Redes

El ransomware 2.0 está a la vuelta de la esquina y representa una gran amenaza para las empresas

Las ganancias del ransomware lo convierten en uno de los tipos de malware de más rápido crecimiento, según un informe de Cisco, y los nuevos lanzamientos podrían afectar negativamente a la industria en su conjunto.

A pesar de los esfuerzos de muchas organizaciones para mejorar la ciberseguridad, demasiados sistemas aún tienen una infraestructura obsoleta y vulnerabilidades que ponen en riesgo a las empresas, y el ransomware es una de las amenazas más siniestras, según un nuevo informe de Cisco.

El ransomware es el más preocupante, ya que su eficacia para generar ingresos se ha convertido en un área de gran preocupación para los ciberdelincuentes. Una vez que los ciberdelincuentes piratean los archivos de una empresa y los cifran, las víctimas no tienen más remedio que pagar el precio solicitado para obtener el código para descifrar los archivos. El ransomware se está volviendo cada vez más siniestro a medida que se siguen desarrollando nuevas versiones.

«El panorama es simple. Los atacantes pueden moverse a voluntad. Cambian de táctica todo el tiempo. Los defensores tienen que pasar por muchos procesos», comentó Jason Brvenik, ingeniero principal en el Grupo de Negocios de Seguridad de Cisco. Informe de ciberseguridad de mitad de año de Cisco 2023.

Cisco utiliza datos de sus clientes para crear informes, ya que más de 16 000 millones de solicitudes web pasan a través de los sistemas de Cisco todos los días, casi 20 000 millones de amenazas se bloquean todos los días y se detectan más de 1,5 millones de muestras únicas de malware todos los días. Hay 17 piezas nuevas de malware cada segundo, dijo Brvenik.

Ver también: El ransomware como servicio está explotando: prepárese para pagar

Brvenik ofrece los siguientes consejos para las empresas que buscan mejorar la seguridad:

  • Mejore la higiene cibernética: mejore la infraestructura obsoleta para limitar las vulnerabilidades.
  • Defensa integrada: uso de técnicas de aprendizaje automático combinadas con nuevas vistas de datos.
  • Mida el tiempo de detección: descubra cuánto tiempo puede sobrevivir un atacante en su red antes de ser detectado.
  • Proteja a sus usuarios en cualquier momento y en cualquier lugar: proteja a los usuarios en computadoras portátiles, teléfonos inteligentes u otros dispositivos. No solo para proteger la red, sino también para proteger al usuario. Ellos son el objetivo.
LEER  Cómo agregar la funcionalidad Docker Scout a la CLI de Docker

El próximo paso en la evolución del malware será el ransomware 2.0, que según Brvenik «comenzará a replicarse y exigirá mayores rescates. Llegará el lunes por la mañana y el 30 % de sus máquinas y el 50 % de sus servidores estarán encriptados. Esto es fue una escena de pesadilla».

Publicaciones relacionadas

Las campañas de ransomware comenzaron principalmente con correo electrónico y publicidad maliciosa, pero ahora algunos atacantes también están utilizando vulnerabilidades en la red y en el servidor. El ransomware de autopropagación será el próximo paso en la creación de ransomware 2.0, dijo Brvenik, y las empresas deben tomar medidas para preparar y proteger sus redes.

El nuevo ransomware modular podrá cambiar rápidamente de táctica para maximizar la eficiencia. Por ejemplo, los futuros ataques de ransomware evadirán la detección al limitar el uso de la CPU y evitar las operaciones de comando y control. Estas nuevas cepas de ransomware se propagarán y se autorreplicarán más rápidamente dentro de las organizaciones antes de una campaña coordinada de ransomware, según el informe.

informe en detalle un amplio movimiento Parecía apuntar a la industria de la salud a principios de este año. Utiliza la variante de ransomware Samas/Samsam/MSIL.B/C («SamSam»), que se distribuye a través de los servidores infectados. Los atacantes usaron servidores para mover la red lateralmente y comprometer otras máquinas, que luego fueron retenidas para pedir rescate, según el informe.

JexBoxx, una herramienta de código abierto para probar y explotar los servicios de aplicaciones de JBoss, se ha utilizado para permitir que los atacantes accedan a la red de una empresa objetivo. Una vez que los atacantes obtienen acceso a la red, utilizan SamSam para cifrar varios sistemas de Windows.

En general, hay demasiadas brechas de empresas en todos los aspectos de la ciberseguridad que aún no se han abordado. De los 103.121 dispositivos Cisco conectados a Internet estudiados para el informe, cada dispositivo corrió un promedio de 28 vulnerabilidades conocidas. Los dispositivos funcionaron un promedio de 5,64 años con vulnerabilidades conocidas, y más del 9 por ciento de los dispositivos tenían vulnerabilidades conocidas durante más de 10 años, según el informe.

«En abril de este año, Cisco estimó que el 10 % de los servidores JBoss en todo el mundo se vieron comprometidos. Se vieron comprometidos mediante el uso de herramientas listas para usar y exploits antiguos. Adobe Flash sigue siendo el más popular. Les brinda una superficie de ataque viable. Vimos la vulnerabilidad de Microsoft Silverlight. Significa para nosotros que las personas están brindando oportunidades a quienes trabajan para ellos «, dijo Brvenik.

Ver también: 4 formas de reducir sus posibilidades de ser atrapado por publicidad maliciosa

La naturaleza del ataque también podría cambiar, señaló Brevik, con un enfoque en tecnologías y sistemas orientados a servicios donde los equipos están listos para atacar e intentar interrumpir los sistemas. La publicidad es un modo de ataque viable.

«En los últimos cuatro meses, hemos visto un aumento del 300 % en el uso de HTTPS con malware. La inyección de anuncios es el mayor contribuyente. Los atacantes están utilizando el tráfico HTTPS para prolongar las operaciones. Esa es la oportunidad de ataque que existe hoy en día», dice.

Ya no es razonable esperar bloquear el 100 % de las amenazas, pero ser capaz de detectar amenazas rápidamente y limitar el tiempo que los atacantes pasan en su sistema es clave para minimizar el daño. En diciembre de 2014, la mediana de tiempo antes de que se detectara un ataque era de 50 horas. En abril de 2023, el tiempo promedio de los últimos seis meses se redujo a 13 horas, dijo Brvenik.

«A medida que las defensas mejoran y los atacantes cambian, ese es un número vivo. Eso es bueno. Para los clientes con estos sistemas, cuando están bajo ataque, ahora pueden establecer el tiempo promedio para detectarlo», dijo. Acortado a 13 horas. I No voy a dejar mi puerta abierta durante 13 horas; eso es lo que estás haciendo cuando dejas la puerta abierta para un atacante durante 13 horas».

Las industrias que antes pensaban que eran inmunes porque su negocio no estaba interesado en los atacantes estaban equivocadas.

“Ninguna industria está a salvo”, dijo Brvenik. «No es una buena manera de pensar en ello, asumiendo que estás haciendo algo que no es de interés para un atacante».

Tres conclusiones para los lectores de Tecnopedia

  1. De los más de 100 000 dispositivos conectados a Cisco que se estudiaron para el informe, se estaban ejecutando un promedio de 28 vulnerabilidades en cada dispositivo.
  2. El ransomware autopropagante está a la vuelta de la esquina y las empresas necesitan protegerse de las amenazas.
  3. El ransomware proporciona enormes ganancias a los atacantes, alentándolos a crear métodos de ataque más siniestros. El tiempo promedio de ataque fue de 13 horas, frente a las 50 horas de 2014.

Ver también:

istock89059287medium

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba