Han pasado cinco años desde uno de los mayores ciberataques a gran escala de la historia. Para Vectra AI, es hora de replantear las estrategias de seguridad para contrarrestar las modernas RansomOps.
Ricardo Hernández, Country Manager para España y Portugal de Vectra AI comparte algunas reflexiones al respecto.
Fue quizás la primera infección global de ransomware de la historia. Hace cinco años, el 12 de mayo de 2017, comenzó el recorrido por los sistemas informáticos de medio mundo de Wannacry, el malware que aprovechó una vulnerabilidad de Windows y consiguió cifrar archivos y pedir un rescate a los usuarios de más de 230.000 ordenadores en 150 países.
El impacto en el mundo de la ciberseguridad fue trascendental. En primer lugar, Wannacry fue uno de los primeros ataques de ransomware de la historia reciente al que se le dio amplia difusión en la prensa, hasta el punto de que incluso los no expertos fueron alertados. Incluso las personas que no desempeñaban un papel técnico en las empresas se dieron cuenta de lo peligrosa y dañina que podía llegar a ser la amenaza del ransomware.
En segundo lugar, las herramientas utilizadas por Wannacry para vulnerar los sistemas podían rastrearse directamente hasta los kits de herramientas robados a los Estados, lo que demuestra que el espionaje sofisticado de los ciberdelincuentes era cada vez más popular entre los operadores de menor nivel. Wannacry fue, por tanto, una llamada de atención para los programas de seguridad, que hasta entonces estaban interesados en mantener el statu quo. Puso de manifiesto la necesidad de medidas de seguridad más proactivas, demostrando la insuficiencia de los simples cortafuegos para garantizar la protección de los sistemas.
Del ransomware al RansomOps
Cinco años después de Wannacry, las organizaciones han adquirido una nueva conciencia de la seguridad informática. Sin embargo, mientras tanto, el ransomware también ha evolucionado y el nivel de amenaza ha seguido creciendo. Más que de ransomware, hoy sería mejor hablar de RansomOps. Las amenazas actuales se basan principalmente en tácticas modernas e interactivas implementadas por operadores humanos, que han sustituido el enfoque programático y semigestionado de un gusano de carga útil como era Wannacry. Esta es una distinción importante porque afecta a la forma en que las empresas deben defenderse.
Con las generaciones anteriores de ransomware, el tiempo entre la infección y la actividad maliciosa realizada por la carga útil era corto y la ruta de ataque era bastante predecible, lo que significaba que los controles de seguridad -a menudo basados en una función de punto final- intervenían directamente en el lugar del ataque o se descubría con bastante rapidez que había un problema más extenso.
Las bandas modernas de ransomware, en cambio, tienden a acechar los sistemas informáticos durante mucho más tiempo para extraer todo el valor posible, antes de hacer acto de presencia cifrando o destruyendo los datos. No es raro esperar días o semanas antes de ver las cargas útiles en acción, lo que significa que cuando se detecta un problema, a menudo ya es muy tarde para tomar medidas.
De la prevención a la detección
Dada la estrategia actual del ransomware, un sistema de protección moderno debe centrarse en la fase previa a la manifestación de la amenaza, desde la detección de señales de mando y control hasta la identificación de credenciales mal utilizadas o abusadas. Es una carrera contra el tiempo para encontrar y expulsar el ransomware antes de que exfiltre los datos y destroce la organización.
Los controles preventivos son cruciales, pero por sí solos ya no son suficientes. Además de mantener alejados a los autores de malware, ahora se debe tener una visibilidad total de sus entornos e integrar capacidades avanzadas de detección y respuesta para mitigar las amenazas que ya están eludiendo los controles existentes.
Con la configuración adecuada, la tecnología Network Detection and Response puede proporcionar una protección eficaz contra los ataques de ransomware. Vectra AI ofrece un software innovador y eficaz que detecta y combate las amenazas digitales en una fase temprana, explotando el aprendizaje automático para detectar comportamientos sospechosos, advertir a los usuarios y proteger eficazmente a las empresas y los particulares de las actividades fraudulentas.