Productos CrowdStrike

LA EVOLUCIÓN
DEL RANSOMWARE:
CÓMO PROTEGERSE
DE LAS NUEVAS
TENDENCIAS Y MÉTODOS
DE LOS ADVERSARIOS
 Productos CrowdStrike

LA EVOLUCIÓN DEL RANSOMWARE: CÓMO PROTEGERSE

DE LAS NUEVAS TENDENCIAS Y MÉTODOS DE LOS ADVERSARIOS

No hay duda de que el ransomware continúa siendo una amenaza creciente. De hecho,
los adversarios de ransomware que proliferaron en el 2020 continúan tan decididos
ESTUDIO DE CASO
como siempre, lo que se ha visto evidenciado por la introducción de tácticas, técnicas y EL RANSOMWARE DARKSIDE
procedimientos (TTPs, por sus siglas en inglés) cada vez más dañinos y que fueron
presentados a detalle en el Informe Global de Amenazas de CrowdStrike 2021. Los ALTERA EL FUNCIONAMIENTO
ataques globales de alto perfil a los sectores público y privado muestran sólo una
pequeña imagen de una industria cibercriminal que es mucho más amplia, especialmente
DE COLONIAL PIPELINE
porque no todos los ataques de ransomware acaban siendo noticia. En efecto, en la
Encuesta de CrowdStrike sobre la Postura de Seguridad a Nivel Global 2020, el 56% Un ataque de ransomware interrum-
de los encuestados admitió que su organización había sufrido un ataque de ransomware pió el funcionamiento de Colonial
en los 12 meses anteriores. Pipeline en mayo de 2021 -el
oleoducto transporta casi la mitad de
Este documento explica la evolución del ransomware por medio del análisis de las nuevas todo el combustible que se consume
tendencias en las amenazas de extorsión en línea, ofreciendo consejos prescriptivos en la costa este de Estados Unidos-,
sobre cómo proteger y asegurar su organización contra este tipo de ataque. reflejando la fragilidad de las
infraestructuras más importantes y la

LA EVOLUCIÓN DEL RANSOMWARE Y LAS TENDENCIAS ACTUALES

magnitud de los problemas a los que
se enfrentan los líderes del sector
público y privado encargados de
UN VIEJO ESQUEMA protegerlas.

El ransomware ha sido titular de noticias constantemente en los últimos seis años. El 10 de mayo, el FBI señaló pública-
No obstante, tomar computadores o archivos de los usuarios como rehenes, por mente que el incidente de Colonial
medio de la encriptación de archivos, dificultando el acceso al sistema u otros Pipeline estuvo relacionado con el
métodos - y luego exigiendo un rescate para devolverlos - es una idea bastante ransomware DarkSide. Más tarde, se
antigua. A finales de la década de 1980, los delincuentes ya tomaban computadoras informó que Colonial Pipeline sufrió
o archivos como rehenes a cambio de dinero enviado a través del correo. el robo de aproximadamente 100 GB
Uno de los primeros virus ransomware documentados fue el troyano AIDS (PC de datos de su red y que la organiza-
Cyborg Virus), lanzado en disquete en 1989. Las víctimas debían enviar $189 dólares ción afirmó haber pagado casi 5
a una dirección en Panamá para restaurar el acceso a sus sistemas, a pesar de que millones de dólares a una filial de
era un simple virus que utilizaba criptografía simétrica. DarkSide. Según Reuters, "El
Departamento de Justicia recuperó
MONETIZACIÓN el lunes alrededor de $2,3 millones
de dólares de un rescate en
A pesar de su larga historia, los ataques de ransomware todavía no estaban tan criptomonedas pagado por Colonial
extendidos en la década de 2000 - probablemente debido a las dificultades en el Pipeline Co, tomando fuertes
cobro de los pagos. No obstante, todo esto cambió con el surgimiento de las medidas contra los hackers que
criptomonedas, tales como el Bitcoin en el 2010. Al proporcionar un método fácil e lanzaron uno de los ciber ataques
imposible de rastrear para recibir el pago de las víctimas, las monedas virtuales más disruptivos registrados en
crearon la oportunidad para que el ransomware se volviera un negocio lucrativo. Estados Unidos " (7 de junio de 2021).

