La nueva cara del ransomware, una doble amenaza

El pasado 2 de julio, salió a la luz que el grupo de ciberdelincuentes especializado en ransomware, REvil, también conocido como Sodinokibi, que llevó a cabo un gran ataque contra proveedores de servicios gestionados (MSP) y sus respectivos clientes en todo el mundo, lo que provocó que miles de empresas se convirtieran en potenciales víctimas de ransomware. Días después, los investigadores de Kaspersky han detectado más de 5.000 intentos de ataques en Europa, América del Norte y Sudamérica.

Frente a este peligro inminente que compromete los datos de las compañías, y por tanto de sus clientes generando una doble amenaza, los responsables de ciberseguridad aún están en la búsqueda de las mejores prácticas y soluciones. No en vano, Un estudio de Osterman Research revela que la mitad de las organizaciones estadounidenses no son eficaces a la hora de contrarrestar las amenazas de phishing y ransomware. El 50% de los 130 profesionales de la ciberseguridad de organizaciones medianas y grandes encuestados se considera ineficiente en general para hacer frente al phishing y al ransomware y el 72% se considera ineficiente a la hora de evitar que la infraestructura doméstica sea un conducto para los ataques a las redes corporativas.

Los tipos de ataques más comunes según las compañías encuestadas son los ataques de business email compromise (BEC) (53%), los mensajes de phishing que generan una infección de malware (49%) y los que ponen la cuenta en compromiso (47%). Los datos son preocupantes. El 65% de los intentos de phishing llegan a las bandejas de entrada de los usuarios, el 65% de usuarios hacen clic en enlaces de phishing o abren archivos adjuntos y el 61% de robos de datos son a través de actores de ransomware.

El coste medio anual asumido por empresas españolas que han sufrido un incidente está en torno a los 10.000 euros

La empresa española en jaque

Las pymes tampoco se libran de los ataques de ransomware, prueba de ello es que las compañías españolas, pequeñas y medianas empresas en su mayoría, han sido de las más atacadas en 2020. Según un informe de la asegurado Hiscox realizado a empresas de ocho países: Bélgica, Reino Unido, Países Bajos, Irlanda, Alemania, Estados Unidos, Francia y España; ha aumentado el número de empresas españolas que notifican haber sufrido un incidente – lo hacen más de la mitad (53%) o sea 10 puntos por encima de la media del estudio (43%) y, además, crece también la frecuencia: el 42% de ellas sufrió más de 3 ataques. Por otro lado, el tejido español es el menos preparado: solo un 9% de compañías obtienen la calificación de “expertas” y es el segundo país con más empresas puntuadas como novatas (35%). A esto hay que sumarle que el coste medio anual asumido por empresas españolas que han sufrido un incidente está en torno a los 10.000 euros.

Según el informe de Cybereason, Ransomware: The True Cost to Business, el 46% del total de organizaciones que optaron por pagar un rescate para recuperar el acceso a sus sistemas encriptados ha informado de que, durante el proceso de recuperación, parte de los datos, o todos, se corrompieron. En el caso de España, la cifra de compañías que, tras pagar un rescate a los ciberatacantes han sufrido daños en sus datos al verse corrompidos asciende hasta el 58,7%. Para el estudio, en España se ha contactado con 152 compañías, de las cuales casi el 74% de las empresas que han optado por pagar una demanda de rescate admiten que han sufrido un segundo ataque de ransomware, en muchas ocasiones a manos del mismo grupo de atacantes.

El 58,7% de empresas españolas, a pesar de pagar un rescate a los ciberatacantes, ha visto sus datos corrompidos 

Ransomware as a Service

La ciberdelincuencia ha evolucionado a lo largo de los años, y es en este punto donde nace el RaaS. El ransomware as a Service es la modalidad en el que los ciberdelincuentes ofrecen bajo modelo de suscripción, bien por afiliación o bien por licenciamiento, kits de malware para realizar ataques de ransomware sin apenas coste. En este caso los ciberdelincuentes no invierten dinero ni tiempo en codificar ni generar el ransomware, sino que ellos solamente tienen que adquirirlo y dedicarse a implantarlo en los clientes a los que quiere atacar. Ya existen infinidad de variantes en el mercado, pero las principales son: Maze, Sodinokibi, NetWalker, Ryuk, Doppelpaymer.

Estos modelos de RaaS, además de favorecer a los ciberdelincuentes, han empeorado sus consecuencias: creando un ecosistema que escala e incrementa el tiempo de baja de productividad de las empresas. Además, ha aumentado el coste del rescate que demandan los ciberdelincuentes, en 2020 estos rescates han oscilado entre los 100.000 euros y los 50 millones de euros y se prevé que en 2021 el ransomware llegue a costar 6 billones de dólares anuales.

El teletrabajo, puente de plata a los ciberdelincuentes

Aunque es una tendencia en alza desde que comenzó la pandemia (1 de cada 3 trabajadores lo practican, según el INE), cada vez son más las voces que advierten sobre el riesgo que supone para las empresas utilizar el teletrabajo como modalidad de trabajo.

En España ha habido 218.000 ciberataques registrados por el Centro de Ciberseguridad Nacional y según la Agencia Española de Protección de Datos, se notificaron 1370 brechas de seguridad durante 2020. ¿Cuáles son los servicios más contratados por las empresas que comienzan este proceso de transformación digital? Desde servicios de análisis de vulnerabilidades en casa de los empleados hasta herramientas de protección de ransomware, pasando por alertas sobre credenciales comprometidas.

Carbon Black contra el ransomware

El antivirus de próxima generación y la solución de EDR conductual de Carbon Black ayuda a las compañías a protegerse contra el ransomware.

  • VMware Carbon Black Cloud Endpoint Standard: captura y almacena la actividad de los endpoints, brindando visibilidad completa de cualquier actividad sospechosa y la capacidad de responder en tiempo real, para que las compañías puedan comprender rápidamente el impacto de cualquier ataque y tomar medidas inmediatas.
  • VMware Carbon Black App Control: permite bloquear los sistemas y servidores críticos para evitar cambios no deseados y garantizar el cumplimiento continuo de las normativas. VMware Carbon Black App Control impulsa el fortalecimiento de los sistemas nuevos y heredados contra incidentes, simplifica el proceso de cumplimiento y brinde protección para los sistemas corporativos.

¿Necesitas un experto en Ciberseguridad?