Cómo detectar el ransomware: comprender las señales de infección

Con el ransomware volviéndose más sofisticado, las organizaciones están bajo la constante amenaza de pérdida de datos y violaciones. Según Statista, un número creciente de organizaciones ha experimentado ataques de ransomware por año desde 2018 y el pico se alcanzó en 2021 con el 68.5% de las empresas. Además, el número de familias de ransomware detectadas en 2020 fue un 34% más grande que en 2019 (en comparación con 127 familias en 2020).

En esta publicación de blog, definimos el ransomware y arrojamos luz sobre los principales canales de infección y técnicas de detección de ransomware. Además, repasamos las soluciones para identificar el ransomware, prevenir una mayor infección y aumentar la resiliencia de sus datos contra el ransomware.

¿Qué es el Ransomware?

El ransomware es un software malicioso que se utiliza para ingresar a entornos informáticos personales/corporativos y cifrar o bloquear datos. El objetivo de los ataques de ransomware es extorsionar un rescate de las víctimas a cambio de restaurar su acceso a los datos cifrados/bloqueados.

Cómo se Infectan los Sistemas con Ransomware: 5 Vectores de Infección

Para evitar que los sistemas informáticos de su organización se infecten con ransomware, debe conocer las formas más comunes en que se propaga el malware. De esta manera, puede aprender qué componentes del sistema están más expuestos y vulnerables a los ataques de ransomware y cómo detectar rápidamente la actividad de ransomware en su infraestructura.

Las formas en que su organización puede convertirse en víctima de ransomware son innumerables. Sin embargo, aquí están los vectores de infección de malware más prevalentes:

• Mensajes de correo electrónico sospechosos que incitan al destinatario a hacer clic en un enlace o descargar un archivo adjunto que contiene malware.
• Sitios web maliciosos creados para engañar a las personas para que naveguen por sus páginas y, eventualmente, se infecten con ransomware al hacer clic en enlaces maliciosos.
• Las redes sociales a menudo se perciben como plataformas confiables y legítimas, lo que hace que las personas confíen en ellas de inmediato. Generalmente, el malware se propaga a través de aplicaciones maliciosas, anuncios, complementos y enlaces en plataformas de redes sociales. Esas aplicaciones, anuncios, enlaces y archivos adjuntos del navegador luego convencen a los usuarios de descargar contenido malicioso, como ransomware o agentes de criptomining.
• El malvertising es una forma de publicidad en línea que contiene código malicioso. Haces clic en el enlace en un sitio web aparentemente legítimo, y tu computadora puede infectarse automáticamente con malware.
• El ransomware móvil se ejecuta a través de aplicaciones móviles inyectadas con código malicioso. Al descargar tales aplicaciones, puedes permitir que el malware infecte tu teléfono móvil en segundos y luego propague la infección a tu computadora la próxima vez que conectes los dos dispositivos.

Técnicas de Detección de Ransomware

Para detectar ransomware que intenta intruir o ya está interrumpiendo su entorno de TI, puede utilizar un conjunto de herramientas y técnicas que ayuden a revelar archivos maliciosos y actividades sospechosas. Los especialistas en TI distinguen los siguientes tipos de técnicas de detección:

• Basado en firmas
• Detección basada en comportamiento
• Engaño

A continuación, revisamos cada técnica de detección de ransomware en detalle.

Detección basada en firmas

Basado en firmas Los métodos comparan un hash de muestra de una cepa de ransomware con firmas encontradas previamente. Esta es una técnica común de primer paso para soluciones antivirus y plataformas de seguridad. Estas verifican los fragmentos de datos empaquetados en un archivo ejecutable antes de lanzar ese archivo. La técnica implica detectar fragmentos de código similares al ransomware temprano y bloquear la ejecución del código infectado.

El método se utiliza para construir la defensa básica de una organización. Sin embargo, aunque detectan cepas de ransomware conocidas de manera efectiva, los métodos basados en firmas pueden fallar con malware nuevo. Además, los hackers invierten mucho esfuerzo en actualizar su malware y herramientas de neutralización de seguridad, lo que dificulta más la detección de firmas.

Actualmente, hay varios proveedores de software de detección de malware compitiendo en el mercado. Cada uno de ellos proporciona un conjunto destacado de herramientas de detección de ransomware que pueden ser efectivas hasta cierto punto. Sin embargo, según el informe de Sophos, más del 50% de los ataques de ransomware en 2021 tuvieron éxito, lo que significa que ningún sistema de detección de malware puede revelar ransomware con un 100% de garantía.

Detección basada en comportamiento

Los métodos de detección de ransomware basados en el comportamiento comparan los comportamientos históricamente conocidos con otros nuevos. Los especialistas y las herramientas automáticas supervisan las actividades de los usuarios y las aplicaciones dentro del entorno para detectar cambios inusuales en los sistemas de archivos, tráfico inusual, procesos desconocidos y llamadas a la API, entre otros signos.