DarkSide está asociado a un grupo

MÁS FÁCIL PERO AÚN COMPLICADO criminal rastreado por CrowdStrike
El eCrime — una amplia categoría de actividad maliciosa que incluye todo tipo de Intelligence como CARBON SPIDER.
ciberataques, incluyendo malware, troyanos bancarios, ransomware, mineware Investigadores de seguridad, clientes
(cryptojacking) y crimeware — aprovechó la oportunidad de monetización creada por y cualquier otra persona interesada
el Bitcoin. Esto dio lugar a una proliferación sustancial del ransomware a partir del en saber más sobre las estrategias
2012. Sin embargo, este modelo de negocio de ransomware sigue siendo imperfecto. técnicas, los sectores atacados y el
Si bien los pagos de Bitcoin son transacciones que los delincuentes pueden utilizar origen de CARBON SPIDER pueden
fácilmente, los blancos de sus ataques, que no son expertos en tecnología, no siempre explorar el Universo Adversario de
pueden navegar por ellos de manera simple. Para garantizar el pago, algunos CrowdStrike para más información
delincuentes han llegado a abrir call centers para brindar soporte técnico y ayudar a de inteligencia sobre este adversario
las víctimas a inscribirse en Bitcoin - pero esto lleva tiempo y cuesta dinero. rastreado y muchos otros.
 Productos CrowdStrike

LA EVOLUCIÓN DEL RANSOMWARE: CÓMO PROTEGERSE

DE LAS NUEVAS TENDENCIAS Y MÉTODOS DE LOS ADVERSARIOS

EL CAZA MAYOR
Para optimizar sus esfuerzos, los operadores del eCrime decidieron pasar del estilo de ataques
de "disparar a diestra y siniestra", que dominaban el espacio del ransomware, a centrarse en una
"caza mayor" (BGH, por sus siglas en inglés). El BGH combina el ransomware con las tácticas,
técnicas y procedimientos (TTPs) comunes en los ataques dirigidos a organizaciones más
grandes. En vez de lanzar una mayor cantidad de ataques de ransomware contra blancos
menores, el objetivo del BGH es centrar los esfuerzos en menos víctimas que puedan producir un
mayor beneficio financiero - aquellas que valgan el tiempo y el esfuerzo de los criminales.

Esta transición ha sido tan pronunciada que, en el Informe Global de Amenazas de CrowdStrike®
del 2020 y 2021, el BGH fue señalado como una de las tendencias más destacadas en el ecosis-
tema del eCrime. Este cambio tectónico hacia los ataques de caza mayor se ha sentido en todo el
ecosistema del eCrime, siendo que la extorsión de datos y el pago de rescates se han vuelto las
tácticas más comunes para la monetización en el 2020. A lo largo del 2020, el BGH siguió siendo
una amenaza generalizada para las empresas de todo el mundo y de todos los sectores, siendo
que CrowdStrike Intelligence ha identificado al menos 1.377 infecciones específicas de BGH.

MODELO DE AMENAZA DEL CAZA MAYOR

Vector de Infección Inicial Movimiento Lateral Despliegue del Rescate Rescate Bitcoin

Figura 1. Los grupos adversarios están apuntándoles a las organizaciones empresariales con ataques
BGH que representan enormes ganancias.
 Productos CrowdStrike

