Sophos, líder mundial en innovación y ciberseguridad como servicio, publica un informe titulado CryptoGuard: Un enfoque asimétrico en la lucha contra el ransomware que revela que algunos de los grupos de ransomware más prolíficos y activos, como Akira, ALPHV/BlackCat, LockBit, Royal y Black Basta, están recurriendo deliberadamente al cifrado remoto para sus ataques. En estos ataques, también conocidos como ransomware remoto, los ciberatacantes aprovechan un endpoint comprometido y, a menudo infraprotegido, para cifrar los datos de otros dispositivos conectados a la misma red.
Sophos CryptoGuard es la tecnología antiransomware que Sophos adquirió en 2015 y que se incluye en todas las licencias de Sophos Endpoint. CryptoGuard supervisa el cifrado malicioso de archivos y proporciona protección inmediata y funcionalidades de restitución, incluso cuando el propio ransomware no se inicia desde un host protegido. La exclusiva tecnología anti-ransomware es la última línea de defensa en la protección por capas de Sophos Endpoint, y sólo se activa si un ciberatacante la acciona en la cadena de ataque. CryptoGuard detectó un aumento interanual del 62% en los ataques de cifrado remoto intencional desde 2022.
«Las empresas pueden tener miles de ordenadores conectados a su red y, con el ransomware remoto, basta un dispositivo desprotegido para comprometer toda la red. La mayoría de las empresas tienen, al menos, uno y los atacantes lo saben, así que buscan ese ‘punto débil’. El cifrado remoto va a seguir siendo un problema perenne para los defensores y, según las alertas que hemos visto, este método de ataque está aumentando constantemente«, afirma Mark Loman, vicepresidente de investigación de amenazas de Sophos y cocreador de CryptoGuard.
La tecnología CryptoGuard de Sophos adopta un enfoque innovador para detener el ransomware remoto
Dado que este tipo de ataque implica el cifrado de archivos de forma remota, los métodos tradicionales de protección contra ransomware desplegados en dispositivos remotos no ‘ven’ los archivos maliciosos ni su actividad, por lo que no consiguen protegerlos del cifrado no autorizado y la posible pérdida de datos. La tecnología CryptoGuard de Sophos, sin embargo, adopta un enfoque innovador para detener el ransomware remoto, como explica la investigación de Sophos X-Ops. Este enfoque se basa en analizar el contenido de los archivos para ver si se ha cifrado algún dato y así detectar la actividad del ransomware en cualquier dispositivo de una red, incluso si no hay malware en el dispositivo.
En 2013, CryptoLocker fue el primer ransomware extendido en utilizar el cifrado remoto con cifrado asimétrico, también conocido como criptografía de clave pública. Desde entonces, los ciberatacantes han sido capaces de intensificar el uso del ransomware, debido a las continuas y omnipresentes brechas de seguridad en las empresas de todo el mundo y a la llegada de las criptomonedas.
