Ransomware: 10 señales definitivas de que tu empresa será atacada

• miércoles 4 agosto, 2021

El ransomware es un problema que afecta a empresas privadas, estados y gobiernos de todo el mundo y para 2021 los daños a nivel global serán de 20 mil millones de dólares
De acuerdo con el economista, una de cada cuatro organizaciones mexicanas sufrió un ataque de ransomware en 2020. Más de la mitad de las organizaciones afectadas pagó el rescate y solo un cuarto recuperó su información. Mientras que, a nivel global, una de cada tres empresas pagó el rescate y más de la mitad lograron recuperar sus datos gracias a los respaldos con los que se contaba.
Pensar que es suficiente tener un antivirus o firewall es equivocado, incluso las empresas que dan soporte de TI, están en riesgo. Los ciberdelincuentes siempre están desarrollando nuevas tácticas y proteger una empresa no es tan sencillo como poner protección antivirus en sus dispositivos o instalar un firewall. En cambio, se necesita de una estrategia de seguridad cibernética en constante evolución para mantener los equipos a salvo. Pero…

¿Qué es un ransomware?

Un ransomware es un tipo de malware que secuestra el sistema operativo o ciertos archivos de computadora, bloqueando el acceso a cualquier usuario con el fin de pedir a la empresa una cantidad de dinero a cambio de devolverle el control y recuperar los accesos.
Es una amenaza común en empresas de todos los tamaños, sin embargo, las grandes y medianas empresas son las más afectadas, en especial, en sectores como: la banca, servicios públicos, seguros, automotriz, energía, educación, bienes de consumo, salud, medios de comunicación o ecommerce. Donde en la mayoría de los casos el acceso jamás es devuelto, a pesar de que las empresas realicen el pago.

¿Cuáles son las 10 señales definitivas de que tu empresa será atacada?

A pesar de tener un panorama sombrío la buena noticia es que existen señales definitivas que te pueden poner sobre aviso para que puedas reaccionar antes de que te veas en el catastrófico escenario de rescatar tu información.
En Advance Networks te compartimos diez señales definitivas de que tu empresa podría estar en riesgo de ser atacada por un ransomware, así como, lo que puedes hacer para protegerla.

  1. Eres un objetivo si eres vulnerable

Una de los principales motivos que existen para que tu empresa sea atacada por ransomware es brindar la oportunidad a los atacantes para tener éxito en su cometido, pues estos no suceden de repente, son previamente analizados y cuando tu infraestructura de TI se encuentra en condiciones vulnerables, pones a tu empresa como un objetivo fácil. Lo que es igual a:

– Usar un sistema operativo antiguo.
– El personal usa sus propios dispositivos con fines laborales.
– Software antivirus no está actualizado.
– No tienes una estrategia de ciberseguridad basada en la prevención y no en la reacción.
– No tienes políticas de seguridad cibernética.
– Tienes una alta rotación de personal.

 2.  Lentitud en los sistemas

Si tienes la impresión de que tus sistemas se están deteniendo, es decir, si tu conexión a Internet entra y sale constantemente o las cosas simplemente no funcionan de manera eficiente, podría ser una clara señal de que podrás ser atacado por un ataque DoS (denegación de servicio).

3. Email spam y phishing

Sin importar los protocolos de seguridad informática en las empresas, el peligro de ransomware en los correos electrónicos no deseados están a la orden del día, siempre habrá personas a las que se les pueda engañar para que den clic en un enlace malicioso en un email. El phishing utiliza dominios extraños dando la impresión de ser fuentes confiables para el usuario, como un banco, una compañía de tarjeta de crédito o un servicio en línea. Por lo que, para los usuarios no será sencillo detectar el peligro.

 4. Fallidos inicios de sesión

Es natural que “inicios de sesión fallidos” ocurran ocasionalmente cuando alguien olvida su contraseña, sin embargo, cuando existe un aumento notable y poco usual en la cantidad de inicios de sesión fallidos y sobre todo cuando provienen de diferentes cuentas, es probable que alguien esté tratando de ingresar a tu sistema. Otra señal a la que debes darle importancia son inicios de sesión exitosos que parecen sospechosos. Por ejemplo, alguien que inicia sesión desde una ubicación y / o dirección IP inusual. Saltando de una ubicación a otra en lapsos muy cortos de tiempo.