LA EVOLUCIÓN DEL RANSOMWARE: CÓMO PROTEGERSE

DE LAS NUEVAS TENDENCIAS Y MÉTODOS DE LOS ADVERSARIOS LA EVOLUCIÓN DEL
RANSOMWARE MODERNO

LOS ACTORES DETRÁS DE LOS • El BGH ataca 2020

ATAQUES DE RANSOMWARE
infraestructuras
• Una compañía
financiera paga
rescate de 2019 • El BGH ataca
$40 millones
CrowdStrike® Intelligence monitorea el ecosistema eCrime haciéndole gobiernos estatales
de dólares y locales
seguimiento a organizaciones del eCrime, así como a actores de amenazas
• Gobierno local
independientes y sus relaciones. Por ejemplo, el creador del Samas (también • Surgimiento del 2018 paga $ 460 mil
conocido como Sam Sam) fue identificado como un actor de amenazas caza mayor en rescate
llamado BOSS SPIDER; el INDRIK SPIDER fue reconocido por la creación del (BGH)

Dridex; y el WIZARD SPIDER, también conocido como el operador ruso del 2017 • WannaCry y
malware bancario TrickBot - que en el pasado se había enfocado principal- NotPetya
patrocinados por
mente en el fraude electrónico-, fue identificado como el grupo que creó
Estados- nación
Ryuk. Se ha observado que estos grupos despliegan ataques ransomware • Surge el
que hacen parte de la tendencia del BGH y obtienen enormes ganancias a
ransomware 2016 combinan técnicas
tipo gusano para
JavaScript expandirse por
través de ataques dirigidos que generan grandes recompensas. • Aparece el Locky todo el mundo
• Hospital paga un
CrowdStrike también ha observado que los actores de amenazas han
rescate de $17,000 2015 • Más de 4 millones
de muestras de
• Ingresos del
comenzado a trabajar juntos para facilitar los ataques dirigidos e incremen- ransomware > $1 mil ransomware
tar las capacidades como "megacorps". El Informe Global de Amenazas de millones de dólares • Aparece el

CrowdStrike 2021 identificó que WIZARD SPIDER- un actor de BGH y una • Más de 250,000 2014 ransomware como
servicio
muestras de
"megacorp" de eCrime establecida - mantuvo sus operaciones a un ritmo ransomware
• Surge el TeslaCrypt
acelerado para convertirse en el adversario de eCrime más reportado por • Aparece el
segundo año consecutivo. CryptoLocker 2013 • Más de 100,000
• Uso de claves de muestras de
criptografía RSA ransomware
de 2048-bit • Rescates

MÁS SOFISTICACIÓN Y • Ransomware

establecido en $300
2012 alcanzan
los $200

LÍMITES BORROSOS
• Ingresos del • Ransomware de
CryptoLocker: imitación de
$30 millones de
dólares en 100 días 2011 aplicación de la ley

Al igual que cualquier desarrollador de software, los grupos de eCrime se

esfuerzan constantemente por mejorar y actualizar su ransomware con
nuevas funciones. El WIZARD SPIDER, por ejemplo, ha agregado muchas • 10.000 2010
muestras de
capacidades nuevas al Ryuk, eliminando la funcionalidad inútil y obsoleta ransomware
del código. Este grupo también agregó nuevos módulos de enumeración • Nacimiento del Bitcoin
que se descargan en los sistemas de las víctimas para localizar creden- • Surge el ransomware
de bloqueo de pantalla
2009 • El malware
ciales y realizar movimientos laterales dentro del entorno de ésta - con el evoluciona y pasa
de introducir falsos
objetivo de obtener acceso al controlador de dominio. Obtener dicho antivirus (AV) a
acceso con éxito le permite al WIZARD SPIDER desplegar el • Scareware 2008 encriptar archivos
ransomware Ryuk en todo el entorno de la víctima. dominado por AV • El programa
falsos y herramientas fraudulento
de utilidades rogue FileFix Pro
Para complicar las cosas, una tendencia observada en el 2018, y que 2007 extorsiona y pide
$40 para "ayudar" a
continúa hasta hoy, es que las líneas divisorias entre el ransomware de desencriptar los
Estado-nación y las campañas de eCrime se están desdibujando. No está archivos
claro si el código de ransomware es robado o compartido voluntariamen- 2006 • El ransomware va
te entre los actores de Estado-nación y los cibercriminales, pero desde una
CrowdStrike ha observado que ambos tipos de adversarios usan un criptografía de
malware similar, como el Ryuk, ya sea para obtener ganancias financieras • Las primeras 56-bit hasta una de

