Ciberseguridad

Las cinco verdades de un ciberataque que las empresas desconocen

El ransomware es más complejo de lo que los departamentos de TI de las empresas su día a día, según ha advertido Sophos.

Redactora especializada en Seguridad y Tecnología.

5 minutos

ataques de ransomware

Sophos ha celebrado este viernes su Sophos Day 2021 y ha vuelto a congregar, por séptimo año consecutivo, a cerca de 1.000 profesionales del sector de la ciberseguridad que han incluido a clientes, partners, medios de comunicación y expertos en la materia.

Durante la jornada, los expertos de Sophos han analizado detalladamente el panorama actual de ciberamenazas y qué tipo de ciberataques están teniendo hoy en día más presencia en todo el mundo, posicionando el ransomware como protagonista.

Para la firma de ciberseguridad, nos encontramos ante "un panorama de amenazas desalentador y cada vez más complejo y profesionalizado", por lo que ha apostado por un cambio de paradigma, evolucionando sus soluciones de seguridad avanzada y ofreciendo su Ecosistema Adaptativo de Ciberseguridad (ACE) para que las empresas adopten una defensa estratégica en sus políticas de ciberseguridad. En concreto, el nuevo paradigma impulsado por ACE se basa en un lago de datos que actúa como un repositorio de información que correlaciona los datos procesables de los productos y servicios de Sophos, así como la Inteligencia frente amenazas de SophosLabs, Sophos IA y los equipos de operaciones de seguridad de Sophos.

Las 5 verdades de un ciberataque que las empresas desconocen

El Informe de Ciberamenazas 2022 de Sophos pone de manifiesto que el ransomware es más complejo de lo que los departamentos de TI de las compañías valoran su día a día. A esto se suma que los ciberdelincuentes no dejan de perfeccionar sus técnicas, por lo que cada vez resulta más exigente proteger las redes empresariales.

Asimismo, este mismo estudio alerta de que los ciberataques de ransomware son cada vez más dirigidos y dañinos y, en consecuencia, causan un impacto mucho mayor. Según advierte, los grupos de ciberdelincuentes se están especializando en las diferentes áreas de los ataques, como escribir código, conseguir accesos a las redes a través de Initial Broker Access o en ofrecer los diferentes módulos de los ataques en la modalidad de ransomware as a service (RaaS).

Peter Mackenzie, Director del servicio de Respuesta Rápida de Sophos que trabaja con casos reales de empresas que son víctimas de un ciberataque, ha resumido en los siguientes cinco puntos las actuales complejidades que implican los ataques de ransomware:

1. El ataque empieza semana antes de que lo sepas. De media, los atacantes pasan en la red de la víctima 11 días. En los ataques más breves detectados por Sophos, los atacantes estuvieron en la red empresarial tan solo 3 horas antes de lanzar el ataque y en los más largos permanecieron hasta 1 año ocultos. En muchas ocasiones las empresas creen que el ataque comienza horas antes de que los sistemas se bloqueen, pero la inteligencia de amenazas de Sophos revela que los atacantes están ahí mucho antes, esperando el momento oportuno.

2. El ransomware no se propaga, es desplegado. Es habitual pensar que el ransomware se lanza de forma descontrolada sobre una red empresarial. Sin embargo, salvo WannaCry y alguna otra familia de ransomware, los ataques están constantemente bajo el control de los cibercriminales. Cuando lanzan el ataque ya han escaneado la red, identificado los servidores críticos, y han utilizado las cuentas y herramientas de la propia empresa para desplegar el ransomware en sus dispositivos previamente seleccionados.

3. El ransomware es solo una parte del ataque. Actualmente, la mayoría de los ataques de ransomware dirigidos por humanos incluyen la exfiltración de datos, a veces robando cientos de gigabytes o incluso terabytes de datos. Pero eso no es todo, ya que después de que el ransomware haya sido detenido y la empresa haya comenzado su recuperación, pueden comenzar a recibir correos electrónicos amenazantes, llamadas telefónicas y ataques DDoS. Los atacantes también pueden contactar con clientes, proveedores, e incluso publicar la información en redes sociales para informar de que su red no es segura y mermar la credibilidad de la compañía.

4. Las copias de seguridad desaparecen con el ataque. Aunque lo cierto es que la mayoría de las empresas cuentan con copias de seguridad, los ciberdelincuentes aprovechan el ataque y el acceso a las cuentas de administrador y, antes de lanzar el propio ataque de ransomware, borran las copias de seguridad e incluso desinstalan el software de backup por completo.

5. Los atacantes siguen teniendo acceso. Después de sufrir un ciberataque, es probable que la empresa borre las máquinas cifradas y crea que con eso se resuelve el problema, pero este no suele ser el caso. Los atacantes quieren mantener el acceso a la red vulnerada, para poder controlar la recuperación y lanzar otro ataque más adelante, dejando muy claro a sus víctimas que, si no pagan el rescate, las continuarán atacando. En un incidente reciente con el ransomware Conti, el equipo de respuesta rápida de Sophos identificó siete puertas traseras diferentes instaladas por los atacantes, muchas de ellas en máquinas que no habían sido cifradas y que no mostraban signos evidentes de estar involucradas en ese ataque.

En palabras de MacKenzie: "Desafortunadamente no hay una vía sencilla para evitar convertirse en una víctima del ransomware. Hay cientos de cosas que se pueden hacer, pero, lo importante, es concentrarse en las cosas básicas primero. En primer lugar, no puedes luchar contra lo que no ves, por lo que es necesario encontrar los equipos desprotegidos y protegerlos. En segundo lugar, no hay que ponérselo fácil a los atacantes. Es fundamental asegurar los sistemas de operaciones heredadas, actualizarlos y utilizar conexiones seguras. Por último, cuando te enfrentas a atacantes humanos que están en tu red, la tecnología sola no es suficiente, es necesario contar con equipos humanos expertos en busca de alertas, monitorizando los sistemas de seguridad".

El crecimiento de Sophos Iberia

Durante el Sophos Day 2021, el director de la firma de ciberseguridad para el sur de Europa, Ricardo Maté, ha compartido los resultados de Sophos Iberia, que ha experimentado un crecimiento de los ingresos anuales de casi un 25% en el FY21 (finalizado en marzo de 2021) y un 20% de ingresos anuales en el H1 del FY22 (cerrado el 30 de septiembre de 2021).

En la jornada, Sophos también ha presentado los resultados de una encuesta realizada entre sus clientes en la que reconocen que, de no contar con las soluciones de ciberseguridad del fabricante, necesitarían el doble de recursos para mantener el mismo nivel de protección. Además, las empresas que contaron con las soluciones de Sophos experimentaron menos incidentes de seguridad y, en los que tuvieron, pudieron responder más rápido.

"Estos resultados son gracias al conjunto de tecnologías de nueva generación, potentes equipos de inteligencia frente a amenazas, un ecosistema adaptativo e integrado y la gestión del portfolio cloud. El conjunto de estos componentes permite decir que hoy Sophos es una de las compañías más avanzadas en la protección de sus clientes y que proporciona un de las mejores soluciones para sus partners", ha asegurado Maté.