Cabe destacar que tres fallas de inicio de sesión seguidas en los servidores son una señal definitiva de que la red ha sido atacada, así que te recomendamos realizar una lista segura de buenas direcciones IP. Aunque en ocasiones te será difícil ajustarla a la forma de trabajo de hoy en día, donde los usuarios pueden trabajar desde cualquier lugar.

5. Presencia de herramientas utilizadas por los hackers

Existen herramientas que permiten robar información de los usuarios como, datos de identificación, contraseñas, imágenes, entre otros. Una de las más utilizadas es MimiKatz, una aplicación de código abierto que utilizan los atacantes para robar credenciales y escalar privilegios. Benjamin Delpy creó originalmente Mimikatz como una prueba de concepto para mostrarle a Microsoft que sus protocolos de autenticación eran vulnerables a los ataques. En su lugar, creó inesperadamente una de las herramientas de hackers más utilizadas y descargadas de los últimos 20 años.

MimiKatz y Microsoft Process Explorer son dos herramientas comúnmente utilizadas por los hackers cuando quieren robar credenciales. Otras herramientas, aunque son poco menos populares pero igualmente útiles para desactivar la seguridad de tus sistemas son: GMER, PC Hunter, Process Hacker e IOBit Uninstaller. Una vez que detectes la presencia de cualquiera de estas herramientas en tus sistemas te recomendamos llevar a cabo una investigación de forma inmediata.

 6. Uso de escáneres de red

Alguien de tu equipo puede usar un escáner de red como AngryIP o Advanced Port Scanner para un propósito legítimo. Sin embargo, es de vital importancia saber quién lo realiza y que la acción forma parte de un protocolo en beneficio de los propios fines de TI. Establecer la calendarización de estas actividades de la forma más detallada posible hará posible que puedas identificar cuando es una actividad inusual y cuando no, ya que, un hacker con acceso a un dispositivo u ordenador determinará qué accesos de tu red puede violar utilizando escáneres de red.

7. Señal de ataque de prueba

Antes de un ataque de ransomware, los hackers buscarán vulnerabilidades y luego probarán su hallazgo lanzando un ataque a pequeña escala en un par de máquinas para ver cómo responde y qué tan rápido. Este enfoque les da la oportunidad de ver con qué facilidad puede superar sus defensas y cómo deben modificar su ataque en toda regla. Cifrar solo algunos es una señal definitiva de que un ataque de ransomware ampliado es inminente.

8. Infiltración en el Active Directory (AD)

La Active Directory (AD) es una base de datos o directorio que conecta a los usuarios con los recursos de red que necesitan para llevar a cabo su trabajo y que contiene información de la más alta relevancia como el perfil del usuario, y sus datos personales, además de contraseñas. Los hackers suelen utilizar herramientas como BloodHound y AD Find para infiltrarse en Active Directory y obtener acceso al dominio.

9. Programas de eliminación de software

Ya que un hacker tiene acceso de administrador a tu sistema, su siguiente paso será eliminar o deshabilitar el software de seguridad y las protecciones antivirus. A menudo, lo hacen mediante el uso de aplicaciones de eliminación de software legítimas como IOBit Uninstaller, GMER, PC Hunter y Process Hacker. Si detectas la eliminación de software, debes actuar dentro de los 15 minutos o menos, para evitar que se ejecute el ransomware.

10. Tráfico anómalo en conexiones VPN

Una VPN permite a los usuarios conectarse a Internet y a su red corporativa como si se estuvieran conectando a una red privada. El tráfico de Internet está encriptado para evitar que cualquiera pueda interceptarlos, además la actividad del usuario es anónima, proporcionando acceso seguro y privado a los muchos trabajadores de oficina que cambiaron al trabajo remoto a causa de la pandemia. Sin embargo, también estas conexiones son susceptibles a ataques de ransomware. Una señal definitiva de alarma es el volumen del tráfico en horarios laborales y fuera de ellos desde distintas ubicaciones que no sin inclusive coherentes con la ubicación geográfica de los usuarios.