inmediatas o para crear una distracción y ocultar el origen de un ataque

variantes del 2005 clave pública RSA
ransomware de 660-bit
de Estado-nación. moderno aparecen
"in the wild"
 Productos CrowdStrike

LA EVOLUCIÓN DEL RANSOMWARE: CÓMO PROTEGERSE

DE LAS NUEVAS TENDENCIAS Y MÉTODOS DE LOS ADVERSARIOS

CÓMO FUNCIONA EL RANSOMWARE CEPAS DE RANSOMWARE

Hay muchos puntos de entrada para el ransomware, siendo los correos electróni-
DIGNAS DE ATENCIÓN
cos de phishing y los pop-ups de páginas web los vectores más comunes. Otra ruta
de entrada implica el uso de kits de exploits que sacan provecho de vulnerabilida- BitPaymer: ataca empresas que utilizan el
des específicas. módulo cargador de Dridex para obtener
un punto de apoyo inicial en la red de la
PSICOLOGÍA OSCURA: COMBINANDO LA INTELIGENCIA EMPRESARIAL CON víctima

IMPLACABLE INGENIERÍA SOCIAL DarkSide: Tradicionalmente, los RaaS se

han enfocado en Windows y,
La tecnología y la naturaleza humana son dos caras de la misma moneda cuando se
recientemente, se han expandido a Linux,
trata de ataques de ransomware. En un caso observado por CrowdStrike, el email atacando entornos de empresas por medio
de un CEO fue falsificado y el atacante usó ingeniería social para engañar a los de la ejecución de hipervisores VMware
empleados y llevarlos a que hicieran clic en un enlace dentro de un email falso de ESXi sin parchear o robando credenciales
este ejecutivo. Para tener éxito, este ataque requería una investigación metódica de vCenter.
sobre la administración de la empresa, sus empleados y la industria. A medida que
aumentan los ataques de BGH, la ingeniería social se está convirtiendo en una Dridex: Una cepa de malware bancario
presencia más común en los ataques de phishing. Las redes sociales también que aprovecha las macros en Microsoft
juegan un papel muy importante, no solo permitiéndoles a los atacantes descubrir Office para infectar los sistemas
información de las víctimas potenciales, sino, también, sirviendo de conducto para
Hermes: RaaS distribuido por primera vez
implementar un malware.
en el 2017 — a mediados de agosto de
2018, una versión modificada del Hermes,
POP-UPS DE PÁGINAS WEB Y KITS DE EXPLOITS: UNA DAÑINA COMBINACIÓN apodada Ryuk, comenzó a aparecer en un
repositorio público de malware
Los pop-ups de páginas web y los kits de exploits pueden ser utilizados juntos para
propagar el ransomware que les permite a los atacantes crear "pop-ups troyanos" KeranGer: Primer ransomware dirigido al
o anuncios que contienen códigos maliciosos ocultos. Si los usuarios hacen clic en Mac OS X, también fue capaz de encriptar
uno de ellos, son redirigidos a la landing page del kit de exploits de manera archivos de backup del Time Machine.
encubierta. Allí, un componente del kit de exploits escaneará discretamente el
dispositivo para detectar vulnerabilidades que el atacante pueda explotar. Si el kit PowerWare: Encripta archivos rehenes a
de exploits tiene éxito, éste envía una carga útil de ransomware para infectar el través de una infección "sin archivos"
host. Los kits de exploits son populares entre las organizaciones de eCrime debido
a su naturaleza automatizada. Además, los exploits son una técnica eficiente sin Ransom32: Escrito en Javascript, es
archivos, pues pueden inyectarse directamente en la memoria sin que se requiera adecuado para una infección multiplatafor-
ma en sistemas Mac y Linux
escribir en el disco, haciéndolos indetectables a un software de antivirus tradicio-
nal. Los kits de exploits también están proliferando entre los atacantes menos
Ryuk: Similar al Samas y BitPaymer
sofisticados, porque no requieren una gran cantidad de conocimientos técnicos porque ataca las empresas y utiliza
para ser implementados Con una modesta inversión en la darknet, prácticamente PowerShell-PsExec para expulsar su
cualquier persona puede entrar en el negocio de rescate en línea. binario

