Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Por qué las organizaciones caen víctimas de repetidos ataques de ransomware

Algunas organizaciones son golpeadas con ransomware varias veces. Los investigadores de amenazas explican por qué ocurren los ataques repetidos y cómo las víctimas pueden evitar que vuelva a ocurrir.

Ser golpeado con ransomware una vez es una pesadilla para cualquier organización, pero para algunas empresas y gobiernos ha sido una pesadilla recurrente.

Los repetidos ataques de ransomware se han convertido en una ocurrencia común en los últimos años. Según un informe de 2017 del proveedor de protección de datos Druva, el 50 % de los 832 profesionales de TI encuestados dijeron que su organización había sido golpeada con ransomware varias veces. En su encuesta mundial de 2018 de 2.700 gerentes de TI, el proveedor de seguridad de punto final Sophos descubrió que la mayoría de las organizaciones sufrían múltiples ataques con un número promedio de dos por año.

No está claro cuántas organizaciones han sufrido múltiples ataques, ya que las empresas a menudo se niegan a divulgar públicamente incidentes de ransomware. Sin embargo, en las últimas semanas algunas empresas han revelado ataques repetidos. Dos de estas empresas incluyen Toll Group, una compañía de logística australiana, y Pitney Bowes, una compañía de tecnología de envío; ambos fueron golpeados más recientemente en mayo.

Los investigadores de amenazas dicen que hay varias causas detrás de estos incidentes, que van desde malas posturas de ciberseguridad y vulnerabilidades persistentes hasta actores de amenazas persistentes que mantienen el acceso al entorno de las víctimas después del primer ataque.

Mala postura de ciberseguridad

John Shier, asesor de seguridad senior de Sophos, dijo que la razón por la cual algunas organizaciones son golpeadas con ransomware varias veces es engañosamente simple. "En la mayoría de los casos, es simplemente una cuestión de no solucionar los problemas subyacentes que llevaron a la brecha original", dijo Shier a SearchSecurity por correo electrónico. "Esto es especialmente cierto en el caso de los ataques oportunistas. Si tiene computadoras con conexión a internet que no están protegidas o son vulnerables, se encontrarán y abusarán de ellas".

Toll Group, por ejemplo, fue atacado por ransomware dos veces en tres meses. Los dos incidentes no estuvieron relacionados, dijo un vocero de Toll Group, y "se basaron en diferentes formas de ransomware". El último ataque, que ocurrió en mayo, involucró a Nefilim, una variante relativamente nueva de ransomware.

Repetidos ataques de ransomware.

Los ataques repetidos de ransomware también pueden variar en términos de efecto. Pitney Bowes fue golpeado dos veces en siete meses, una en mayo y otra en octubre pasado. El ataque de ransomware Ryuk del año pasado, según la declaración pública de la compañía, cifró "algunos sistemas" el 12 de octubre y causó interrupciones en los servicios de la compañía. "Hemos restaurado la mayoría de nuestras operaciones y servicios a nuestros clientes a nivel mundial. Nuevamente, no hemos visto evidencia de que los datos de clientes o empleados hayan sido accedidos incorrectamente desde la red de Pitney Bowes a nivel mundial. En consulta con nuestros asesores de seguridad, no creemos que los clientes o empleados están en riesgo", decía el comunicado.

Pero en mayo, Pitney Bowes reveló que el segundo incidente involucró el ransomware Maze. La compañía pudo detectar a los hackers y evitar que se ejecutara el ransomware.

"Recientemente, detectamos un incidente de seguridad relacionado con el ransomware Maze. Estamos investigando el alcance del ataque, específicamente el tipo de datos a los que se accedió, que parece ser limitado. Trabajando con nuestros consultores de seguridad externos, tomamos inmediatamente pasos críticos para frustrar el ataque antes de que se pudieran cifrar los datos. En este momento, no hay evidencia de un mayor acceso no autorizado a nuestros sistemas de TI. La investigación sigue en curso", se lee en el comunicado de la compañía.