¿Cómo enfrentar los ataques de ransomware?

Para dar solución a los ataques de ransomware a los que, con seguridad será blanco tu empresa, existen dos tipos de estrategia y son las mismas que para cualquier tipo de seguridad. La estrategia de la reacción y la de prevención.

Solución reactiva

Te recomendamos realizar un protocolo de seguridad reactivo que puedas poner en marcha cuando se dé el caso y realizar simulacros que te permitan optimizar las acciones que debes llevar a cabo. Si te encuentras en un escenario donde no te queda más que reaccionar, tu máxima prioridad debe ser el aislamiento de los sistemas afectados. Para contener la infección y evitar que el ransomware se propague, los sistemas infectados deben eliminarse de la red lo antes posible.

Protege tus copias de seguridad bloqueando el acceso a los sistemas de copia de seguridad hasta que se resuelva la infección. Deshabilita las tareas de mantenimiento y en la medida de lo posible identifica el paciente cero, así como el tipo de ransomware.

Puedes utilizar una herramienta gratuita como Cyber Sheriff, proporcionada por Europol y McAfee, para identificar el tipo de malware.

Como punto final, decide si pagarás el rescate, pero recuerda lo que hemos dicho al inicio de este artículo, no es muy probable que recuperes tu información. Si tu empresa se encuentra en un caso extremo donde pudiera tener grandes perdidas de las cuales no podría recuperarse, quizás sea la última opción a considerar, pero aún inclusive en estos casos no lo hagas de inmediato.

Solución preventiva

Existen distintas plataformas en el mercado que ofrecen una solución para prevenir el ransomware, sin embargo, la más completa es Cynet 360, una plataforma avanzada de respuesta y detección de amenazas que brinda protección contra amenazas, incluidos ransomware, ataques de día cero , amenazas persistentes avanzadas (APT) y troyanos.
Cynet proporciona un enfoque de varias capas para evitar que el ransomware ejecute y cifre tus datos:

Descarga previa: aplica múltiples mecanismos contra exploits y malware sin archivos, que generalmente sirve como método de entrega para la carga útil del ransomware, evitando que llegue al punto final en primer lugar.

Prevención previa a la ejecución: aplica un análisis estático basado en aprendizaje automático para identificar patrones de ransomware en archivos binarios antes de que se ejecuten.

En tiempo de ejecución: emplea análisis de comportamiento para identificar un comportamiento similar al ransomware y eliminar un proceso si presenta dicho comportamiento.

Inteligencia de amenazas: utiliza una transmisión en vivo que comprende más de 30 fuentes de inteligencia de amenazas para identificar el ransomware conocido.

Detección difusa: emplea un mecanismo de detección de hash difuso para detectar variantes automatizadas de ransomware conocidos.

Sandbox: ejecuta cualquier archivo cargado en un sandbox y bloquea la ejecución al identificar un comportamiento similar al ransomware.

Archivos señuelo: las plantas atraen los archivos de datos de los hosts y aplican un mecanismo para garantizar que sean los primeros en cifrarse en caso de ransomware. Una vez que Cynet detecta que estos archivos están encriptados, mata el proceso de ransomware.

Bloqueo de propagación: identifica la firma de actividad de red generada por los servidores cuando el ransomware se propaga automáticamente y aísla los hosts de la red.

Esperamos que este articulo sea de utilidad para que identifiques las señales definitivas de que tu empresa será atacada. Si deseas conocer más sobre los ataques de ransomware, cómo debes reaccionar o diseñar una estrategia preventiva, solicita una asesoría gratuita y uno de nuestros especialistas te brindará el apoyo que necesitas sin compromiso.

En Advance Networks somos una empresa de telecomunicaciones y ciberseguridad con más de 20 años de experiencia en el mercado y tenemos el propósito de acompañar a las empresas en su camino a la transformación digital, proporcionando soluciones a la medida de las necesidades de nuestros clientes.