Enric Mañez, Senior Enterprise Security Sales Specialist

En los últimos tiempos, el ransomware se ha convertido en un componente fundamental de los ataques de ciberseguridad, con un coste de más de 20.000 millones de euros en daños a nivel mundial en 2021. Es preocupante que esta tendencia seguirá y se acelerará: la inestabilidad política líderada por la larga guerra de Ucrania, la ampliación de las superficies de ataque y el crecimiento de la tecnología de ransomware como servicio prácticamente garantizan que el ransomware es un delito que seguirá ocurriendo en los próximos años.

Durante los últimos años, los atacantes de ransomware han arremetido contra instituciones académicas, administraciones públicas, organizaciones de salud e infraestructuras, entre otros objetivos.

En Akamai hemos analizado que organizaciones ejecutan estos ataques y la forma en que operan y hemos descubierto que el 60 % de los ataques de ransomware de Conti exitosos son contra organizaciones de EE. UU frente al 30% que afecta a organizaciones de UE.

Por otro lado, la industria manufacturera se posiciona en el primer lugar de la lista de víctimas de Conti, lo que evidencia el riesgo de las interrupciones en las cadenas de suministro y la infraestructura crítica representa el 12 % de las víctimas de ataques totales.

En cuanto a los ataques contra servicios empresariales representan el 13 %, lo cual deja bien clara la posibilidad de ciberataques a las cadenas de suministro, con el riesgo que esto supone.

La gran mayoría de las víctimas de Conti son empresas con ingresos de entre 10 y 250 millones de euros y de ellas, aproximadamente, el 40 % son empresas con ingresos de entre 10 y 50 millones de euros. Las tendencias sobre los ingresos de las víctimas indican, por tanto, un rango potencial ideal de víctimas de ataques exitosos en empresas medianas y pequeñas, las cuales pueden pagar rescates considerables, pero que aún no cuentan con una práctica de seguridad consolidada.

En referencia a las posibilidades de ataque son multifacéticas y orientadas al detalle, con un enfoque sólido en la propagación directa por la red y los procedimientos, tácticas y técnicas (TTP) advierten la necesidad de una protección eficaz contra el movimiento lateral y el papel fundamental que dichas protecciones pueden desempeñar en la defensa contra el ransomware.

Los TTP son bien conocidos y de gran eficacia, y permiten identificar las herramientas que habitualmente utilizan otros grupos. El estudio de estos TTP les ofrece a los equipos de seguridad información sobre el modo de operar de los atacantes para prepararse de mejor forma contra ellos.

El énfasis de Conti en la piratería informática y la propagación directa, más que en el cifrado, debería impulsar a los defensores de red a centrarse también en aquellas zonas de la cadena de exterminio, y no en la etapa de cifrado.

Los grupos de ransomware como servicio (RaaS) se han convertido en empresas, con estructuras que se asemejan mucho a las compañías que pretenden extorsionar, con representantes de atención al cliente, capacitación de nuevos empleados y más. Una filtración reciente de documentos de Conti, uno de los proveedores de RaaS más prolíficos del mundo, reveló parte de su funcionamiento interno, lo cual les ha proporcionado a los investigadores una visión de cómo operan estas organizaciones.

Los investigadores de Akamai han analizado y estudiado a los proveedores de RaaS para revelar ciertos mecanismos subyacentes que han contribuido al éxito de estas organizaciones.

Así que, naturalmente, muchos se hacen la misma pregunta: ¿cómo podemos protegernos de los atacantes de ransomware? Una de las mejores líneas de defensa es implementar la microsegmentación en toda la red. La segmentación es uno de los trucos más antiguos de la biblia de la ciberseguridad: existe desde hace décadas. Según un reciente estudio de Guardicore (Akamai), el 96% de las organizaciones utilizan algún tipo de segmentación. Sin embargo, sólo el 2% de las organizaciones utilizan la segmentación para proteger todos sus activos críticos. La triste verdad es que, aunque la segmentación tiene una amplia adopción, la mayoría de las organizaciones no la están utilizando para protegerse lo mejor posible.

Las crecientes amenazas a la seguridad exigen una segmentación cada vez más compleja mediante VLAN. En la práctica, las VLAN son demasiado lentas y caras para que esto funcione.

Aquí es donde entra en juego la microsegmentación. Ésta aplica los mismos principios de segmentación, pero como capa de software. Con la microsegmentación, una empresa puede aplicar controles de seguridad a nivel de carga de trabajo y de proceso a su centro de datos y activos en la nube. Esto da a la empresa más flexibilidad y granularidad que las técnicas de seguridad establecidas, como la segmentación de redes y aplicaciones, lo que la hace más eficaz para detectar y bloquear a los posibles atacantes que se mueven por la compleja red de entornos de centros de datos, nubes y nubes híbridas que ahora son comunes en muchas empresas.

La microsegmentación ofrece visibilidad a las empresas y permite aplicar políticas de seguridad desde el nivel de la red hasta el de los procesos individuales. Sin embargo, esta flexibilidad tiene un inconveniente: hay muchas formas diferentes de implementar la microsegmentación, y estas opciones pueden abrumar fácilmente a los que acaban de empezar su viaje de adopción.