No está claro cómo los nuevos actores de amenazas pudieron obtener acceso a los entornos de Pitney Bowes y Toll Group, pero Raj Samani, investigador y científico jefe de McAfee, ofreció la siguiente perspectiva.

"Es probable que las organizaciones que se ven afectadas varias veces sean aquellas que no protegen sus sistemas. Por lo general, los grupos de ransomware, y particularmente aquellos grupos que se dirigen a las empresas (y por lo tanto pueden exigir grandes rescates) explotan descuidos de seguridad comunes", dijo. "El incumplimiento de estos descuidos comunes probablemente resulte con infección y luego reinfección".

Tampoco es raro que múltiples grupos de amenazas tengan acceso simultáneo a la misma red. "Sophos investigó recientemente un ataque de ransomware en el que dos grupos separados habían obtenido acceso independiente a la red de la misma compañía", dijo Shier. "Una pandilla esperó pacientemente a que la otra completara sus acciones antes de atacar por segunda vez".

Actores de amenazas persistentes

Mientras que muchos expertos en seguridad señalan posturas de seguridad débiles, otros, como el analista de amenazas de Emsisoft Brett Callow, señalan situaciones en las que se crean puertas traseras que permiten el acceso continuo. En el ataque de ransomware que involucró al Departamento de Transporte de Colorado (DoT), los actores de amenazas mantuvieron su acceso con Trickbot después de infectar el DoT. Afortunadamente, el equipo de respuesta al incidente pudo detectar la infección Trickbot durante la investigación forense, lo que probablemente evitó otro ataque.

"Si bien es inusual que las compañías sean golpeadas por ransomware más de una vez, ciertamente no carece de precedentes. En algunos casos, es simplemente una coincidencia, pero en la mayoría no lo es. Los actores con frecuencia crean puertas traseras para proporcionarles acceso continuo a la red tras el incidente. Las puertas traseras son típicamente 'propiedad' de afiliados que pueden cambiar su lealtad o venderlos o intercambiarlos con otros grupos", dijo Callow. "En consecuencia, un ataque exitoso de un grupo podría resultar en un ataque exitoso de otro. Esta es una de las razones por las que recomendamos encarecidamente que las empresas reconstruyan sus redes después de un incidente de ransomware, en lugar de simplemente descifrar sus datos".

Evitar ataques repetidos

Shier dijo que no existe una regla estricta para decir quién es más probable que sea golpeado varias veces, y que la mayoría de los ataques comienzan de manera oportunista. Sin embargo, dijo: "Muchas empresas todavía están mal equipadas para hacer frente a un ataque de ransomware. Los gobiernos locales y las organizaciones de atención médica son particularmente vulnerables debido a la falta de recursos (personas y productos), y los requisitos de información que los regulan hacen que parezca como si el problema fuera mucho más desproporcionado. Las pequeñas empresas tienen más probabilidades de ser afectadas que las grandes, pero la capacidad de recuperación no es proporcional".

Luego está la cuestión de cómo una organización puede evitar que el ransomware vuelva a suceder.

"Comprender la causa raíz de un ataque de ransomware es de suma importancia. Es importante destacar que la causa raíz podría no haber sido el ransomware; era solo la más visible. En muchos casos, el ransomware es el subproducto de otra infección no detectada. Investigar y remediar la causa subyacente de cualquier ataque cibernético es crucial para prevenir ataques posteriores", dijo Schier. "La implementación del software de seguridad de punto final moderno ayudará a prevenir futuros ataques, pero también garantizará que otros controles, como las copias de seguridad, estén en su lugar para proporcionar capacidad de recuperación adicional contra ataques nuevos".

Mientras tanto, Samani dijo que la defensa contra el ransomware y todos los ataques cibernéticos es un proceso continuo. "Asegurar continuamente que una organización haya asegurado su entorno es esencial", dijo. "No tiene sentido hacer esto solo después de un ataque, pero tiene que haber mecanismos para garantizar que el entorno sea monitoreado continuamente para garantizar que la organización no esté expuesta".

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close