El ransomware está atacando a un ritmo alarmante. La empresa de investigación y consultoría de tecnologías de la información Gartner predice que para 2025, al menos el 75% de las organizaciones de tecnologías de la información se enfrentarán a uno o más ataques. Las herramientas de hackeo cada vez más refinadas y las estrategias de extorsión han hecho del ransomware la mayor amenaza para la protección de datos individual, empresarial e incluso nacional.
Los ataques constantes de Ransomware causan un enorme daño
Cuando el ransomware ataca, roba y cifra datos valiosos. Los datos cifrados sólo se pueden descifrar pagando un rescate a los hackers, mismos que trabajan a través de redes oscuras (darknets), suelen exigir pagos a través de bitcoins, para hacer el pago tan difícil de rastrear como sea posible. El daño que crea el ransomware es grande, tan grande como las ganancias de los hackers.
Según la empresa líder de consultoría de inversiones Cybersecurity Ventures, para 2031 se espera que el ransomware ataque a empresas, consumidores o dispositivos cada dos segundos. En 2021 este número era de sólo 11 segundos, incluso con esa frecuencia más baja, ese mismo año, los daños globales por ransomware alcanzaron los 20,000 millones de dólares, 61 veces más que en 2015.
El rescate más grande hasta ahora fue de 70 millones de dólares, pero, los rescates resuelven el problema? No del todo. Un informe de Cybereason muestra que el 49% de las empresas que pagan el rescate obtienen sólo una parte de sus datos o ninguno en absoluto, mientras que el 80% de las empresas que pagan el rescate son atacadas por segunda vez, de esta forma, los rescates tampoco son el único problema. El ransomware daña las marcas, causa largas interrupciones del servicio, expone a las empresas a responsabilidad legal y más, tales daños colaterales pueden ser enormes, tan grandes como 23 veces el costo del rescate.
- En Marzo de 2021, los hackers cifraron 15,000 dispositivos pertenecientes a una compañía de seguros, un gran número de archivos de datos de clientes corrían el riesgo de filtrarse, así que la compañía pagó 40 millones de dólares para recuperar los datos.
- En Mayo de 2021, el ransomware detuvo todas las operaciones de un gigante de los oleoductos durante 11 días, los precios de la gasolina en el país aumentaron a su nivel más alto en 7 años, lo que provocó compras de pánico, por lo tanto, la compañía pagó un rescate de 4.4 millones de dólares.
- En Abril de 2022 un importante fabricante de automóviles tuvo que reducir su producción anual en 500,000 vehículos después de un ataque a sus proveedores que resultó en una filtración de datos de 1.4 TB.
- En Mayo de 2022, 2 oleadas de ataque hicieron que un país declarara una emergencia de seguridad cibernética, los ataques afectaron servicios básicos como la atención médica e incluso el comercio internacional.
Hay muchos ejemplos más, los hackers fijan como sus objetivos a grandes empresas e industrias de alto valor, el gobierno, sector energético, transporte, finanzas, manufactura y la atención médica son sus principales objetivos, pero nadie está a salvo.
Tendencias en Ransomware que es importante conocer
El ransomware es extremadamente bueno para pasar desapercibido, ya que tiene muchas formas de entrar en su sistema, por ejemplo, almacenamiento, correos electrónicos de phishing, troyanos, redes sociales e información privilegiada maliciosa es difícil de detectar y defender. Un ataque típico cifra o elimina todas las copias de datos locales, e incluso puede dirigirse a los centros de recuperación ante desastres, lo que hace imposible restaurar rápidamente los datos, lo que sigue, según un informe de ZDNet, es un promedio de 16 días hábiles de inactividad del sistema, además, el costo promedio para recuperarse de un ataque calculado por Sophos, es de 1.85 millones de dólares.
Cuatro importantes tendencias de Ransomware:
- Los hackers se enfocan en grandes empresas e infraestructura.
