Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Isabela Garcia Salazar

Diez formas en las que los entornos de TI actuales habilitan el ransomware y lo que puede hacer

Realizado por. Arcserve Team

Sabes que la amenaza del ransomware se está agravando cuando el Departamento de Justicia de EE. UU. Nombra un grupo de trabajo para que se involucre.

Después de que la banda de ransomware REvil comprometió la red del proveedor de Apple Quanta Computer y afirmó haber robado secretos comerciales de Apple, los federales supuestamente decidieron intervenir para aportar algo de fuerza en la lucha contra el ransomware . Aunque se sabe poco en este momento sobre el grupo de trabajo, sí sabemos que REvil intentó extorsionar $ 50 millones de dólares a Quanta antes de publicar imágenes de lo que parecen ser planos de Macbook en el sitio web oscuro del nombre y la vergüenza de la pandilla.

Según los informes, la banda también robó muchos gigabytes de datos personales de otros clientes de Quanta no identificados, que incluyen grandes nombres como Dell, Hewlett-Packard, Alienware, Lenovo, Cisco y Microsoft.


Maneras comunes en que el ransomware se infiltra en los sistemas

Tendemos a pensar que empresas tan masivas como Apple son inmunes al ransomware y otros ataques maliciosos porque tienen las mejores defensas que el dinero puede comprar. Sin embargo, el incidente de Quanta es un claro recordatorio de cómo la ciberseguridad de terceros es tan importante como la suya propia.

Quanta no ha informado de una fuente de infiltración, pero en general, el ransomware ingresa a las redes de la empresa de varias maneras.


Kits de explotación

Los kits de exploits son conjuntos de herramientas equipados con una selección de exploits que aprovechan las vulnerabilidades de software como Adobe Flash Player, Adobe Reader e Internet Explorer. Cuando un usuario hace clic en un anuncio malicioso u otro enlace, el código incrustado busca vulnerabilidades en el software del usuario. Si el kit encuentra una vulnerabilidad, instala malware adicional, que puede causar más daños al dispositivo y a la red.

Archivos adjuntos de correo electrónico maliciosos

Los archivos adjuntos infectados a menudo se envían a través de correos electrónicos que parecen ser de un remitente confiable o conocido, como TI o recursos humanos. Cuando el destinatario abre el enlace, el código malicioso se descarga en el sistema y puede cifrar archivos o abrirse camino a través de la red recopilando datos y credenciales para su uso posterior.

Enlaces de correo electrónico maliciosos

Al igual que los archivos adjuntos anteriores, los enlaces maliciosos a menudo llegan en correos electrónicos que parecen legítimos y confiables. Cuando el usuario hace clic en el enlace, el ransomware u otra aplicación maliciosa se descarga en el sistema y comienza la "diversión".

Diez formas en las que su entorno de TI facilita la entrada del ransomware y qué hacer al respecto

Con todas las soluciones de ciberseguridad y protección de datos en el mercado hoy en día, parece que los ataques de ransomware deberían ser pocos y espaciados. Pero según el flujo constante de ataques en las noticias cada semana, obviamente ese no es el caso.

En muchos casos, cuando se detiene y revisa bajo el capó, resulta que hay problemas inherentes dentro del propio entorno de TI que facilitan que los operadores de ransomware encuentren la manera de entrar.

Aquí hay 10 puntos de debilidad que se encuentran en los entornos de TI de muchas organizaciones y lo que puede agregar a su estrategia de protección contra ransomware para solucionarlos:

1. Trabajadores remotos

COVID-19 hizo del trabajo remoto una necesidad para muchas organizaciones, pocas de las cuales estaban completamente preparadas para administrar y respaldar el nuevo entorno. El rápido despliegue de millones de terminales remotos proporcionó una enorme superficie de ataque para los operadores de ransomware, y se han aprovechado al máximo.

Solución: incluso antes de la pandemia, RDP y VPN eran puntos de entrada populares para el ransomware. Ahora que una gran cantidad de empleados necesita acceder a las aplicaciones, los sistemas y los datos de la empresa de forma remota, es fundamental implementar medidas de seguridad, que incluyen:

  • Limitar el acceso por dirección IP

  • Configurar el RDP para que no sea visible para los escáneres de puertos

  • Implementar políticas de seguridad para limitar el acceso y evitar la elevación de privilegios

  • Asegurarse de que todos los dispositivos tengan protección contra malware / antivirus (y que se mantengan actualizados)

2. Redes no segmentadas

Las redes no segmentadas brindan a los atacantes de ransomware un alcance libre de su red, incluido el acceso a sus datos y aplicaciones más críticos para la empresa. Este acceso sin restricciones permite a los operadores cifrar y robar datos confidenciales de empleados y usuarios, así como iniciar ataques como denegación de servicio distribuida (DDoS), que afecta la disponibilidad y las operaciones.

Solución: la segmentación de las redes por nivel de importancia para las operaciones y la ciberseguridad minimiza el daño y la pérdida de datos al controlar hasta qué punto un atacante de ransomware puede penetrar en sus sistemas y cuánto daño puede infligir antes de ser detectado.

3. Privilegio elevado

A pesar de lo que puedan decirle, muchos de sus administradores probablemente no necesiten el nivel de acceso que tienen actualmente. Cuantas más personas tengan acceso a datos y aplicaciones que no utilicen como parte de sus responsabilidades diarias, más oportunidades tendrá un operador de ransomware de utilizar ese privilegio para su beneficio.

Solución: realice una revisión de acceso para determinar quién tiene acceso a qué y si ese acceso es 100 por ciento necesario. Luego, revoque los privilegios elevados. También puede implementar iniciativas Zero Trust y soluciones de administración de acceso privilegiado para controlar quién tiene acceso a qué y cuándo.

