Instituto de Ciberseguridad

Ransomware y su evolución impactando al negocio

noviembre 7, 2022 - Ciberseguridad

El #ransomware es una de las amenazas que las organizaciones en la actualidad suelen temer a niveles descomunales, y tienen razón ya que el Ransomware ha evolucionado, no sabemos desde cuándo, pero tenemos una hipótesis, hubieron 3 amenazas que cambiaron el juego: #Wannacry, Petya NOT Petya, y #REvil (Sodinokibi).

WannaCry sentó los precedentes para masificar la infección en la red incrementando el número de recursos afectados utilizando mecanismos de distribución de gusano.

Petya Not Petya sentó los precedentes para afectar a al Master boot Record del sistema operativo, así como cambiar o asignar contraseñas de la BIOS del dispositivo.

REvil (Sodinokibi) sentó los precedentes para hacer exfiltración de datos a través del análisis del comportamiento del usuario, permitiendo identificar la cantidad de veces que accede a un recurso o serie de recursos en un determinado lapso de tiempo y cifrar los archivos que son más críticos para el usuario.

Un antes y después

[qt-spacer]

En la parte izquierda tenemos como objetivo a los usuarios particulares o usuarios de internet

  • Los ataques solían ser lanzados para tener un mayor nivel de infecciones sin importar quién se viera comprometido.
  • Se realizaba un cifrado de los archivos de manera oportunista, no importaba el tipo de archivos comprometidos, el tamaño o ubicación
  • La probabilidad de causar impacto interrupción de negocio grabe.
  • Como medida de acción era la remediación solían utilizarse las copias de seguridad y la eliminación del Malware para seguir realizando nuestras actividades.

En la parte derecha tenemos como objetivo a las organizaciones, pueden ser empresas particulares o  MSP para tener aún mayor impacto al momento de infectarlos.

  • Estos ataques son lanzados para tener un mayor nivel de eficiencia al momento de la infección, casi personalizados para la organización o haciendo referencia a las APT.
  • Con base en inteligencia artificial el cifrado y la exfiltración de datos es calculada ¿De qué sirve llevarse o cifrar toda la información si realmente sólo unos cuantos recursos son los que le importan a la empresa ya sea por nivel de confidencialidad o disponibilidad?
  • Gracias a la inteligencia artificial, el daño o impacto a la organización es mucho mayor, debido a que los sistemas y recursos críticos son identificados a plenitud.
  • La mejor defensa es tener al adversario fuera de nuestra organización, para ello se requieren tener identificados nuestros recursos críticos, así tener implementados con mecanismos de detección, respuesta y continuidad ante incidentes. Las copias de seguridad no bastan, ya que la interrupción al negocio está garantizada.
[qt-spacer]

Tiempo promedio de interrupción de negocio por infección

[qt-spacer]

Con base en nuestra encuesta de “Infectado con un Ransomware 2022” podemos identificar que el tiempo de restablecimiento y por ende de interrupción del negocio son los anteriores mostrados en la imagen:

  • 1 a 10 horas para recuperar la operación – 42%
  • 2 a 5 días para recuperar la operación – 23%
  • 11 a 24 horas para recuperar la operación – 11%
  • Más de un mes – 8%
[qt-spacer]

¿Tu organización está preparada para identificar y afrontar una infección por Ransomware o filtración de datos?

[qt-spacer size=”xs”]