En vez de lanzar campañas amplias, los ataques de ransomware ahora se centran cada vez más en objetivos de alto valor, la investigación que los hackers necesitan hacer para este enfoque del trabajo es difícil; lleva semanas o incluso meses y es muy costoso, pero las ganancias potenciales hacen que valga la pena, ya que los ataques elaborados hacen que incluso las organizaciones, previamente bien protegidas, sean víctimas potenciales y también amenazan a los departamentos gubernamentales.
- Ransomware como servicio (RaaS)
El rápido desarrollo de las tecnologías de red y de información, así como de las monedas digitales cifradas han creado un semillero para los actores maliciosos, los operadores de ransomware ahora venden servicios relacionados con el ransomware a otros atacantes a través de soluciones personalizadas, membresías o suscripciones, esto reduce la barrera de entrada para lanzar ataques de ransomware, lo que resulta en un crecimiento explosivo.
- La doble extorsión se está volviendo la nueva normalidad.
El ransomware no se limita a cifrar datos y exigir rescates, los atacantes también roban datos y amenazan con filtrarlos, incluso si una empresa tiene una copia de seguridad reciente, todavía no pueden arriesgarse a una fuga de información confidencial y a procedimientos posteriores de dominio público y cumplimiento.
- Capacidades de ataque similares a APT.
Amenaza Persistente Avanzada (APT en inglés), se refiere a un complejo ataque de red continuo personalizado por atacantes expertos para aprovechar al máximo las vulnerabilidades de una víctima, los ataques de ransomware con mayor precisión y planificación están empezando a mostrar un fuerte parecido a los ataques APT.
Necesidades para la protección de datos
El ransomware complejo plantea un gran desafío para muchas medidas de defensa actuales, la protección de datos tradicional se centra en la red (como el cortafuegos y las puertas de enlace de seguridad) y en los hosts para evitar intrusiones de ransomware y limitar la propagación, sin embargo, esto descuida su capacidad para disfrazarse y acechar en el sistema durante mucho tiempo para obtener permisos de acceso a un gran volumen de datos clave, en otras palabras, una vez que el sistema esté infectado, la protección de datos tradicionales es inútil, se necesita una mejor solución.
El marco de defensa en profundidad desarrollado por el contratista de defensa Northrop Grumman proporciona buenas ideas sobre cómo avanzar y construir una protección más fuerte, este enfoque de la ciberseguridad cuenta con 5 capas de mecanismos defensivos: perímetro, red, punto final, aplicación y protección de datos.
- La protección de seguridad del perímetro y la red establecida en la capa de red defiende el uso de cortafuegos, sandboxes y conciencia de la situación.
- La protección de seguridad de los puntos finales y las aplicaciones establecidas en la capa host se defiende utilizando el control de acceso, parches de seguridad, auditorías y software de antivirus.
La última capa, la protección de datos es donde entra en juego el almacenamiento de datos, en la era moderna y digital, el almacenamiento de datos tiene que hacer algo más que sólo almacenarlos, debe servir como la última línea de defensa, proteger los datos con tecnologías anti-manipulación de datos, detectar entradas y salidas anormales generadas por el ransomware y evitar fugas de datos utilizando tecnologías de cifrado. Además de todo esto, debe asegurarse de que es posible recuperar datos limpios y no infectados, manteniendo copias de datos en el almacenamiento de copia de seguridad y en una zona físicamente aislada.
La construcción de defensas poderosas con almacenamiento profesional
Al proporcionar doble protección con almacenamiento de producción y copia de seguridad, la solución de almacenamiento de protección de ransomware de Huawei utiliza cuatro tecnologías clave para construir una solución completa que evita que los virus se oculten y roben o manipulen datos: Detección de ransomware, anti-manipulación de datos, replicación air gap y cifrado de datos de extremo a extremo; echemos un vistazo al porque la doble protección y las cuatro características claves son tan efectivas:
- Protección dual contra Ransomware tanto primaria como de copia de seguridad.