ATAQUES SIN ARCHIVOS: RANSOMWARE SIN RANSOMWARE Samas: Se aprovecha de sistemas JBOSS
vulnerables para expandirse en una red,
Las técnicas de ransomware sin archivos están aumentando. Estos son ataques en
atacando, inclusive, archivos de backup en
los que la táctica inicial no da como resultado un archivo ejecutable escrito en el
ésta - ataca grandes organizaciones por
disco. El ransomware sin archivos utiliza herramientas preinstaladas del sistema BGH
operativo, como PowerShell o WMI, para permitirle al atacante realizar tareas sin
tener que ejecutar un archivo malicioso en el sistema comprometido. Esta técnica es WannaCry: Gusano ransomware que
popular porque los ataques sin archivos pueden eludir la mayoría de las soluciones saca provecho del exploit EternalBlue de
de AV tradicionales. Microsoft Windows - encripta utilizando
AES
Para obtener una explicación detallada sobre cómo funciona el ransomware sin
archivos, descargue la infografía de CrowdStrike sobre ransomware sin archivos.
 Productos CrowdStrike

LA EVOLUCIÓN DEL RANSOMWARE: CÓMO PROTEGERSE

DE LAS NUEVAS TENDENCIAS Y MÉTODOS DE LOS ADVERSARIOS

EL RANSOMWARE COMO SERVICIO (RAAS) Y LOS BRÓKERES DE ACCESO

Los proveedores de
Debido a que los ciber criminales siempre están buscando formas de optimizar sus
operaciones y generar más ganancias, éstos se han inspirado en el modelo SaaS RaaS ofrecen todos los
(software como servicio) para crear un modelo RaaS (ransomware como servicio). componentes de ataque
Los proveedores de RaaS ofrecen todos los componentes de ataque necesarios para
necesarios para ejecutar
ejecutar campañas de ransomware, desde códigos maliciosos hasta paneles de
resultados. Algunos también incluyen un departamento de servicio al cliente, permitien- campañas de
do que el ransomware esté al alcance de criminales sin experiencia técnica. Adicional- ransomware, desde
mente, el costo de la suscripción suele cubrirse con parte de las ganancias de una
códigos maliciosos
campaña - haciendo que este modelo sea una opción rentable para los cibercriminales.
hasta paneles de
Un ejemplo de esto es el famoso RaaS CARBON SPIDER. CARBON SPIDER profundi- resultados.
zó su compromiso con el BGH en agosto de 2020 utilizando su propio ransomware,
DarkSide. En noviembre de 2020, éste amplió su marca en el BGH al establecer un
programa de afiliados de RaaS para DarkSide. Este programa permite que otros
actores de amenazas usen el ransomware DarkSide mientras le pagan una parte a
CARBON SPIDER.

Los brókeres de acceso son actores de amenazas que obtienen acceso backend a
varias organizaciones (empresas y entidades gubernamentales) y lo venden ya sea en
foros criminales o a través de canales privados. Los compradores ahorran tiempo con
blancos de ataque identificados previamente y un acceso ya establecido, permitiendo
tener más blancos de ataque y despliegues más rápidos que resultan en una mayor
probabilidad de monetización. El uso de brókeres de acceso se ha vuelto cada vez más
común entre los actores del BGH y potenciales operadores de ransomware.
CrowdStrike Intelligence ha observado que algunos brókeres de acceso están
asociados a grupos de RaaS.