4. Actualizaciones y parches perdidos

Esta es una de las vulnerabilidades más comunes que conduce a ataques exitosos de ransomware y, sin embargo, es prácticamente 100% prevenible.

Solución: muchas pequeñas y medianas empresas no pueden permitirse el lujo de dedicar a una persona de TI para administrar el flujo casi constante de actualizaciones y parches que se publican. Debido a que no actualizar y aplicar parches tampoco debería ser una opción, automatizar tanto como sea posible o incluso asociarse con un proveedor de servicios administrados ayudará a cerrar una fuente principal de brechas de seguridad.

5. Protección antivirus descuidada

El hecho de que su empresa haya comprado una solución de protección antivirus no significa que esté haciendo bien su trabajo.

Solución: para que sea eficaz, el software antivirus debe configurarse correctamente e instalarse en todos los dispositivos con acceso a la red de la empresa. Una vez que se cubren esas dos bases, es esencial instalar regularmente actualizaciones en esos dispositivos para garantizar que el software antivirus pueda detectar cualquier amenaza nueva y en evolución.

6. No hay copias de seguridad con espacio de aire

Simplemente hacer una copia de seguridad de sus datos ya no es suficiente cuando se trata de prepararse para la recuperación ante desastres después de un ataque de ransomware. Algunas de las cepas actuales en realidad apuntan a los archivos de respaldo, cifrándolos para que sean inútiles para restaurar datos después de que se resuelva el ataque.

Solución: para asegurarse de que todavía tiene datos para restaurar, modifique la estrategia tradicional de copia de seguridad 3-2-1 para incluir una copia con espacio libre de los datos almacenados completamente separados de la red de la empresa para evitar la corrupción.

7. Extensiones ocultas

Las extensiones de archivo se utilizan para indicarle al sistema operativo qué programa se necesita para abrir un archivo (por ejemplo, .txt, .doc o .xls). Sin embargo, Microsoft utiliza extensiones ocultas en Windows de forma predeterminada, lo que representa un gran riesgo de seguridad. Cuando las extensiones de archivo no son visibles, un operador de ransomware puede disfrazar un archivo ejecutable malicioso como un documento de Word o PDF inocuo que descarga malware cuando el usuario abre el archivo.

Solución: asegúrese de que los usuarios siempre sepan qué tipo de archivo están abriendo haciendo visibles las extensiones y agregue otra capa de protección bloqueando los ejecutables para que los usuarios no abran accidentalmente un archivo infectado.

8. Políticas deficientes de contraseñas

La gente es mala para crear contraseñas, y esa es una debilidad que los operadores de ransomware son buenos para explotar. Los ataques de fuerza bruta son uno de los métodos más populares utilizados para obtener acceso no autorizado a las redes de la empresa. Estos ataques usan bots para ingresar las contraseñas predeterminadas más comunes y de uso frecuente, y a menudo tienen éxito.

Solución: mantener los parches actualizados y hacer cumplir estrictos protocolos de contraseña son las mejores formas de bloquear los ataques de fuerza bruta. Es fundamental implementar una política de seguridad de contraseñas multicapa que incluya contraseñas seguras, autenticación multifactor y datos biométricos .

9. Gestión laxa de amenazas por correo electrónico

El correo electrónico es un método de entrega principal para ransomware y otras aplicaciones maliciosas. Solo hace falta que un empleado tome una mala decisión para desconectar toda la red durante un período de tiempo prolongado o para permitir que los datos se corrompan o se filtren.

Solución: no puede permitirse el lujo de aflojar la gestión de amenazas de correo electrónico cuando hay tanto en juego. La implementación de una sólida estrategia de gestión de amenazas de correo electrónico es un paso fundamental para minimizar sus riesgos. Busque una solución que ofrezca funciones de cifrado de datos, antimalware y filtrado adaptable de spam.

10. No educar a los empleados

El denominador común de muchos ataques de ransomware exitosos es el error humano. Aunque muchos departamentos de TI ven a los empleados como el eslabón débil de su estrategia de seguridad, con la capacitación adecuada, esas mismas personas pueden convertirse en su primera y mejor línea de defensa.

Solución: la formación frecuente y personalizada de concienciación sobre la seguridad puede reducir significativamente la superficie de ataque de su organización. Armar a los empleados con el conocimiento de cómo detectar enlaces defectuosos y evitar abrir archivos adjuntos maliciosos, y capacitarlos sobre qué hacer si reciben un correo electrónico sospechoso los convierte en una extensión de TI en lugar de una responsabilidad.

Los operadores de ransomware de hoy no tienen miedo de enfrentarse incluso a los gigantes más grandes de la industria. Pero eso no significa que no podamos contraatacar. Descubra cómo proteger a su organización para que no se convierta en una víctima más de ransomware. Descargue No se convierta en una estadística: manténgase a la vanguardia de los ciberdelincuentes mediante la implementación de una estrategia holística de protección contra ransomware


Bibliografia: https://info.arcserve.com/blog/ways-todays-it-environments-enable-ransomware?utm_campaign=Blog%20Subscription%20-%20Weekly&utm_medium=email&_hsmi=124880452&_hsenc=p2ANqtz-_QI69FqQYeuByCyQdEPIeQ4R8ZyjWEo_H38DlFxggLc5T-hythKUFQgwmB8C3s9jXP-jBtiCyYzhgoP8sW8oHx_sPblSDMLsVHdX_pn6CQEsZa0IY&utm_content=124880452&utm_source=hs.










3 vistas0 comentarios