En esta solución tanto el almacenamiento primario como el de copia de seguridad (Almacenamiento de respaldo OceanProtect) se proporcionan funciones completas de protección contra ransomware, lo que garantiza que el sistema siempre tenga una copia de datos limpia para una recuperación rápida del servicio, el almacenamiento de respaldo OceanProtect también proporciona una velocidad de recuperación ultra rápida de hasta 172 TB por hora, 5 veces más rápida que el punto de referencia de la industria, lo cual ayuda a las empresas a reducir el tiempo de inactividad del servicio y las pérdidas económicas.
- Cuatro tecnologías claves para protección comprensiva:
- Detección de ransomware (el ransomware no tiene donde esconderse):
La función de detección y análisis de ransomware de Huawei ofrece una precisión del 99.9% para el almacenamiento de producción y la copia de seguridad antes, durante y después de los ataques. Antes de un ataque, el almacenamiento trabaja para interceptar el ransomware previo a que tenga la oportunidad de atacar, si persiste el ataque, el almacenamiento, actúa rápidamente para proteger el sistema, trabajando con dispositivos de seguridad como cortafuegos para aislar a los hosts que envían entradas y salidas anormales evitando que el ransomware se propague a otros hosts, posterior al ataque, el almacenamiento examina las copias de datos para asegurarse de que estén limpias.
- Prevención de la manipulación de datos (los datos no se pueden modificar)
El sistema de archivos WORM y la tecnología de instantáneas seguras bloquean la manipulación de archivos, el sistema admite establecer un periodo de protección, evitando la modificación o eliminación de los datos de producción o de copia de seguridad durante el periodo, las instantáneas seguras de sólo lectura proporcionan una protección similar pero no permiten la eliminación o modificación de datos durante un periodo de protección configurado.
- Aislamiento físico (las copias de datos limpios están físicamente aisladas)
La tecnología air-gap permite almacenar una copia limpia de los datos de producción. Y almacenamiento de copia de seguridad en una zona físicamente aislada. Incluso si, aunque sea poco probable, tanto en la producción como el almacenamiento de copia de seguridad, se ven comprometidos la zona de aislamiento tendrá una copia limpia que se puede utilizar para restaurar rápidamente los servicios. Establecer el acuerdo de nivel de servicio (SLA) de replicación permitirá replicar automáticamente copias periódicas de datos desde la producción o el almacenamiento de copia de seguridad en el entorno de aislamiento, dado que el enlace sólo está activo durante la replicación, la posibilidad de que el ransomware acceda a los datos en la zona de aislamiento es relativamente baja, así que para mayor seguridad, el almacenamiento de la zona de aislamiento también cuenta con protección de datos multicapa, que admite funciones contra la manipulación como instantáneas seguras.
- Cifrado de extremo a extremo (los datos no se filtrarán)
El almacenamiento de Huawei garantiza cero fugas de datos en la red de transmisión de almacenamiento y en el almacenamiento a través del cifrado de: protocolo, almacenamiento de producción y de copia de seguridad, enlace de replicación air-gap y transmisión de replicación remota de datos y copias de seguridad, incluso si los hackers rompen el almacenamiento o interrumpen en la red de almacenamiento, no tienen acceso a los datos confidenciales gracias a la implementación del cifrado.
Defenderse contra el Ransomware
La solución de almacenamiento de protección de ransomware de Huawei funciona las 24 horas del día, los 7 días de la semana, en todo el mundo para grandes clientes en energía, finanzas, transporte, manufactura y gobierno.
Más vale prevenir y para ello, instalar la protección contra el ransomware después de que se dé es hacerlo demasiado tarde, una solución integral de almacenamiento de protección es la mejor manera de detener o mitigar el ransomware.
Por: Richard Wu, Vicepresidente de Soluciones de Huawei Enterprise México.