Compruebe y recuerde las señales de comportamiento comunes de los intentos de ataque de ransomware o la infección exitosa del sistema:

• Correos electrónicos de spam y phishing: el phishing es el enfoque más común que utilizan los piratas informáticos para distribuir ransomware.
• Reducción del rendimiento: si los nodos de su infraestructura de TI funcionan más lentamente de lo esperado, asegúrese de reaccionar ante una posible intrusión de ransomware.
• Actividades de inicio de sesión sospechosas continuas: cuando los intentos de inicio de sesión fallidos ocurren regularmente y en varias cuentas desde ubicaciones y dispositivos inusuales, es muy probable que alguien esté tratando de obtener acceso no autorizado a los sistemas de TI de su organización.
• Detectados escáneres de red no autorizados: cuando no sabe quién inició el procedimiento de escaneo de red ni con qué fin, debe investigarlo, ya que podría tratarse de una actividad maliciosa.
• Posibles ataques de prueba: los piratas informáticos pueden iniciar algunos ataques ligeros en algunos nodos para probar la resiliencia y el tiempo de reacción del sistema de protección de su organización antes de lanzar un ataque a gran escala.
• Desactivación o eliminación de software de seguridad: Ninguna de las interrupciones del sistema de protección debe ser ignorada, porque incluso un mal funcionamiento a corto plazo significa una brecha abierta para una infección por ransomware.
• Encriptación de datos en algunos nodos: La exitosa encriptación de datos en cualquier nodo de su sistema indica una brecha en su protección informática que los hackers pueden utilizar en un ataque más grave.
• Detección de herramientas de hacking conocidas: En caso de que notes aplicaciones como Microsoft Process Explorer, MimiKatz, IOBit Uninstaller y PC Hunter en el entorno de tu organización, debes realizar una revisión completa de seguridad de cada nodo.
• Actividad inusual alrededor del Directorio Activo: Hay un caso conocido de hackers que utilizan el Protocolo de Escritorio Remoto (RDP) para acceder a los servidores AD protegidos de instalaciones de petróleo y gas e inyectar ransomware Ryuk directamente en el script de inicio de sesión de AD.
• Intentos de corrupción de copias de seguridad: Las plataformas de almacenamiento de copias de seguridad están entre los principales objetivos de los ciberataques. Cualquier actividad sospechosa alrededor del almacenamiento de copias de seguridad, ya sea en discos físicos o en la nube, puede ser un indicio de un ataque de ransomware potencial o en curso.

Detección basada en la decepción

Justo como los hackers regularmente intentan engañar a los sistemas de detección de amenazas digitales de una organización, los especialistas en seguridad informática han ideado maneras de atraer a los actores maliciosos. Una de las carnadas más comunes es conocida como una trampa de miel: un servidor o área en el entorno informático de una organización que contiene datos que parecen ser de valor para los hackers. Sin embargo, este entorno está completamente aislado del sitio y puede ser utilizado para monitorear y analizar tácticas de ataque.

Las amenazas en constante evolución hacen que las empresas utilicen todas las opciones de seguridad disponibles para prevenir brechas y pérdida de datos, por lo tanto, combinar métodos de detección de ransomware es una práctica común. Además, una buena estrategia para detectar y combatir proactivamente los ataques de ransomware es entender las tácticas de los atacantes y prevenir la infiltración. A continuación, se presentan algunas recomendaciones para identificar y prevenir ataques.

Cómo Identificar y Prevenir un Ataque

Recomendamos que adopte las siguientes prácticas para prevenir ataques de ransomware. También agregamos consejos para reducir los riesgos de pérdida de datos en caso de que el ransomware se infiltre en el entorno de la organización.

• Anime a los empleados a:
  • Aprender los signos más comunes de ransomware y otros tipos de malware
  • Usar contraseñas fuertes y actualizarlas regularmente
  • Examinar los enlaces y archivos adjuntos antes de hacer clic en ellos
  • Entender cómo funciona el phishing y verificar las direcciones de correo electrónico de los mensajes entrantes

• Actualiza tu sistema regularmente

Debes mantener tu sistema operativo y aplicaciones críticas actualizadas y con parches. Instala las actualizaciones tan pronto como se lanzan. Las actualizaciones del sistema y parches de seguridad generalmente están destinadas a solucionar los problemas de las versiones anteriores y cubrir las vulnerabilidades conocidas de tu sistema.

• Verifica el software de terceros

Antes de instalar software de terceros, verifica primero que el proveedor de software es auténtico y confiable. Para este propósito, instala software de lista blanca (por ejemplo, Bit9, Velox, McAfee, Lumension), que puede identificar si una nueva aplicación es lo suficientemente segura para ser instalada y ejecutada en tu sistema.

