El ransomware es un código malicioso que bloquea o cifra el contenido de un dispositivo y exige un rescate para restaurar el acceso a los datos. Los dispositivos se refieren no solo a teléfonos móviles y computadoras, sino también a servidores e Internet de las cosas (IoT). Por lo tanto, en caso de una infección de ransomware exitosa (y una copia de seguridad inexistente o no funcional), la compañía pierde el acceso a (por ejemplo) facturas, clientes y su propia propiedad intelectual. La infección también puede detener el trabajo en la empresa o detener la producción. Dependiendo de la especialización de la empresa u organización, sus clientes también pueden sufrir, lo que finalmente puede llevarlos a cambiar a un competidor.
En conversaciones con ESET, las empresas y organizaciones identificaron el ransomware como su mayor problema de seguridad. Según Michal Jankech, gerente de producto principal de ESET, la razón de esto no radica necesariamente en la alta prevalencia de este tipo de malware. “Las compañías nombraron al ransomware su principal preocupación debido a ataques muy publicitados, como WannaCry y NotPetya , que causaron daños multimillonarios y sus marcas aparecieron en artículos en los principales medios de comunicación del mundo. Por lo tanto, incluso una persona que nunca había experimentado una infección de ransomware lo percibió como una amenaza grave “, explicó Jankech, quien también agregó que durante las entrevistas con los clientes, las empresas confirmaron que ven el alcance de la asistencia adicional de ESET con respecto a esta amenaza de seguridad.
El correo electrónico sigue siendo el vector más común para la infección de ransomware
En respuesta a las necesidades y preocupaciones de los clientes, ESET integró Ransomware Shield (un módulo de comportamiento específico que evalúa el comportamiento de un código malicioso para detectar si realmente es ransomware) en sus soluciones de seguridad. ESET lleva mucho tiempo proporcionando a sus clientes una muy buena detección de malware basada en el comportamiento y también con el Sistema de prevención de intrusiones basado en host (HIPS) que permite a los usuarios establecer reglas personalizadas para la protección contra el ransomware . Sin embargo, si algo pasa de las otras 11 capas de seguridad , Ransomware Shield se activará automáticamente.
Si bien la infección por ransomware a menudo comienza haciendo clic en un enlace sospechoso o en una factura ficticia, ESET descubrió que el correo electrónico sigue siendo el método de distribución más común en un proceso de dos pasos, donde primero se entrega un descargador, seguido por el ransomware como infección secundaria.
Para combatir estos escenarios, ingrese ESET Dynamic Threat Defense (EDTD) . EDTD proporciona otra capa de seguridad para productos ESET como Mail Security y Endpoint. Utiliza una tecnología de sandboxing basada en la nube y múltiples modelos de aprendizaje automático para detectar nuevos tipos de amenazas nunca antes vistas. Como resultado, los archivos adjuntos clasificados como maliciosos se eliminan del correo electrónico y el destinatario obtiene información sobre la detección.
La necesidad de crear conciencia sobre la seguridad entre los empleados
El debate sobre las causas de las infecciones exitosas de ransomware, ya sea la habilidad de los atacantes o los hábitos de seguridad negligentes de los empleados, no tiene un claro ganador. Mientras que algunos tipos de ransomware son extremadamente sofisticados, otros no lo son. El riesgo de infección por ransomware es solo una de varias razones por las cuales las empresas deberían concentrarse en capacitar a sus empleados sobre qué no hacer clic y qué hacer si ya han hecho algo incorrecto en términos de seguridad.
Lo que no debe olvidarse es el papel del personal de TI responsable del estado general del sistema. “¿Qué causó la propagación de WannaCry? La explotación de una vulnerabilidad conocida en Microsoft Windows. De hecho, la única acción que las empresas debían tomar en términos de prevención era “vacunarse” contra la infección, es decir, instalar los parches de seguridad disponibles. Sin embargo, las empresas que no lo hicieron sufrieron las consecuencias.
No es poca cosa que Wanna Cry no haya afectado tanto a las empresas como a los consumidores protegidos por las tecnologías de varias capas de ESET, ya que ESET había tomado las medidas adecuadas para agregar la detección de red del exploit (EternalBlue) el 25 de abril, dos semanas antes del ransomware más grande ataque en la historia golpeado “, señala Jankech.
Inversión en seguridad mal asignada
Las empresas deben examinar si la alta gerencia ha implementado las medidas correctas que contribuyen positivamente a la seguridad general. “Vemos una tendencia de algunas compañías que gastan cientos de miles o incluso millones de dólares en varias soluciones avanzadas, pero no unos miles más en personal bien capacitado para asumir la responsabilidad de implementar y administrar medidas de seguridad en una red”. Lo mismo se aplica al ejemplo anterior: monitoreo y aplicación de parches de software críticos, que requieren personal dedicado y bien capacitado. En cambio, las empresas a menudo eligen aceptar el riesgo de ciertas debilidades porque no esperan que les ocurra un ataque de ransomware ”, comenta Jankech, señalando las consecuencias de este tipo de racionalizaciones.
Con los riesgos de una implementación inadecuada tan alta, priorizar la implementación de un conjunto de seguridad de varias capas como ESET Endpoint Protection debería ser primordial.
De ninguna manera se disminuyen pasos como el manejo de parches u otros enfoques. Sin embargo, la cobertura integral debe ser el primer objetivo de cualquier estrategia integral de ciberseguridad. Eso comienza con una protección confiable de puntos finales de varias capas, seguida de un mantenimiento sostenido y las mejores prácticas de seguridad.
Para obtener más información sobre cómo proteger a su empresa contra ransomware y ataques similares: