Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
NOTICIA

El ‘malware’ más rentable de la historia

18/10/2016 - Cisco
Los investigadores de seguridad de Cisco prevén que la próxima oleada de ‘ransomware’ será incluso más generalizada y resistente, con funciones de autopropagación que pueden secuestrar redes enteras y que suponen un riesgo inherente para las empresas.

Según el último Informe de Seguridad Semestral de Cisco, que abarca los seis primeros meses del año, el ransomware se ha convertido en el tipo de malware más rentable de la historia.

Cisco Talos (la división de inteligencia frente a amenazas de Cisco) estima que una sola campaña de ransomware podría generar entre 60 y 100 millones de dólares al año, y el FBI calcula que el volumen de negocio de esta peligrosa amenaza podría suponer para los ciberdelincuentes un beneficio de 1.000 millones de dólares anuales a escala global.

Este tipo de malware ­–cuyo objetivo consiste en denegar el acceso a los datos del usuario cuyo equipo ha sido infectado para pedir un rescate a cambio de restablecerlos– aprovecha distintos métodos para propagarse, incluyendo exploit kits, ataques masivos, malvertising(publicidad maliciosa) o campañas de phishing.

Nuevo objetivo: empresas y sectores

El correo electrónico y el malvertising son los principales vectores para campañas de ransomware. Sin embargo, algunos ciberdelincuentes ahora explotan vulnerabilidades de la red y de los servidores para afectar a sectores enteros.

En la primera mitad de 2016, las campañas de ransomware dirigidas a usuarios particulares y de empresas se han extendido y potenciado, incluyendo diversas organizaciones del sector de atención sanitaria; una tendencia que esperamos que continúe incluso conransomware modular (que cambia sus tácticas), aún más destructivo, capaz de extenderse por sí mismo de forma “lateral” y secuestrar redes enteras y, por tanto, organizaciones.

Los rescates se pagan en Bitcoins (algo prácticamente imposible de rastrear), las negociaciones se realizan a través de ToR y se usa el protocolo TLS para reforzar la comunicación anónima a través de la web.

Gran efectividad

Ransomware Cisco 2

Hay docenas de variantes de ransomware, muchas de ellas específicas para cada idioma y todas ellas resistentes. Por ejemplo, Cisco Talos descubrió un spam sobre la actualización gratuita a Windows 10 que al hacer clic instalaba una variante de ransomware (CTB-Locker). En cuestión de horas, Talos publicó la vulnerabilidad.

Otro ejemplo es Angler: kit de explotación para ransomware que Talos detuvo junto a Level 3 Threat Research Labs sobre los servidores de Limestone Networks, evitando un beneficio estimado para los hackers de 30 millones de dólares anuales por campaña; y otro ejemplo es SamSam, otra variante de ransomware que explotaba servidores JBoss.

Pero, además, los autores de marcas de ransomware conocidas como CryptoLocker o CryptoWall han logrado un nivel de efectividad mucho mayor al utilizar el cifrado de archivos protegidos criptográficamente. Actualmente, la mayoría de los ransomware conocidos no se descifran con facilidad, lo que deja a las víctimas con escasas opciones.

A su vez, la infraestructura no actualizada o envejecida complica aún más esta situación. El 92 por ciento de los dispositivos de Internet analizados por Cisco en 2015 corrían con vulnerabilidades conocidas (con una media de 26 por dispositivo), el 31 por ciento ya no tenían soporte y el cinco por ciento estaban descatalogados.

Recomendaciones

Junto a la aplicación con urgencia de parches de vulnerabilidades conocidas en los sistemas y el reemplazo de la infraestructura obsoleta (que ya no recibe actualizaciones ni soporte), las organizaciones pueden utilizar la segmentación de red –con herramientas como VLAN y subredes, firewall dedicado y segmentación de gateway, lista negra y lista blanca de aplicaciones…– para detener o ralentizar el movimiento lateral de amenazas que se auto-propagan, así como para retenerlas.

Y, como última línea de defensa, es imprescindible realizar copias de seguridad de datos críticos y confirmar que dichas copias no pueden comprometerse, además de asegurarse de que los datos podrán restaurarse rápidamente después de un ataque. El uso de ubicaciones remotas para salvaguardar la información es también muy recomendable.

Dado que el ransomware puede afectar a las organizaciones a través de múltiples vectores de ataque, se necesita una aproximación integrada que combine diversas soluciones como Cisco AMP, Cisco Umbrella, Cisco Next-Generation Firewall o Cisco ISE, y eso es precisamente lo que ofrece Cisco Ransomware Defense, facilitando una completa protección desde las redes hasta la capa DNS, el email y los terminales.

En este sentido, y coincidiendo con la campaña European Cybersecurity Month de la UE, el próximo 27 de octubre presentaremos en un seminario que tendrá lugar en Madrid y Barcelona las nuevas funcionalidades de Cisco AMP, que ahora refuerza su capacidad de protección frente al malware avanzado, incluyendo el ransomware, para los terminales y con la sencillez y economía de costes que proporciona el sistema de licencias Cisco ONE.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual