Documentos de Académico
Documentos de Profesional
Documentos de Cultura
The Evolution of Ransomware White PaperSanishLatAmSept21 PDF
The Evolution of Ransomware White PaperSanishLatAmSept21 PDF
LA EVOLUCIÓN
DEL RANSOMWARE:
CÓMO PROTEGERSE
DE LAS NUEVAS
TENDENCIAS Y MÉTODOS
DE LOS ADVERSARIOS
Productos CrowdStrike
No hay duda de que el ransomware continúa siendo una amenaza creciente. De hecho,
los adversarios de ransomware que proliferaron en el 2020 continúan tan decididos
ESTUDIO DE CASO
como siempre, lo que se ha visto evidenciado por la introducción de tácticas, técnicas y EL RANSOMWARE DARKSIDE
procedimientos (TTPs, por sus siglas en inglés) cada vez más dañinos y que fueron
presentados a detalle en el Informe Global de Amenazas de CrowdStrike 2021. Los ALTERA EL FUNCIONAMIENTO
ataques globales de alto perfil a los sectores público y privado muestran sólo una
pequeña imagen de una industria cibercriminal que es mucho más amplia, especialmente
DE COLONIAL PIPELINE
porque no todos los ataques de ransomware acaban siendo noticia. En efecto, en la
Encuesta de CrowdStrike sobre la Postura de Seguridad a Nivel Global 2020, el 56% Un ataque de ransomware interrum-
de los encuestados admitió que su organización había sufrido un ataque de ransomware pió el funcionamiento de Colonial
en los 12 meses anteriores. Pipeline en mayo de 2021 -el
oleoducto transporta casi la mitad de
Este documento explica la evolución del ransomware por medio del análisis de las nuevas todo el combustible que se consume
tendencias en las amenazas de extorsión en línea, ofreciendo consejos prescriptivos en la costa este de Estados Unidos-,
sobre cómo proteger y asegurar su organización contra este tipo de ataque. reflejando la fragilidad de las
infraestructuras más importantes y la
El ransomware ha sido titular de noticias constantemente en los últimos seis años. El 10 de mayo, el FBI señaló pública-
No obstante, tomar computadores o archivos de los usuarios como rehenes, por mente que el incidente de Colonial
medio de la encriptación de archivos, dificultando el acceso al sistema u otros Pipeline estuvo relacionado con el
métodos - y luego exigiendo un rescate para devolverlos - es una idea bastante ransomware DarkSide. Más tarde, se
antigua. A finales de la década de 1980, los delincuentes ya tomaban computadoras informó que Colonial Pipeline sufrió
o archivos como rehenes a cambio de dinero enviado a través del correo. el robo de aproximadamente 100 GB
Uno de los primeros virus ransomware documentados fue el troyano AIDS (PC de datos de su red y que la organiza-
Cyborg Virus), lanzado en disquete en 1989. Las víctimas debían enviar $189 dólares ción afirmó haber pagado casi 5
a una dirección en Panamá para restaurar el acceso a sus sistemas, a pesar de que millones de dólares a una filial de
era un simple virus que utilizaba criptografía simétrica. DarkSide. Según Reuters, "El
Departamento de Justicia recuperó
MONETIZACIÓN el lunes alrededor de $2,3 millones
de dólares de un rescate en
A pesar de su larga historia, los ataques de ransomware todavía no estaban tan criptomonedas pagado por Colonial
extendidos en la década de 2000 - probablemente debido a las dificultades en el Pipeline Co, tomando fuertes
cobro de los pagos. No obstante, todo esto cambió con el surgimiento de las medidas contra los hackers que
criptomonedas, tales como el Bitcoin en el 2010. Al proporcionar un método fácil e lanzaron uno de los ciber ataques
imposible de rastrear para recibir el pago de las víctimas, las monedas virtuales más disruptivos registrados en
crearon la oportunidad para que el ransomware se volviera un negocio lucrativo. Estados Unidos " (7 de junio de 2021).