OFUSCACIÓN DE MALWARE IMPLEMENTADA EN PROCESOS DE COMPILACIÓN

En el 2020, CrowdStrike Intelligence observó que WIZARD SPIDER y MUMMY SPIDER
implementaron herramientas de protección de software de código abierto en sus proce-
sos de compilación de malware.

El uso de técnicas de ofuscación en malware no es algo nuevo. Sin embargo, la inclusión de

herramientas de código abierto en los procesos de compilación es algo novedoso, pues
respalda adversarios avanzados que están buscando formas de mantener la agilidad en
sus procesos de desarrollo. Debido a la complejidad del código abierto, esta táctica puede
tener una adopción limitada por parte de los grupos de amenaza menos sofisticados.

ATAQUES A LA INFRAESTRUCTURA DE VIRTUALIZACIÓN

En el 2020, CrowdStrike Intelligence observó tanto a SPRITE SPIDER (los operadores
de Defray777) como CARBON SPIDER (los operadores de DarkSide) desplegando las
versiones Linux de sus respectivas familias de ransomware en hosts ESXi en operacio-
nes de BGH. Aunque el ransomware para Linux no es algo nuevo, sí lo es que los actores
de BGH ataquen a Linux y, específicamente, a ESXi. Este es un blanco de ataque natural
para los operadores de ransomware, pues cada vez más organizaciones están migrando
a soluciones de virtualización para consolidar los sistemas de TI tradicionales.
 Productos CrowdStrike

