El ransomware fue rampante en 2017, y los usuarios mal preparados fueron sorprendidos con la guardia baja. Esto se convirtió en un pánico generalizado cuando las víctimas se apresuraron a resguardar datos valiosos, a menudo sucumbiendo a demandas criminales para pagar rescates cada vez más caros a través de la criptomoneda, que se disparó en valor en sí misma. Desafortunadamente, cumplir con estas demandas no garantizaba que los archivos se devolvieran en buen estado, en todo caso, convirtiéndolo en un año favorable para los autores de ransomware.

Con el tiempo, es cada vez más difícil para los autores de ransomware asustar a las víctimas para que paguen a fin de recuperar sus datos, con una mayor adopción de las mejores prácticas simples como las copias de seguridad oportunas y en la nube. Esto, combinado con más usuarios que recurren a Windows 10, un sistema operativo más seguro, ha obligado a los piratas informáticos a ser más creativos. La amenaza de ransomware sigue siendo real y, de hecho, está adoptando un modelo de negocio más específico a través de conexiones no seguras de Protocolo de escritorio remoto (RDP) como el vector de ataque..

  • También hemos destacado el mejor antivirus.

Explotación de conexiones RDP no seguras

Si bien las conexiones RDP son compatibles con las prácticas de trabajo modernas, al permitir el acceso fuera de las instalaciones a una máquina y una red, pueden actuar como un enlace débil en las defensas de seguridad cibernética de una organización. Este vector de ataque está ganando popularidad entre los ciberdelincuentes que usan herramientas como Shodan para buscar empresas que no hayan creado la configuración adecuada de RDP, dejando sus entornos abiertos a la infiltración. Incluso los cibercriminales menos sofisticados pueden visitar la 'web oscura' para comprar acceso RDP a máquinas ya pirateadas. Una vez que se ha accedido a un sistema determinado, los delincuentes pueden examinar todos los datos del sistema o las unidades compartidas para evaluar su valor. Esto ayuda a los delincuentes a decidir si implementan ransomware u otras cargas útiles, lo que tendrá el mayor impacto y rentabilidad. Este enfoque dirigido mejora las posibilidades de que una organización pague el rescate, ya que el contenido cifrado será de gran valor e importancia.

Los ciberdelincuentes en acción

Esto no es teórico. El notorio grupo SamSam Ransomware y sus campañas hicieron millones en criptomoneda a principios de este año, gracias a un RDP mal configurado. Los ataques de alto perfil dominaron las noticias principales cuando cerraron sectores gubernamentales de Atlanta y Colorado, junto con el gigante de pruebas médicas LabCorp. En los casos de Atlanta y Colorado, estos estados optaron por no pagar el rescate y en su lugar decidieron reconstruir sus sistemas de TI, por una suma de más de $ 2.5 millones (en el caso de Atlanta). Pero ahora hay múltiples opciones viables para las cargas útiles en un compromiso de RDP. Debido a que el delincuente puede ver todo el hardware instalado, es fácil determinar si la CPU y la GPU instaladas ofrecerían más criptomoneda de extracción de ganancias que si los atacantes simplemente implementaran una infección de ransomware.

Defensa contra los ataques.

La importancia de la educación no puede ser subestimada y juega un papel crucial en la protección de una organización contra el compromiso. Los departamentos de TI a menudo dejan los puertos predeterminados abiertos y son laxos con respecto a las políticas de contraseña, lo que subraya la realidad de que los empleados son el enlace más débil. La capacitación continua sobre cómo configurar el entorno y establecer una línea de base de resiliencia es tan importante para una empresa con 50 empleados como para una corporación multinacional. De acuerdo con el Informe de amenazas de medio año de Webroot 2018, las organizaciones que implementaron 11 o más campañas de concienciación sobre la seguridad vieron caer su tasa de clics de correo electrónico de phishing al 13%. Además, se debe hacer una evaluación del impacto de esta capacitación, respaldada por un plan integral de recuperación de desastres..

Ransomware continúa plagando a organizaciones de diferentes tamaños e industrias. Los recientes ataques contra la Autoridad Portuaria de San Diego y el Aeropuerto de Bristol resaltan el impacto directo y la interrupción que puede ocurrir, incluso en los servicios públicos. La mejor defensa es la educación sobre conciencia de seguridad para los empleados, especialmente para evitar los ataques de phishing que podrían comprometer la credencial de su sistema, junto con la instalación de software anti-malware para proteger información valiosa. Ninguna organización está exenta de ataques y solo una postura de seguridad sólida mitigará estas amenazas.

Tyler Moffitt, Analista Senior de Investigación de Amenazas en Webroot