EL CAZA MAYOR
Para optimizar sus esfuerzos, los operadores del eCrime decidieron pasar del estilo de ataques
de "disparar a diestra y siniestra", que dominaban el espacio del ransomware, a centrarse en una
"caza mayor" (BGH, por sus siglas en inglés). El BGH combina el ransomware con las tácticas,
técnicas y procedimientos (TTPs) comunes en los ataques dirigidos a organizaciones más
grandes. En vez de lanzar una mayor cantidad de ataques de ransomware contra blancos
menores, el objetivo del BGH es centrar los esfuerzos en menos víctimas que puedan producir un
mayor beneficio financiero - aquellas que valgan el tiempo y el esfuerzo de los criminales.
Esta transición ha sido tan pronunciada que, en el Informe Global de Amenazas de CrowdStrike®
del 2020 y 2021, el BGH fue señalado como una de las tendencias más destacadas en el ecosis-
tema del eCrime. Este cambio tectónico hacia los ataques de caza mayor se ha sentido en todo el
ecosistema del eCrime, siendo que la extorsión de datos y el pago de rescates se han vuelto las
tácticas más comunes para la monetización en el 2020. A lo largo del 2020, el BGH siguió siendo
una amenaza generalizada para las empresas de todo el mundo y de todos los sectores, siendo
que CrowdStrike Intelligence ha identificado al menos 1.377 infecciones específicas de BGH.
Vector de Infección Inicial Movimiento Lateral Despliegue del Rescate Rescate Bitcoin
Figura 1. Los grupos adversarios están apuntándoles a las organizaciones empresariales con ataques
BGH que representan enormes ganancias.
Productos CrowdStrike
Dridex; y el WIZARD SPIDER, también conocido como el operador ruso del 2017 • WannaCry y
malware bancario TrickBot - que en el pasado se había enfocado principal- NotPetya
patrocinados por
mente en el fraude electrónico-, fue identificado como el grupo que creó
Estados- nación
Ryuk. Se ha observado que estos grupos despliegan ataques ransomware • Surge el
que hacen parte de la tendencia del BGH y obtienen enormes ganancias a
ransomware 2016 combinan técnicas
tipo gusano para
JavaScript expandirse por
través de ataques dirigidos que generan grandes recompensas. • Aparece el Locky todo el mundo
• Hospital paga un
CrowdStrike también ha observado que los actores de amenazas han
rescate de $17,000 2015 • Más de 4 millones
de muestras de
• Ingresos del
comenzado a trabajar juntos para facilitar los ataques dirigidos e incremen- ransomware > $1 mil ransomware
tar las capacidades como "megacorps". El Informe Global de Amenazas de millones de dólares • Aparece el
CrowdStrike 2021 identificó que WIZARD SPIDER- un actor de BGH y una • Más de 250,000 2014 ransomware como
servicio
muestras de
"megacorp" de eCrime establecida - mantuvo sus operaciones a un ritmo ransomware
• Surge el TeslaCrypt
acelerado para convertirse en el adversario de eCrime más reportado por • Aparece el
segundo año consecutivo. CryptoLocker 2013 • Más de 100,000
• Uso de claves de muestras de
criptografía RSA ransomware
de 2048-bit • Rescates
LÍMITES BORROSOS
• Ingresos del • Ransomware de
CryptoLocker: imitación de
$30 millones de
dólares en 100 días 2011 aplicación de la ley
ATAQUES SIN ARCHIVOS: RANSOMWARE SIN RANSOMWARE Samas: Se aprovecha de sistemas JBOSS
vulnerables para expandirse en una red,
Las técnicas de ransomware sin archivos están aumentando. Estos son ataques en
atacando, inclusive, archivos de backup en
los que la táctica inicial no da como resultado un archivo ejecutable escrito en el
ésta - ataca grandes organizaciones por
disco. El ransomware sin archivos utiliza herramientas preinstaladas del sistema BGH
operativo, como PowerShell o WMI, para permitirle al atacante realizar tareas sin
tener que ejecutar un archivo malicioso en el sistema comprometido. Esta técnica es WannaCry: Gusano ransomware que
popular porque los ataques sin archivos pueden eludir la mayoría de las soluciones saca provecho del exploit EternalBlue de
de AV tradicionales. Microsoft Windows - encripta utilizando
AES
Para obtener una explicación detallada sobre cómo funciona el ransomware sin
archivos, descargue la infografía de CrowdStrike sobre ransomware sin archivos.
