La compañía de ciberseguridad Sophos ha anunciado el lanzamiento de Sophos Rapid Response, un servicio de respuesta remota frente a incidentes que identifica y neutraliza los ataques de ciberseguridad activos.
"Sophos Rapid Response ofrece a las empresas un equipo dedicado 24/7 y formado por servicios de respuesta frente a incidentes, buscadores de amenazas y analistas para detener rápidamente los ataques avanzados y eliminar a los adversarios de sus redes", señala Sophos en un comunicado.Además, asegura que esta solución también minimiza el daño y los costes del ataque y reduce el tiempo de recuperación.
Ha identificado el primer uso conocido del 'dropper' de malware Buer para lanzar ataques de ransomware
La compañía de ciberseguridad también expone que Sophos Rapid Response ha detectado el primer uso del 'dropper' de malware Buer como mecanismo para distribuir ataques de ransomware.
En este sentido, indica que su nuevo servicio realizó este descubrimiento mientras hacía frente a un reciente ataque de ransomware Ruyk, "que fue detectado y detenido como parte de una ola de ataques de Ryuk que utilizaban nuevas herramientas, técnicas y procedimientos". Asimismo, señala que los atacantes usaron insistentemente una nueva variante de Buer para tratar de lanzar un ataque de ransoware Ruyk, aumentado esfuerzos al combinar el uso de Buer con otro tipo de loaders (cargadores) de malware.
Sophos Rapid Response y SophosLabs han detallado cómo Buer compromete los ordenadores Windows, permitiendo a los ciberatacantes liberar su payload (carga ejecutable), en una nueva investigación titulada Hacks for Sale: Inside Buer Loader’s Malware-as-a-Service.
"Cuando sufres un ataque, el tiempo es esencial. Cada minuto entre la vulneración inicial y la neutralización cuenta, del mismo modo en que los ciberatacantes actúan a toda velocidad durante el ciclo de vida del ataque", advierte Joe Levy, CTO de Sophos. "Los ataques avanzados pueden detener rápidamente las operaciones empresariales. Los responsables de TI que han sufrido un ataque de ransomware en primera persona lo saben bien. Es por eso por lo que las víctimas de ransomware destacan la necesidad de dedicar proporcionalmente más tiempo a la respuesta frente a incidentes y menos tiempo a la prevención frente a amenazas, en comparación con aquellos responsables de TI que no han sido víctimas de un ataque de ransomware. Sophos Rapid Response interrumpe los ataques activos, eliminando el proceso largo y complejo para frenar determinados ataques, para que las empresas pueda volver a operar con normalidad más rápido".
Las claves de Sophos Rapid Response
En su comunicado, la compañía de ciberseguridad también afirma que Sophos Rapid Response neutraliza una gran variedad de incidentes de seguridad que incluyen, entre otros, el ransomware, las violaciones de seguridad de la red o atacantes "hands-on keyboard"."El equipo de Sophos Rapid Response puede integrarse y activarse en cuestión de horas, y la mayoría de los ataques son clasificados en menos de 48 horas", garantiza Sophos.
Según ha declarado Peter Mackenzie, responsable de respuesta ante incidentes de Sophos, casi el 85% de los ciberataques en los que Sophos Rapid Response ha estado involucrado incluyen ataques de ransomware. En concreto, ha destacado los ransomware Ryuk, Revil y Maze, y ha asegurado que la mayoría del resto de los ataques en los que les solicitaron su detención habrían terminado siendo de ransomware si no los hubieran detenido tan rápido.
"Las herramientas de fácil acceso permiten que los atacantes reciban más dinero en una semana de trabajo que la mayoría de la gente en toda su vida. Los criminales se infiltran en las redes y planean sigilosamente sus ataques en un segundo plano antes de lanzar estratégicamente el ataque de ransomware como payload final, aprovechando a menudo las horas de la noche, cuando nadie está vigilando, para ejecutar el ransomware en el mayor número de dispositivos posibles. Sophos Rapid Response toma medidas inmediatas para extinguir el fuego que, en el caso por ejemplo de un hospital como el que ayudamos este mismo mes tras sufrir un ataque del ransomware Ryuk y ser obligado a cerrar, significó la diferencia entre la vida y la muerte", afirma Mackenzie.
Sophos Rapid Response forma parte de Sophos Managed Threat Response (MTR), un equipo internacional que ofrece servicios proactivos y completamente gestionados para la búsqueda, detección y respuesta ante amenazas.
Una vez que las amenazas inmediatas son neutralizadas con una intervención de respuesta rápida, el programa de Sophos Rapid Response cambia a un modelo de monitorización continua con búsqueda, investigación, detección y respuesta proactiva ante amenazas llevada a cabo por el equipo de MTR de Sophos durante las 24 horas del día. Un informe de investigación detalla los hallazgos realizados, las acciones tomadas y otras recomendaciones de reparación, ayudando a las empresas a entender el origen del ataque y su repercusión.
Sophos Rapid Response ya está disponible y es una oferta de gestión remota con un modelo de precios fijos, basado en el número de usuarios y servidores que tiene la empresa. Además, está estructurado para dar servicio a empresas de todos los tamaños, incluidas las pequeñas.