• Escanea tu infraestructura de manera regular

Instala y utiliza software antimalware que te notifique de cualquier posible amenaza, identifique vulnerabilidades potenciales y detecte actividades de ransomware en tu infraestructura. Las herramientas modernas antiransomware te permiten escanear todo tu sistema para detectar virus existentes y amenazas de malware activas. Además, tales escaneos de computadora pueden ejecutarse a pedido o según un horario que configures, minimizando así la entrada de gestión por tu parte.

• Crea mieleras

A honeypot is one of the most effective security measures that can be used to confuse cybercriminals and take their attention away from critical files. By setting up a honeypot, you create a fake file repository or a server that looks like a legitimate target to an outsider and appears especially enticing to ransomware attackers. This way, you can not only protect your files and rapidly detect a ransomware attack, but also learn how cybercriminals operate. Then, use that data and experience to improve the protection of your system against future cyberattacks.

• Restringe el acceso a sistemas y aplicaciones críticas

Aplica el principio de privilegio mínimo al otorgar permisos a los empleados para acceder a sistemas. El principio implica dar acceso a un empleado solo a aquellos archivos y recursos del sistema que son necesarios para realizar su trabajo de manera eficiente. Cualquier acción o acceso que no sea necesario para que un empleado realice sus funciones debería ser prohibido por el administrador para evitar infecciones accidentales.

• Protección de datos y pruebas de respaldo

Crea y actualiza regularmente copias de seguridad de datos. Utiliza la regla 3-2-1 para mejorar la protección y asegurar la recuperación exitosa de datos cifrados por ransomware. La regla dicta que debes tener 3 copias de tus datos y que debes almacenarlas en 2 medios diferentes, con 1 de ellos almacenado fuera del sitio. Después de respaldar los datos, realiza pruebas para verificar que tus copias de seguridad sean funcionales y recuperables. De esta manera, puedes prevenir fallos que de otro modo podrían haber ocurrido durante la recuperación del sistema.

Cómo NAKIVO puede ayudar a proteger tus datos contra ransomware

Hoy en día, un ataque de ransomware que deja los datos de una organización inaccesibles no es solo otra probabilidad sino una cuestión de tiempo. Y la forma más eficiente de prevenir incidentes de pérdida de datos y evitar tiempos de inactividad en la producción después de interrupciones causadas por ataques de ransomware exitosos es tener copias de seguridad válidas listas para la recuperación.

El 93% de las empresas que no implementan planes de copias de seguridad y recuperación ante desastres quiebran dentro de un año después de un desastre de pérdida de datos a nivel global. Por otro lado, el 96% de las empresas que tienen una estrategia de copias de seguridad y recuperación confiable pudieron recuperarse exitosamente de los ataques de ransomware.

NAKIVO Backup & Replication es una solución de protección de datos que puedes utilizar para implementar una estrategia confiable de protección contra ransomware y aumentar la resiliencia de la organización ante los ataques:

1. Crea copias de seguridad confiables y consistentes con las aplicaciones de tus datos.
2. Almacena las copias de seguridad en el sitio, envíalas fuera del sitio o en la nube para seguir la regla 3-2-1 y evitar un punto único de fallo.
3. Habilita la inmutabilidad para las copias de seguridad almacenadas en repositorios locales basados en Linux y/o en la nube para asegurar que tus datos de copia de seguridad permanezcan sin cambios y estén disponibles incluso si el ransomware afecta la infraestructura de copia de seguridad.
4. Habilita el cifrado de tus datos de copia de seguridad en tránsito y en reposo. La solución utiliza el estándar de cifrado AES-256 para evitar el acceso de terceros a tus datos de copia de seguridad.
5. Utiliza el control de acceso basado en roles (RBAC) para establecer los derechos de acceso para los empleados y mejorar la seguridad de las copias de seguridad.Cuando un ataque de ransomware golpea y cifra los datos originales, utiliza las copias de seguridad para la recuperación. Puedes recuperar VM completas y máquinas físicas como VM de inmediato. Utiliza la Recuperación Granular Instantánea para restaurar archivos individuales y objetos de aplicaciones a ubicaciones originales o personalizadas para un tiempo de inactividad aún más corto.
6. Cuando un ataque de ransomware golpea y cifra los datos originales, utilice copias de seguridad para la recuperación. Puedes recuperar VM completas y máquinas físicas como VM de inmediato. Utiliza Restauración Instantánea de Detalle para restaurar archivos individuales y objetos de aplicación a ubicaciones originales o personalizadas para un tiempo de inactividad aún más corto.
7. Utiliza replicación, conmutación por error automatizada y orquestación de recuperación ante desastres para una rápida disponibilidad de sistemas y aplicaciones.

La solución NAKIVO te permite controlar y automatizar los procesos de respaldo y recuperación desde un solo panel de control. Ejecuta copias de seguridad cada minuto para minimizar la pérdida de datos. Con copias de seguridad inmutables relevantes a tu disposición, puedes evitar pagar el rescate a los hackers incluso después de que el ransomware evite tus sistemas de seguridad y cifre con éxito los datos originales.