección sin pérdida de datos. Este tipo de seguridad inmutable garantiza que sus datos sean accesibles desde el borde hasta el núcleo y la nube sin penalizaciones de rendimiento, al tiempo que los mantiene invulnerables a la pérdida.
Proporcionamos una arquitectura de datos resistente que ofrece protección integrada contra el borrado o daño accidental de datos, ya sea debido a malware, ransomware o a un empleado enfadado. El formato "Write Once, Read Many" que utilizamos para el almacenamiento de objetos es realmente inmutable, lo que significa que los datos no pueden modificarse. Los nuevos archivos o los datos creados por ediciones de archivos se almacenan como nuevos bloques de datos afiliados. Nunca se sobrescribe nada.
Las instantáneas frecuentes del sistema capturan todas las ubicaciones de CloudFS, lo que le permite restaurar sin problemas cualquier archivo a cualquier punto en el tiempo. Y, de nuevo, como son de sólo lectura, no pueden modificarse una vez capturadas. Simplemente no pueden ser comprometidos. Panzura es fundamentalmente resistente al ransomware. Aunque ninguna solución puede evitar los ataques ni defender todas las vías. Panzura garantiza que sus datos permanezcan en sus manos. Hemos cambiado las reglas del juego mediante el almacenamiento de objetos en la nube, y ninguna cantidad de phishing o puertos descuidados o parches de software obsoletos dará a los cibervillanos ventaja sobre sus datos. Con más de 34 patentes (y sumando), nuestro enfoque es realmente único.
El ransomware va a seguir evolucionando. A medida que los sistemas de detección de amenazas basados en IA mejoren su capacidad para controlar los innumerables vectores de ataque que superan las capacidades de los equipos informáticos más avanzados, los oscuros auténticos responsables de estas situaciones de secuestro de datos encontrarán nuevas formas de infiltrarse, corromper y capturar sus datos. La única solución que no pueden penetrar es aquella que no entra en su juego.
Los datos inmutables son la respuesta al ransomware. Y es la única manera de garantizar que nunca tendrás que agonizar sobre si debes o no pagar el rescate.