Estas son las 5 verdades del ransomware que actualmente desconocen las empresas españolas

Sophos celebró, por séptimo año consecutivo, el Sophos Day, donde se han reunido alrededor de 1.000 profesionales del sector de la ciberseguridad entre los que destacan clientes, partners, prensa y expertos.

Durante la jornada, el equipo experto de Sophos analizaba la situación del panorama actual de ciberamenazas y qué tipo de ciberataques están teniendo más presencia en todo el mundo. Sophos apuesta por un cambio de paradigma, haciendo evolucionar sus soluciones de seguridad avanzada y ofreciendo su Ecosistema Adaptativo de Ciberseguridad para que las empresas adopten una defensa estratégica en sus políticas de ciberseguridad.

En el encuentro, Ricardo Maté, Director de Sophos para el sur de Europa, compartía los resultados de Sophos Iberia, que ha experimentado un crecimiento de los ingresos y también presentó los resultados de una encuesta realizada sobre el nivel de protección y los recursos de los que disponen.

“Estos resultados son gracias al conjunto de tecnologías de nueva generación, potentes equipos de inteligencia frente a amenazas, un ecosistema adaptativo e integrado y la gestión del portfolio cloud. El conjunto de estos componentes permite decir que hoy Sophos es una de las compañías más avanzadas en la protección de sus clientes y que proporciona un de las mejores soluciones para sus partners”, afirma Maté.

La situación de ciberamenazas es cada vez más complejo. Los cibercriminales desarrollan sus técnicas y sus modelos de ataque y extorsión cada vez más y mejor. El informe presentado revela cómo el ransomware es más complejo de lo que los departamentos de TI de las empresas consideran. Por eso el informe trata de alertar de que los ataques cada vez son más dirigidos y dañinos y, en consecuencia, tienen un impacto superior.

1. El ataque empieza semana antes de que lo sepas. De media los atacantes pasan en el red de la víctima 11 días. En los ataques más breves detectados por Sophos, los atacantes estuvieron en la red empresarial tan solo 3 horas antes de lanzar el ataque y en los más largos permanecieron hasta 1 año ocultos. Muchas veces las empresas creen que el ataque comienza horas antes de que los sistemas se bloqueen, pero la inteligencia de amenazas de Sophos revela que los atacantes están ahí mucho antes, esperando el momento oportuno.
2. El ransomware no se propaga, es desplegado. Es habitual pensar que el ransomware se lanza de forma descontrolada sobre una red empresarial. Sin embargo, a excepción de WannaCry y alguna otra familia de ransomware, los ataques están constantemente bajo el control de los cibercriminales. Cuando lanzan el ataque ya han escaneado la red, identificado los servidores críticos y han usado las cuentas y herramientas de la propia empresa para lanzar el ransomware a sus dispositivos seleccionados previamente.
3. El ransomware es solo una parte del ataque. La mayoría de los ataques de ransomware dirigidos por humanos actuales incluyen la exfiltración de datos, a veces robando cientos de gigabytes o incluso terabytes de datos. Pero eso no es todo, ya que después de que el ransomware haya sido detenido y la empresa haya comenzado su recuperación, pueden comenzar a recibir correos electrónicos amenazantes, llamadas telefónicas y ataques DDoS. Los atacantes también pueden contactar con clientes, proveedores, e incluso publicarlo en redes sociales, para informar de que su red no es segura y mermar la credibilidad de la compañía.
4. Las copias de seguridad desaparecen con el ataque. Es fácil pensar cuando se habla de un ataque de ransomware: ¿por qué no usaron las copias de seguridad? La realidad es que la mayoría de las empresas cuentan con copias de seguridad, pero los ciberdelincuentes, aprovechan el ataque y el acceso a las cuentas de administrador y, antes de lanzar el propio ataque de ransomware, borran las copias de seguridad e incluso desinstalan el software de backup al completo.
5. Los atacantes siguen teniendo acceso. Después de un ataque es probable que la empresa borre las máquinas cifradas y crea que con eso se resuelve el problema. Normalmente este no es el caso. Los atacantes quieren mantener el acceso a la red vulnerada, para poder controlar la recuperación y lanzar otro ataque más adelante, dejando muy claro a sus víctimas que o pagan el rescate o continuarán atacando. En un incidente reciente con el ransomware Conti, el equipo de Rapid Response de Sophos identificó siete puertas traseras diferentes instaladas por los atacantes, muchas de ellas en máquinas que no habían sido cifradas y que no mostraban signos evidentes de estar involucradas en ese ataque.

“Desafortunadamente no hay una vía sencilla para evitar convertirse en una víctima del ransomware. Hay cientos de cosas que se pueden hacer, pero, lo importante, es concentrarse en las cosas básicas primero. En primer lugar, no puedes luchar contra lo que no ves, por lo que es necesario encontrar los equipos desprotegidos y protegerlos. En segundo lugar, no hay que ponérselo fácil a los atacantes. Es fundamental asegurar los sistemas de operaciones heredadas, actualizarlos y utilizar conexiones seguras. Por último, cuando te enfrentas a atacantes humanos que están en tu red, la tecnología sola no es suficiente, es necesario contar con equipos humanos expertos en busca de alertas, monitorizando los sistemas de seguridad”, explicaba Peter MacKenzie, Director de Incident Response de Sophos.