Productos CrowdStrike
Los brókeres de acceso son actores de amenazas que obtienen acceso backend a
varias organizaciones (empresas y entidades gubernamentales) y lo venden ya sea en
foros criminales o a través de canales privados. Los compradores ahorran tiempo con
blancos de ataque identificados previamente y un acceso ya establecido, permitiendo
tener más blancos de ataque y despliegues más rápidos que resultan en una mayor
probabilidad de monetización. El uso de brókeres de acceso se ha vuelto cada vez más
común entre los actores del BGH y potenciales operadores de ransomware.
CrowdStrike Intelligence ha observado que algunos brókeres de acceso están
asociados a grupos de RaaS.
Para las organizaciones que desean que se les realice una administración, cacería de amenazas, monitoreo
y remediación experimentadas, la detección y respuesta gestionadas (MDR, por sus siglas en inglés) de
CrowdStrike Falcon Complete™ ofrece un ROI del 403% con 100% de confianza, así como una de las
mejores garantías de prevención de brechas que alcanza hasta $1 millón de dólares.
La plataforma CrowdStrike Falcon de protección de endpoints también aplica el marco MITRE ATT&CK
con alertas en la plataforma Falcon. Esto les permite a los equipos de seguridad entender rápida y
claramente lo que está sucediendo en sus endpoints en caso de que ocurra un ataque - incluyendo en qué
etapa se encuentra el ataque y cualquier otro grupo adversario conocido que esté vinculado a éste.
ESTUDIO DE CASO:
CÓMO FALCON PROTEGE CONTRA EL RANSOMWARE DARKSIDE
Figura 2. CrowdStrike protege contra el ransomware DarkSide con tecnologías por capas
Productos CrowdStrike
CONCLUSIÓN
Como los titulares de noticias continúan recordándonoslo, el ransomware sigue siendo una
amenaza significativa por parte de cibercriminales y actores de Estado-nación que trabajan
constantemente para aumentar sus capacidades maliciosas. CrowdStrike está comprometido
en defender contra el ransomware, evolucionando e innovando su tecnología de seguridad para
mantenerse un paso adelante de los adversarios más determinados e innovar su tecnología de
seguridad para estar un paso por delante incluso de los adversarios más decididos.
Como evidenciado por este documento, se requiere una combinación de elementos para
proteger adecuadamente a su organización. Esto incluye tomar medidas prácticas para que su
organización esté alineada con sólidas prácticas de seguridad, así como también implementar
la innovadora tecnología de prevención y detección nativa de la nube provista por la plataforma
de CrowdStrike Falcon.
SOBRE CROWDSTRIKE
CrowdStrike® Inc., un líder mundial en ciberseguridad, está redefiniendo la seguridad en la era
de la nube con una plataforma de protección de endpoints construida desde cero para
detener las brechas. La arquitectura de un agente único y liviano de la plataforma
CrowdStrike Falcon® aprovecha la inteligencia artificial (IA) a escala de nube y ofrece
protección y visibilidad en tiempo real en toda la empresa, previniendo ataques en endpoints,
dentro o fuera de la red. Con la tecnología patentada de la CrowdStrike Threat Graph®,
CrowdStrike Falcon correlaciona más de 1 billón de eventos por semana, y en tiempo real,
relativos a endpoints de todo el mundo, alimentando una de las plataformas de datos más
avanzadas del mundo en seguridad.
Con CrowdStrike, los clientes se benefician de una mayor protección, un mejor rendimiento y
un valor-tiempo inmediato ofrecidos por la plataforma Falcon en la nube.
Solo hay una cosa que recordar sobre CrowdStrike: detenemos las brechas.
Hable con un representante para obtener más información sobre cómo CrowdStrike puede
ayudarle a proteger su entorno: