Hoy te hablaremos de las técnicas y procedimientos del ransomware que los ciberdelincuentes usan en la actualidad para atacar a sus víctimas, las cuales forman parte de los 8 grupos más comunes en los últimos años.
Expertos dieron en el blanco sobre las técnicas y procedimientos del ransomware
Según un estudio de expertos en cifrado de ransomware de Kaspersky, fueron analizadas las técnicas y procedimientos del ransomware de los ocho grupos más letales en la actualidad, los cuales son: BlackCat, Clop, Conti/Ryuk, Lockbit2.0, Pysa, Hive, RagnarLocker y BlackByte.
En tal sentido, estudió sirvió para comparar el modus operandi y herramientas en las distintas etapas del ataque. Por lo tanto, el hallazgo concluyó en que los 8 grupos mantienen el mismo patrón de ataque, esto significa que se puede implementar métodos universales para responder, combatir y proteger la infraestructura de las empresas afectadas.
Detalles del informe sobre los grupos de ransomware
Según el informe Common TTPs of modern ransomware, los grupos de ransomware no solo afectan a organizaciones, sino también a usuarios comunes en internet, mostrando ejemplos reales acerca de cómo estos softwares maliciosos en formato SIGMA (virus secuestrador de sistemas) logran introducirse y afectar a los dispositivos de usuarios y organizaciones.
Por otra parte, el informe retrata detalles explicativos para expertos en las áreas de análisis de SOC (Security Operations Center), detección de amenazas, inteligencia de amenazas e investigación y respuesta a incidentes; de manera que, dichos expertos entiendan aún a qué se están enfrentando cuando se habla de las técnicas y procedimientos del ransomware más letales en la actualidad.
A continuación, te presentamos una serie de recomendaciones prácticas para proteger los entornos e infraestructuras empresariales frente a las técnicas y procedimientos del ransomware…
Prevención y protección contra el ransomware
Lo ideal siempre será evitar un ataque de ransomware antes de que aparezca en el perímetro empresarial:
Filtración del tráfico entrante
La política de filtración de datos debe aplicarse a todos los dispositivos que sean un punto de conexión con el exterior, es decir, firewalls, routers y sistemas IDS (Intrusion Detection System), sin descuidar el filtrado para los correos de spam y posibles ataques de phishing.
Bloqueo de páginas web maliciosas
Es absolutamente necesario restringir el acceso a todas las páginas web maliciosas que sean conocidas como, por ejemplo: aplicar el uso de servidores proxy de interceptación o usar fuentes de información respecto a la inteligencia de amenazas, para mantener una lista siempre actualizada.
Inspección Profunda de Paquetes
En todo entorno, se debe implementar una solución de Inspección Profunda de Paquetes (monitoreo del tráfico de las aplicaciones) en cuanto a puerta de enlaces, ya que permite comprobar el tráfico en busca de software maliciosos.
Bloqueo de malware
Es necesario implementar firmas para bloquear malware o cualquier posible código malicioso.
Autenticación multifactor
Llevar a cabo la autenticación multifactor con contraseñas fuertes y políticas de bloqueo automático de cuentas que acceden desde cualquier punto, siempre será determinante para la protección de los entornos corporativos.
Corregir las vulnerabilidades conocidas y desconocidas
La mejor forma corregir y conocer las vulnerabilidades es a través de una herramienta como Topia, la cual se encarga de instalar parches en sistemas de acceso remoto y dispositivos con conexión a Internet.
Lo más importante: instalar una solución EDR
Para eliminar el camino, un ataque o incidente lo antes posible, es preciso contar con una solución de detección y respuesta a incidentes (EDR), como lo es Cynet. Se trata de un software completo de ciberseguridad que condensa la prevención, detección, correlación, investigación y respuesta a incidentes, de fácil manejo.