LA EVOLUCIÓN DEL RANSOMWARE: CÓMO PROTEGERSE

DE LAS NUEVAS TENDENCIAS Y MÉTODOS DE LOS ADVERSARIOS

CÓMO PROTEGERSE DEL RANSOMWARE INDICADORES DE

ATAQUE: UNA FORMA
PASOS PRÁCTICOS
ÚNICA Y EFICIENTE DE
Las copias de seguridad son una buena defensa, pero también deben protegerse, pues a
menudo son lo primero que los atacantes bloquean o intentan destruir en un entorno. DETENER EL MALWARE
Asegurarse de que las copias de seguridad están seguras y se pueda acceder a ellas por
separado, incluso en un entorno comprometido, es una medida de precaución estándar.
SIN ARCHIVOS
En septiembre de 2020, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, El ransomware sin archivos es
por sus siglas en inglés) del Departamento de Seguridad Nacional de EE. UU.y el Centro de extremadamente difícil de detectar
Análisis e Intercambio de Información Multiestatal (MS- ISAC), publicaron una guía conjunta utilizando métodos basados en
sobre ransomware, resaltando las medidas adicionales que las organizaciones deben tomar firmas, sandboxing o, inclusive,
para entender y enfrentar las amenazas del ransomware. La guía ofrece consejos sobre análisis de machine learning.
cómo protegerse del ransomware, cómo prepararse para un posible incidente, cómo CrowdStrike ha desarrollado un
recuperarse de un ataque y dónde encontrar ayuda. Ésta incluye recomendaciones prácti- enfoque más eficiente, utilizando
cas que van desde mantener los sistemas parcheados y actualizados, hasta capacitar a los indicadores de ataque (IOAs, por
sus siglas en inglés) para identificar
usuarios finales y crear y ejecutar un plan de respuesta a incidentes.
y bloquear ransomware desconoci-
do adicional y otro tipo de ataques.
Los IOAs buscan señales de alerta
USO DEL MARCO MITRE ATT&CK® PARA EVALUAR LA PREPARACIÓN temprana de que un ataque puede
estar en marcha - las señales
El marco MITRE ATT&CK es una matriz integral que reúne y clasifica las técnicas y tácticas
pueden incluir la ejecución de
utilizadas por los adversarios. Éste incluye técnicas específicas de ransomware bajo una códigos, intentos de ser sigiloso y el
categoría llamada “Impacto.” La información provista les permite a los equipos de seguridad movimiento lateral, por nombrar
ver cómo pueden ser atacados, reflexionar sobre sus habilidades para detectar y detener algunos. Al identificar la ejecución
dichas técnicas y planear una óptima protección. de estas actividades en tiempo real,
incluida su secuencia y dependen-
cias, la tecnología IOA puede
EL ENFOQUE DE CROWDSTRIKE reconocerlas como indicadores
Debido a que los creadores de ransomware cambian sus técnicas constantemente, la tempranos que revelan las verdade-
plataforma de última generación de CrowdStrike Falcon® de protección de endpoints les ras intenciones y objetivos de un
permite a los equipos de seguridad utilizar una variedad de métodos complementarios de atacante.
prevención y detección, incluyendo los siguientes:
Los IOAs también proporcionan una
forma confiable de evitar que el
Higiene de TI para una rápida identificación y eliminación de actividades maliciosas o que ransomware elimine las copias de
no cumplen con ciertos estándares, proporcionando una visibilidad inigualable y en tiempo seguridad. Esto les brinda a los
real de los dispositivos, usuarios y aplicaciones dentro de su red usuarios la capacidad de restaurar
archivos encriptados, incluso si
Machine learning para la prevención de ransomware conocido y previamente desconoci- dicha encriptación comenzó antes
do o de "día cero", sin necesidad de actualizaciones
de que el ransomware fuese
detenido. Esta capacidad de los
Bloqueo de exploits para detener la ejecución y propagación de ransomware a través de
IOAs de monitorear, detectar y
vulnerabilidades sin parchear
bloquear los efectos de lo que el
ransomware está tratando alcanzar
Indicadores de ataque (IOAs) para identificar y bloquear comportamientos adicionales de
permite detener los ataques antes
ransomware y proteger contra ransomware sin archivos y otras nuevas categorías
de que se produzca algún daño. De
hecho, el enfoque IOA es tan
Análisis de amenazas automatizado para obtener, de manera inmediata, todos los detalles
efectivo y resiliente frente a
sobre el ransomware encontrado, incluyendo su origen, atribución, familias similares e
iteraciones de ransomware que un
IOCs (indicadores de compromiso)
solo IOA puede cubrir contra
numerosas variantes y versiones de
Zero Trust para comprender datos sobre comportamiento, limitar la superficie de ataque
múltiples familias de ransomware,
con la segmentación, automatizar la seguridad vinculada al contexto y verificar continua-
incluyendo las nuevas que son
mente el acceso con la menor fricción posible
lanzadas "in the wild".
 Productos CrowdStrike

LA EVOLUCIÓN DEL RANSOMWARE: CÓMO PROTEGERSE

DE LAS NUEVAS TENDENCIAS Y MÉTODOS DE LOS ADVERSARIOS

Para las organizaciones que desean que se les realice una administración, cacería de amenazas, monitoreo
y remediación experimentadas, la detección y respuesta gestionadas (MDR, por sus siglas en inglés) de
CrowdStrike Falcon Complete™ ofrece un ROI del 403% con 100% de confianza, así como una de las
mejores garantías de prevención de brechas que alcanza hasta $1 millón de dólares.

La plataforma CrowdStrike Falcon de protección de endpoints también aplica el marco MITRE ATT&CK
con alertas en la plataforma Falcon. Esto les permite a los equipos de seguridad entender rápida y
claramente lo que está sucediendo en sus endpoints en caso de que ocurra un ataque - incluyendo en qué
etapa se encuentra el ataque y cualquier otro grupo adversario conocido que esté vinculado a éste.

