ransomwareoperado por humanos

El ransomware se ha convertido en una ciberamenaza dominante y en uno de los tipos de ciberataques más caros de los que puede ser víctima una organización. Sin embargo, no todos los ataques de ransomware son iguales. El ransomware operado por humanos ha surgido como una alternativa más peligrosa y costosa que el tradicional ataque ransomware.

Más información Hable con un experto

¿Qué es el ransomware operado por humanos?

Los primeros ataques de ransomware como WannaCry fueron en gran medida no dirigidos, aprovechando los objetivos de oportunidad. Por ejemplo, el gusano ransomware WannaCry se propagó por sí mismo, aprovechando la vulnerabilidad del protocolo Windows Server Message Block (pyme). A menos que el malware tenga restricciones incorporadas sobre los objetivos, cualquier ordenador podría ser infectado por este tipo de ransomware.

Un ataque de ransomware operado por humanos es mucho más dirigido. En lugar de propagarse automáticamente, el ransomware operado por humanos es plantado y ejecutado en un sistema por una persona. El atacante obtiene acceso al entorno objetivo, determina el sistema en el que el ransomware tendría el mayor impacto y despliega el ransomware en ese lugar.

Los operadores de ransomware se han pasado en gran medida a ransomware operado por humanos debido al mayor control y rentabilidad que ofrece. Al seleccionar a qué organizaciones dirigirse y dónde desplegar el malware en ellas, un grupo de ransomware puede adaptar mejor sus ataques y las peticiones de rescate a sus objetivos.

El ransomware operado por humanos frente al ransomware tradicional

Las diferencias entre los ataques de ransomware humano y los tradicionales son significativas, e incluyen las siguientes:

  • Vectores de infección: Los ataques de ransomware de origen humano pueden emplear vectores de acceso inicial diferentes a los del ransomware tradicional. Por ejemplo, un atacante humano puede obtener acceso a través de credenciales comprometidas y luego moverse lateralmente a través de la red para lograr su objetivo, mientras que el ransomware tradicional puede basarse en correos electrónicos de phishing para la entrega y ejecución del malware.
  • Impacto cifrado: Todos los ataques de ransomware están diseñados para obligar a una organización a pagar un rescate mediante la encriptación de archivos valiosos. Sin embargo, los ataques de ransomware operados por humanos pueden tener un mayor impacto que los tradicionales. El humano que está detrás del ataque puede plantar y ejecutar el ransomware allí donde tenga el mayor impacto en las operaciones de una organización, amplificando la interrupción y el tamaño del rescate que el atacante puede exigir.
  • Robo de datos: Los ataques de ransomware utilizan cada vez más el robo de datos para aumentar la influencia del atacante sobre el objetivo a la hora de exigir un rescate. Con el ransomware operado por humanos, el actor de la amenaza puede buscar datos de gran valor, como datos de clientes, información financiera, código fuente, etc.
  • Complejidad de la corrección: Todos los ataques de ransomware requieren Corrección profunda y que requiere mucho tiempo para limpiar después de un incidente.  Sin embargo, mientras que los ataques tradicionales de ransomware pueden requerir únicamente la eliminación del malware, un ataque de origen humano puede tener necesidades adicionales de reparación. Un actor humano puede haber comprometido las cuentas de los empleados o implantado mecanismos de persistencia, lo que les proporciona acceso por la puerta trasera a los sistemas que deben eliminarse.

Los riesgos del ransomware

El ransomware es una de las mayores amenazas para la ciberseguridad corporativa y puede tener importantes repercusiones en una empresa, entre ellas:

  • Datos perdidos: Un ataque de ransomware funciona cifrando los datos de una organización y exigiendo un rescate a cambio del descifrado. Sin embargo, incluso las empresas que pagan un rescate no siempre recuperan todos sus datos. Las organizaciones que sufren un ataque de ransomware pueden esperar perder al menos algunos de sus datos de forma permanente.
  • Violación de datos: En los últimos años, los operadores de ransomware han ampliado sus ataques para robar datos confidenciales antes de cifrarlos. Al amenazar con filtrar estos datos, los atacantes aumentan su influencia sobre sus objetivos para pagar el rescate. Incluso si una organización puede restaurar los datos encriptados a partir de copias de seguridad, es probable que un ataque de ransomware con éxito sea también un data breach.
  • Impactos operativos: Los ataques de ransomware inhiben las operaciones de una organización y requieren una remediación costosa y lenta.  Además, algunos grupos de ransomware también realizarán ataques de denegación de servicio distribuido (DDoS) para fomentar el pago de rescates.  Todo esto tiene un impacto significativo en la capacidad de una organización para operar.
  • Daño a la reputación: Aunque cualquiera puede ser víctima de un ataque de ransomware, lo habitual es que se considere que las víctimas del ransomware han hecho algo mal para que el ataque sea posible. Tras un ataque, la reputación de una organización puede verse dañada entre los clientes y la empresa puede ser objeto de una investigación por posible incumplimiento de la normativa aplicable.

Cómo prevenir el ransomware

Protección contra los ataques de ransomware requiere implementar protecciones y mejores prácticas contra el ransomware, como:

  • Educación del empleado: Los operadores de ransomware suelen dirigirse a los empleados para el acceso inicial a través de phishing y otros ataques de ingeniería social. Formar a los empleados sobre cómo detectar y responder adecuadamente al phishing y cómo crear y utilizar contraseñas seguras ayuda a minimizar la amenaza que los empleados suponen para la ciberseguridad de la empresa.
  • Copias de seguridad de datos: El modelo de negocio del ransomware se basa en denegar a una organización el acceso a sus propios datos para que pague un rescate para recuperar el acceso. Al hacer copias de seguridad de los datos con regularidad, una empresa puede restaurar sus datos cifrados sin pagar el rescate.
  • Gestión de la vulnerabilidad: El ransomware puede infectar un sistema de diversas formas; sin embargo, explotar la vulnerabilidad es una opción habitual. Aplicar rápidamente los parches de vulnerabilidad cuando estén disponibles permite a una organización cerrar estos intervalos de seguridad antes de que puedan ser explotados por un atacante.
  • Autenticación fuerte: El ransomware operado por humanos suele ser desplegado por un atacante que utiliza credenciales de empleados comprometidas. Imponer el uso de la autenticación de múltiples factores (MFA) para todas las aplicaciones y sistemas corporativos dificulta el uso de credenciales comprometidas, limitando la exposición a este vector de ataque.
  • Privilegio mínimo: Los ciberdelincuentes detrás del ransomware operado por humanos suelen moverse lateralmente a través de la red de una empresa hasta un sistema de alto valor donde el ransomware puede hacer el mayor daño. Implementación de privilegios mínimos y Seguridad Zero Trust Los principios pueden ayudar a que este movimiento lateral sea más difícil de realizar y más fácil de detectar.

Protección contra ransomware con Check Point

El ransomware es una de las principales tendencias cibernéticas en 2021. Para saber más sobre el panorama actual de las ciberamenazas, consulte el informe de Check Point Informe de tendencias ciberataque de mitad de año 2021.  Entonces regístrese para una demostración gratuita para aprender cómo Check Point Harmony Endpoint puede protegerle contra el ransomware y otras ciberamenazas modernas.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.