Sábado 25 de noviembre de 2017
Home / Seguridad / Informes & reviews / ¿Hay una plataforma inmune al Ransomware?
ransomware-inmunidad-itsitio

¿Hay una plataforma inmune al Ransomware?

Según el informe SophosLabs 2018 Malware Forecast, la respuesta a esta pregunta es un lamentable no, no la hay. Distintas variantes de Ransomware afectaron a Windows durante el 2017; por su parte los sistemas Android, Linux y MacOS también fueron impactados exponencialmente. Un dato que vuelve crítico este resultado es que sólo dos cepas de Ransomware fueron responsables del 89,5 por ciento de todos los incidentes.

Sophos presentó su SophosLabs 2018 Malware Forecast, un informe que recapitula los incidentes de Ransomware y otras tendencias de seguridad cibernética basados en datos de computadoras de clientes de Sophos de todo el mundo, entre el 1° de abril y el 3 de octubre de 2017. Un hallazgo clave muestra que, aunque el Ransomware predominantemente atacó a los sistemas Windows en los últimos seis meses, las plataformas Android, Linux y MacOS no fueron inmunes.

“El Ransomware se ha vuelto agnóstico a plataformas. Se dirige principalmente a computadoras con Windows, pero este año SophosLabs vio una mayor cantidad de ataques criptográficos en diferentes dispositivos y sistemas operativos utilizados por nuestros clientes en todo el mundo”, explicó Dorka Palotay, investigador de seguridad de SophosLabs y colaborador del análisis de Ransomware en el SophosLabs 2018 Malware Forecast.

El informe también analizó los patrones de crecimiento de Ransomware, indicando que WannaCry, lanzado en mayo de 2017, fue el número uno interceptado de las computadoras de los clientes, destronando al antiguo líder Cerber, que apareció por primera vez a principios de 2016. WannaCry representó el 45.3 por ciento de todo el Ransomware rastreado a través de SophosLabs con Cerber representando el 44.2 por ciento.

“Por primera vez vimos Ransomware con características de gusano, lo que contribuyó a la rápida expansión de WannaCry. Este Ransomware aprovechó una vulnerabilidad conocida de Windows para infectar y propagarse a las computadoras, lo que dificulta el control”, dijo Palotay. “A pesar de que nuestros clientes están protegidos contra él y WannaCry se ha reducido, todavía vemos la amenaza debido a su naturaleza inherente para seguir escaneando y atacando computadoras. Es de esperar que los ciberdelincuentes aprovechen esta capacidad de replicar vista en WannaCry y NotPetya, y esto ya es evidente con Bad Rabbit Ransomware, que muestra muchas similitudes con NotPetya”.

El SophosLabs 2018 Malware Forecast informa sobre el aumento y la caída aguda de NotPetya, Ransomware que causó estragos en junio de 2017. Se distribuyó inicialmente a través de un paquete de software de contabilidad ucraniano, lo que limita su impacto geográfico. Se pudo propagar a través del exploit EternalBlue, al igual que WannaCry, pero debido a que WannaCry ya había infectado a la mayoría de las máquinas expuestas, quedaban pocas sin parchear y vulnerables. El motivo detrás de NotPetya aún no está claro porque hubo muchos errores, grietas y fallas en este ataque. Por ejemplo, la cuenta de correo electrónico que las víctimas necesitaban para contactar a los atacantes no funcionó y no pudieron recuperar sus datos.

“NotPetya se disparó rápida y furiosamente y perjudicó a las empresas porque destruyó permanentemente los datos en las computadoras que golpeó. Afortunadamente, se detuvo casi tan rápido como comenzó”, dijo Palotay. “Sospechamos que los ciberdelincuentes estaban experimentando o su objetivo no era el Ransomware, sino algo más destructivo como un limpiador de datos. Independientemente de la intención, Sophos aconseja encarecidamente no pagar el Ransomware y recomienda las mejores prácticas en su lugar, incluida la copia de seguridad de los datos y el mantenimiento de los parches actualizados”.