ESTUDIO DE CASO:
CÓMO FALCON PROTEGE CONTRA EL RANSOMWARE DARKSIDE

La plataforma Falcon de Como se evidencia en la Figura 2, Además del machine learning, la

CrowdStrike incorpora informa-
ción de inteligencia derivada del
monitoreo continuo de las TTPs
de más de 160 actores de
amenazas identificados y
numerosos grupos sin nombre
atribuido, permitiendo proteger-
se contra ataques sofisticados,
incluyendo los del ransomware
DarkSide.
CrowdStrike emplea un enfoque
por capas cuando se trata de
detectar el malware, incluyendo
el machine learning e IOAs.
el sensor Falcon es capaz de
matar el proceso del
ransomware tan pronto se
identifica el comportamiento de
encriptación de archivos.
Este video expone cómo la
muestra de ransomware
DarkSide es bloqueada y aislada
inmediatamente por la platafor-
ma Falcon tras su ejecución. El
motor de machine learning de
CrowdStrike forma parte del
agente Falcon y puede proteger
el sistema online u offline.
detección de comportamientos
incorporada en la plataforma
Falcon también identifica la rápida
encriptación de los archivos y
bloquea la ejecución del
ransomware para proteger el
sistema.
CrowdStrike lleva la seguridad en
capas a un nivel más avanzado,
integrando el machine learning y
la detección de comportamientos
en un único agente liviano para
proteger los sistemas más
importantes de los clientes.

Figura 2. CrowdStrike protege contra el ransomware DarkSide con tecnologías por capas
 Productos CrowdStrike

LA EVOLUCIÓN DEL RANSOMWARE: CÓMO PROTEGERSE

DE LAS NUEVAS TENDENCIAS Y MÉTODOS DE LOS ADVERSARIOS

CONCLUSIÓN
Como los titulares de noticias continúan recordándonoslo, el ransomware sigue siendo una
amenaza significativa por parte de cibercriminales y actores de Estado-nación que trabajan
constantemente para aumentar sus capacidades maliciosas. CrowdStrike está comprometido
en defender contra el ransomware, evolucionando e innovando su tecnología de seguridad para
mantenerse un paso adelante de los adversarios más determinados e innovar su tecnología de
seguridad para estar un paso por delante incluso de los adversarios más decididos.

Como evidenciado por este documento, se requiere una combinación de elementos para
proteger adecuadamente a su organización. Esto incluye tomar medidas prácticas para que su
organización esté alineada con sólidas prácticas de seguridad, así como también implementar
la innovadora tecnología de prevención y detección nativa de la nube provista por la plataforma
de CrowdStrike Falcon.

SOBRE CROWDSTRIKE
CrowdStrike® Inc., un líder mundial en ciberseguridad, está redefiniendo la seguridad en la era
de la nube con una plataforma de protección de endpoints construida desde cero para
detener las brechas. La arquitectura de un agente único y liviano de la plataforma
CrowdStrike Falcon® aprovecha la inteligencia artificial (IA) a escala de nube y ofrece
protección y visibilidad en tiempo real en toda la empresa, previniendo ataques en endpoints,
dentro o fuera de la red. Con la tecnología patentada de la CrowdStrike Threat Graph®,
CrowdStrike Falcon correlaciona más de 1 billón de eventos por semana, y en tiempo real,
relativos a endpoints de todo el mundo, alimentando una de las plataformas de datos más
avanzadas del mundo en seguridad.

Con CrowdStrike, los clientes se benefician de una mayor protección, un mejor rendimiento y
un valor-tiempo inmediato ofrecidos por la plataforma Falcon en la nube.
Solo hay una cosa que recordar sobre CrowdStrike: detenemos las brechas.

Hable con un representante para obtener más información sobre cómo CrowdStrike puede
ayudarle a proteger su entorno:

Telefone: +1 (888) 512 8906

E-mail: latam@ rowd trike.com
Web: www.crowdstrike.com/latam/

Más información en www.crowdstrike.com/latam/

© 2021 CrowdStrike, Inc. Todos los derechos reservados.