De acuerdo con las autoridades de seguridad cibernética de los Estados Unidos, Australia, y el Reino Unido en 2021 se observó un aumento en los incidentes de ransomware sofisticados y de alto impacto contra organizaciones de infraestructura crítica en todo el mundo.
En el Aviso de Ciberseguridad publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), de los Estados Unidos, en conjunto con la Oficina Federal de Investigaciones de los Estados Unidos, la Agencia de Seguridad Nacional de los Estados Unidos, el Centro Australiano de Seguridad Cibernética, y el Centro Nacional de Seguridad Cibernética del Reino Unido, se proporcionan los comportamientos y tendencias observados, así como las recomendaciones de mitigación para ayudar a los defensores de la red a reducir el riesgo de compromiso por ransomware.
Las tácticas y técnicas de ransomware continuaron evolucionando en 2021, lo que demuestra la creciente sofisticación tecnológica de los actores de amenazas de ransomware y una mayor amenaza de ransomware para las organizaciones a nivel mundial.
Comportamientos y tendencias de ransomware en 2021
- Obtener acceso a redes a través de phishing, credenciales de protocolos de escritorio remoto (RDP) robadas o fuerza bruta, y explotar vulnerabilidades.
- Uso de servicios de ciberdelincuentes por contrato.
- Compartir información de la víctima.
- Alejarse de organizaciones de alto valor y/o que brindan servicios críticos y apuntar a víctimas medianas para reducir el escrutinio.
- Diversificar los enfoques para extorsionar dinero. Uso más frecuente de la “triple extorsión” al amenazar con divulgar públicamente información confidencial robada, interrumpir el acceso a Internet de la víctima y/o informar a los socios, accionistas o proveedores de la víctima. sobre el incidente.
Mitigaciones
- Mantener todos los sistemas operativos y software actualizados.
- Proteger y supervisar el RDP u otros servicios potencialmente riesgosos.
- Implementar un programa de capacitación para usuarios y ejercicios de phishing para concientizar a los usuarios sobre los riesgos de visitar sitios web sospechosos, hacer clic en enlaces sospechosos y abrir archivos adjuntos sospechosos. Reforzar la respuesta adecuada del usuario a los correos electrónicos de phishing y spearphishing.
- Solicitar MFA para tantos servicios como sea posible.
- Requerir que todas las cuentas con inicios de sesión con contraseña tengan contraseñas seguras y únicas.
- Si usa Linux, usar un módulo de seguridad de Linux (como SELinux, AppArmor o SecComp) para una defensa en profundidad.
- Proteger el almacenamiento en la nube realizando copias de seguridad en varias ubicaciones, requiriendo MFA para el acceso y cifrando los datos en la nube.
Limitar la capacidad del atacante para conocer el entorno empresarial de la organización y moverse lateralmente.
- Segmentar la red.
- Implementar el cifrado de extremo a extremo.
- Identificar, detectar e investigar la actividad anormal y el posible cruce del ransomware indicado con una herramienta de monitoreo de red.
- Documentar las conexiones remotas externas.
- Implementar el acceso basado en el tiempo para las cuentas con privilegios.
- Hacer cumplir el principio de privilegio mínimo a través de políticas de autorización.
- Reducir la exposición de credenciales.
- Deshabilitar las utilidades de línea de comandos innecesarias; restringir las actividades y los permisos de secuencias de comandos, y controlar su uso.
- Mantener copias de seguridad fuera de línea (es decir, desconectadas físicamente) de los datos y probar periódicamente las copias de seguridad y la restauración.
- Asegurar que todos los datos de respaldo estén encriptados, sean inmutables (es decir, no se puedan modificar ni eliminar) y cubran toda la infraestructura de datos de la organización.
- Recopilar telemetría de entornos en la nube.
Consulte el documento 2021 Trends Show Increased Globalized Threat of Ransomware, para más detalles de los comportamientos observados y las medidas de mitigación recomendadas.