Cerber, que se vende como un kit de Ransomware en Dark Web, sigue siendo una amenaza peligrosa. Sus creadores actualizan continuamente el código y cobran un porcentaje del rescate que los atacantes “intermediarios” reciben de las víctimas. Las nuevas características hacen que Cerber no solo sea una herramienta de ataque efectiva, sino que esté siempre disponible para los delincuentes cibernéticos. “Desafortunadamente, este modelo de negocio de Dark Web está funcionando y es probable que una compañía legítima financie el desarrollo continuo de Cerber. Podemos asumir que las ganancias están motivando a los autores a mantener el código”, dijo Palotay.

El Ransomware de Android también atrae a ciberdelincuentes. Según el análisis de SophosLabs, la cantidad de ataques a clientes de Sophos que usan dispositivos Android aumentó casi todos los meses en 2017.

“Solo en septiembre, el 30,4 por ciento del malware malicioso de Android procesado por SophosLabs era Ransomware. Estamos esperando que esto salte aproximadamente al 45 por ciento en octubre”, dijo Rowland Yu, investigador de seguridad de SophosLabs y colaborador del SophosLabs 2018 Malware Forecast. “Una de las razones por las que creemos que el Ransomware en Android está despegando es porque es una forma fácil para que los ciberdelincuentes ganen dinero en lugar de robar contactos y SMS, anuncios emergentes o phishing bancario que requieren sofisticadas técnicas de piratería. Es importante tener en cuenta que el Ransomware de Android se descubre principalmente en mercados que no son de Google Play, otra razón para que los usuarios sean muy cautelosos sobre dónde y qué tipo de aplicaciones descargan”.

El informe de SophosLabs indica que surgieron dos tipos de métodos de ataque de Android: bloquear el teléfono sin cifrar datos y bloquear el teléfono al cifrar los datos. La mayoría de Ransomware en Android no encripta datos de usuario, pero el solo hecho de bloquear una pantalla a cambio de dinero es suficiente para causar dolor a las personas, especialmente considerando cuántas veces en un solo día se accede a la información en un dispositivo personal. “Sophos recomienda hacer una copia de seguridad de los teléfonos en un horario regular, similar a una computadora, para preservar los datos y evitar pagar un rescate solo para recuperar el acceso. Esperamos que Ransomware para Android continúe aumentando y dominando como el tipo principal de malware en esta plataforma móvil en el próximo año”, dijo Yu.

CLAVES PARA EL CANAL

Ya existen herramientas AntiRansomware específicas, algunas desarrolladas por los principales Vendors, y que funcionan con razonable eficiencia. Pero el problema que presentan es estratégico y de escala, similar a los antivirus. Es ineficiente montar un sistema de Seguridad Informática con una herramienta específica para cada familia de amenazas, fundamentalmente porque actúan de manera reactiva (primero aparece la amenaza y lo más rápido posible aparece la solución). El problema es que a la velocidad con que se desarrollan las nuevas amenazas, es cada vez más difícil mantener una solución debidamente actualizada.

Los Vendors que cuentan con herramientas específicas que realmente funcionan, tienen una ventaja competitiva a corto plazo.

Para el mediano y largo plazo hay que seguir desarrollando alternativas basadas en análisis de comportamiento e Inteligencia Artificial.

Por último, y como siempre, debemos recordar que cuando todo falla, lo único que nos puede salvar es el BackUp, por lo que los Vendors de soluciones de Storage deberían aprovechar el escenario de amenazas para recordar a sus clientes la importancia de las copias de seguridad y su rapidez de recuperación.

Acerca de Gustavo Aldegani

Gustavo Aldegani
Consultor Independiente en Seguridad Informática, con 25 años de experiencia, especializado en Implementación de Sistemas Informáticos Seguros en organizaciones militares, de gobierno y privadas de Estados Unidos, América Latina y Argentina. Profesor de la Materia Seguridad Informática en la Universidad de Belgrano.

También puedes ver

einzelnet-partner-ano1

Sophos Iberia premia los logros de su canal

El fabricante celebró el pasado jueves 22 de septiembre en Madrid una nueva edición de …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Real Time Web Analytics