Acacio Martín, Regional Director España y Portugal en Fortinet

El cibercrimen ha maximizado su capacidad de explotar la pandemia, aprovechando la irrupción del teletrabajo para acceder a los recursos corporativos a través de redes y dispositivos domésticos a menudo mal protegidos y susceptibles de sufrir un ataque de ransomware.

Los ataques de ransomware más comunes durante esta pandemia han sido los de ingeniería social. En su libro "The Art of Deception", el hacker Kevin Mitnick explica el poder de las técnicas de ingeniería social. Esencialmente, las estrategias de ingeniería social, normalmente en forma de estrategias de phishing o spear phishing, pueden engañar a los usuarios para que divulguen información crítica, desde contraseñas hasta cuentas financieras e información personal. Hoy en día, la ingeniería social se combina con técnicas de hacking y distribución de malware para impulsar ataques cada vez más insidiosos.

Uno de los resultados del uso de técnicas de ingeniería social contra los teletrabajadores ha sido el aumento de los ataques de ransomware, que se multiplicaron por siete en la segunda mitad de 2020. La secuencia de ataque comienza explotando las preocupaciones de los individuos sobre la pandemia, así como otros eventos sociales como las elecciones y la temporada de impuestos.

En un ataque típico de ransomware, los hackers, a través de técnicas de phishing u otros medios, introducen el malware en el sistema informático de la víctima para que se extienda por la red. Una vez que se han comprometido suficientes sistemas, el hacker activa el malware para cifrar todos los sistemas infectados, haciendo que los archivos y datos de esos dispositivos sean inaccesibles para la organización. A continuación, intenta obtener un pago monetario de la organización a cambio de la clave necesaria para descifrar los archivos comprometidos.

Cuando el ciberdelicuente utiliza un ransomware para retener nuestros datos, supone que pagaremos prácticamente cualquier precio por recuperar el control. Y si no lo hacemos, los pondrá a la venta en la darknet. Sin embargo, también estamos viendo un número creciente de casos en los que la víctima paga un rescate pero nunca obtiene las claves de descifrado necesarias para restaurar su red. O, en casos aún más dramáticos, el ransomware sigue adelante y destruye la red borrando los discos de los ordenadores de sobremesa y los servidores a pesar de haber pagado el rescate.

Cómo enfrentarse a los ataques de ransomware

La protección de su organización contra un ataque de ransomware debe contemplar medidas como mantener copias de seguridad actualizadas de los archivos críticos fuera de la red y escanear los dispositivos que buscan acceso a la red para detectar infecciones de malware. Pero esto es sólo el principio. También debemos entender cómo funciona el ransomware, porque una vez que entendemos lo que está sucediendo hay formas eficaces de utilizar sus propias técnicas y tácticas en su contra.

El ransomware suele utilizar técnicas y tácticas sofisticadas para penetrar en una organización y comprometer un endpoint. Pero, al fin y al cabo, su objetivo principal es cifrar sus archivos. En lugar de luchar contra este proceso, ¿qué pasaría si se redirigiera disimuladamente el ransomware para que sólo cifrara archivos falsos -archivos creados intencionadamente por nosotros y colocados en la red para atraer a los posibles atacantes? Al tratar de cifrar estos archivos falsos, los hackers se expondrían a sí mismos y revelarían la existencia de su malware, antes de que pudieran hacer ningún daño. En otras palabras, una estrategia de contraataque extremadamente poderosa es engañar al ransomware para que se ejecute contra un objetivo controlado de nuestra elección y así activar una alerta y revelar sus intenciones. Esto es posible gracias a la tecnología Cyber Deception.

Cyber Deception o el ciberengaño permite a las organizaciones crear rápidamente una red fabricada (falsa) que despliega automáticamente atractivos señuelos que no se distinguen del tráfico y los recursos utilizados en la red legítima. Esta pseudo red se integra sin problemas con la infraestructura TI/OT existente para atraer a los atacantes e identificarles.

La tecnología del engaño no instala ningún agente en el endpoint ni requiere ningún cambio en la red y no depende de ninguna firma o motor de anomalías. Entonces, ¿cómo encuentra y mitiga el ransomware? La respuesta es: utilizando la actividad de cifrado del ransomware contra sí mismo. Veamos cómo.

Las soluciones de engaño comienzan configurando y desplegando una unidad compartida de red falsa en cada endpoint/servidor de su red. Esta pseudo red se oculta a los usuarios legítimos para evitar que hagan clic en los sistemas señuelo y generen falsas alertas.

Esta unidad de red falsa también contiene archivos y flujos de trabajo falsos que se exponen a un atacante y/o ransomware malicioso. Además la unidad es mapeada usando un señuelo de red que actúa como un servidor de archivos completo, con tráfico y archivos falsos

Cualquier herramienta de ciberengaño que merezca la pena también debe poder integrarse completamente en sus herramientas de seguridad de terceros, como su firewall, sistemas de control de acceso a la red y antivirus de última generación, de modo que toda la actividad maliciosa identificada pueda mitigarse rápidamente.

Una vez que el ransomware compromete un endpoint y comienza a cifrar las unidades locales y de red, el señuelo (falso servidor de archivos de red) puede detectar inmediatamente su actividad maliciosa y ralentizar el proceso de cifrado, al tiempo que aprovecha una de sus herramientas de seguridad existentes para limitar o prevenir automáticamente los daños, y aislar simultáneamente el endpoint infectado para proteger inmediatamente el resto de la red.

Esta tecnología no sólo utiliza las propias técnicas y tácticas del ransomware contra sí mismo para desencadenar la detección, sino que, lo que es más importante, descubre las tácticas, herramientas y procedimientos (TTP) del atacante que le llevaron a afianzarse con éxito en la red, de modo que esas vulnerabilidades puedan mitigarse a nivel de arquitectura de seguridad. Un `engaño´ eficaz debe proporcionar información contextual sobre las amenazas que pueda utilizarse para rastrear cómo un atacante ha comprometido a la organización -por ejemplo, mediante credenciales débiles o robadas o un endpoint o servidor vulnerable que ha permitido la propagación de un ransomworm- de modo que puedan cerrarse esas brechas de protección.

La tecnología Cyber Decepction debe estar totalmente integrada con las soluciones NGFW, NAC, SIEM, Sandbox, SOAR y EDR para automatizar la respuesta de mitigación basada en la detección de ransomware. Al combinar la tecnología de engaño con una plataforma de seguridad integral, las organizaciones podrán detectar y responder a los ataques, como el ransomware, mucho antes de que puedan alcanzar sus objetivos maliciosos.