Cómo prevenir, detectar y remediar el ransomware en empresas

• jueves 30 diciembre, 2021

Cómo funciona el ransomware

El ransomware es un tipo de malware que amenaza con publicar los datos de la víctima y / o bloquear permanentemente el acceso a ellos a menos que se pague un rescate. Algún ransomware simple puede bloquear el sistema de una manera que no sea difícil de revertir para una persona con conocimientos. El ransomware más avanzado utiliza una técnica llamada extorsión criptoviral, en la que cifra los archivos de la víctima para hacerlos inaccesibles y exige un pago de rescate para descifrarlos.

Como ataque cibernético, el ransomware es una de las amenazas más peligrosas para las organizaciones, aunque muchas empresas piensan en el ransomware como un ataque aislado, la realidad es que a menudo se implementa como parte de un ataque más grande que puede involucrar:

  Penetración de la red: la primera etapa del ataque generalmente implica la penetración de la red a través de credenciales robadas y malware de acceso remoto.

  Robo de credenciales para cuentas críticas del sistema: la segunda etapa implica subvertir cuentas administrativas críticas que controlan sistemas como la copia de seguridad, el sistema de nombres de dominio (DNS) de Active Directory (AD), las consolas de administración de almacenamiento y otros sistemas clave.

  Ataques a la consola de administración de copias de seguridad: el acceso a la consola de administración de copias de seguridad permite desactivar o modificar las tareas de copia de seguridad y modificar las políticas de retención; también proporciona una hoja de ruta sobre dónde se almacenan los datos confidenciales de las aplicaciones.

  Robo de datos: en muchos casos, el objetivo del ataque no es solo cifrar datos, es robar datos para usarlos en futuras actividades delictivas.

Cómo Cynet XDR previene, detecta y remedia el ransomware en las organizaciones

La plataforma Cynet XDR proporciona un enfoque en capas para la protección contra ransomware con mayor visibilidad y protección en los puntos finales, las redes y los usuarios. Esto permite de forma única a Cynet detectar inmediatamente el ransomware al comienzo de su ciclo. Con su capacidad para responder automáticamente, puede detener el proceso antes de que se cifren los archivos o las unidades.

Prevención y detección extendidas

Cynet utiliza la detección de malware de aprendizaje automático que aprovecha los datos enriquecidos en millones de muestras de malware y mejora continuamente a medida que evoluciona el nuevo malware. Las capacidades de Cynet AI, se basan en el conocimiento profundo de investigadores de ciberseguridad y, como tal, se adaptan a las nuevas técnicas de ransomware de manera rápida y efectiva. La IA de Cynet puede escanear archivos sospechosos y clasificarlos según su naturaleza. Más allá de las protecciones de Cynet que escanean archivos en reposo y archivos no ejecutables, Cynet además emplea varios mecanismos de protección en tiempo real diseñados específicamente para prevenir y detectar el ransomware.

Protección de memoria de tiempo real

Además, Detecta y bloquea cadenas de memoria asociadas con ransomware, de modo que incluso un ransomware desconocido u oculto quede expuesto tras la ejecución.

Filtrado de componentes críticos

Protege la bóveda de contraseñas del sistema operativo para que el ransomware no pueda recopilar credenciales ni propagarse por la red.

Filtrado de archivos de tiempo real

Detecta y evita que aplicaciones no aprobadas escriban en varios tipos de archivos, impidiendo el acceso a activos importantes de la empresa.

Tecnología de engaño

Coloca los archivos señuelo y los hosts en varias ubicaciones, especialmente aquellos a los que el ransomware normalmente intenta acceder, para detectar la presencia de ransomware.

Investigación y remediación automatizadas

Descubrir rápidamente y remediar por completo todos los componentes de un ataque de ransomware garantiza que todo el alcance del ataque esté contenido y que no queden componentes ocultos en el entorno. Las capacidades de respuesta automatizada de Cynet garantizan que los ataques de ransomware se detecten, bloqueen y erradiquen de inmediato.

Ejemplo: Incidente Engine

En el siguiente ejemplo, Cynet detectó que un proceso legítimo de Windows intentaba acceder a las credenciales almacenadas. El simple hecho de eliminar este proceso bloquearía este intento y resolvería la alerta, pero no expone ni remedia el ataque por completo. El motor de incidentes investiga la alerta e inmediatamente encuentra que el host está comprometido y aísla la máquina. Una investigación adicional determina que la causa raíz es una máquina interna comprometida diferente que intenta moverse lateralmente a través del entorno. Cynet aísla esa máquina y deshabilita la cuenta administrativa responsable. Estas acciones detienen el ataque y proporcionan datos importantes para que el equipo de seguridad responda aún más a este incidente.

Remediación ampliada

Cynet XDR proporciona la gama más amplia de acciones de reparación automatizadas en terminales, redes y usuarios. Cynet incluye soluciones para cada mecanismo de detección de la plataforma. A menudo, se necesitan múltiples acciones de reparación en todo el entorno para eliminar todo rastro de un ataque. Cynet XDR puede realizar las reparaciones necesarias en archivos, hosts, redes y usuarios desde un solo panel.

Remediación personalizada

Más allá de las capacidades de remediación incorporadas, Cynet le permite crear sus propias remediaciones personalizadas aprovechando scripts y comandos personalizados para acciones de remediación más complejas únicas para su entorno. También puede automatizar las acciones tomadas para remediar una amenaza específica para crear una corrección personalizada.

Remediación automatizada

Combina varias acciones de remediación juntas en respuesta a amenazas específicas. Los libros de jugadas se pueden invocar automáticamente cuando la amenaza se detecta o se activa manualmente, según lo que prefiera la organización. Los clientes pueden aprovechar los libros de jugadas de remediación preconstruidos que se proporcionan en la plataforma Cynet o crear fácilmente libros de jugadas totalmente personalizados para satisfacer sus necesidades particulares. Además, Cynet siempre está disponible para crear libros de jugadas de remediación a pedido.

Servicio de MDR proactivo 24/7

El servicio MDR 24×7 de Cynet monitorea continuamente su entorno para garantizar que no se pase nada por alto y que cualquier indicio de ransomware se investigue y resuelva de inmediato. El equipo de ciberseguridad de clase mundial de Cynet, CyOps, la supervisión y el asesoramiento de expertos están disponibles para todos los clientes de Cynet sin costo adicional. Los investigadores de CyOps analizan continuamente las técnicas de ransomware más recientes, desarrollan mecanismos de protección y educan a los clientes sobre las mejores prácticas de protección.

Si deseas conocer más acerca de Cynet y obtener una demostración de la plataforma o una prueba gratuita de 14 días de la mano de los especialistas más reconocidos del mercado, contáctanos ahora y un representante Advance estará encantado(a) de brindarte todo el apoyo que necesitas.

En Advance Networks somos una empresa de telecomunicaciones y ciberseguridad con más de 20 años de experiencia en el mercado y tenemos el propósito de acompañar a las empresas en su camino a la transformación digital, proporcionando soluciones a la medida de las necesidades de nuestros clientes.