Check Point detalla cómo el ransomware ha ido evolucionando desde que los autores de WannaCry exigían sólo unos cientos de dólares a sus víctimas hasta que Conti pide decenas de millones. También revela un aumento del 14% en los ataques de ransomware en el mundo y afirma que las organizaciones deben dar prioridad a la prevención si quieren combatir esta creciente amenaza.

En 2017, WannaCry fue el primero de su tipo: un ataque global, patrocinado por un Estado y multivectorial. A pesar de ello, la demanda inicial de extorsión fue de solo 300 dólares. Aunque WannaCry no fue pionero en términos de rentabilidad, sí lo fue en cuanto a marcar el inicio del uso político del ransomware. En los últimos cinco años, sus operaciones han pasado de los correos electrónicos aleatorios a los negocios multimillonarios, como NotPetya, REvil, Conti y DarkSide, que llevan a cabo ataques específicos y sofisticados que afectan a empresas de todos los sectores. La demanda de rescate a la que se enfrentó Kaseya en 2021 fue de 70 millones$.

Las modalidades de trabajo remoto e híbrido, junto con la adopción acelerada de la nube, han abierto nuevas oportunidades que los ciberatacantes explotan. Su sofisticación es cada vez mayor, con nuevas tendencias como el Ransomware-as-a-Service o la doble e incluso triple extorsión. Los ciberdelincuentes amenazan con publicar información privada para la doble extorsión y exigen un rescate no solo a la propia organización infectada, sino a sus clientes, socios y proveedores en el formato de triple extorsión.

Ataques a Gobiernos e infraestructuras críticas

Hace unos días se produjeron dos incidencias de este ataque en Costa Rica y Perú, ambos supuestamente ejecutados por Conti. Ambas amenazas llevaron al Gobierno de Costa Rica a declarar el estado de emergencia el 6 de mayo y a estimar unas pérdidas de 200 millones$ al paralizar las aduanas y los organismos gubernamentales, e incluso provocaron apagones en una de sus ciudades debido al impacto de un proveedor principal de energía. En los últimos años, otro de los ataques a infraestructuras críticas más sonados fue el que afectó a Colonial Pipeline.

Aunque los gobiernos y las grandes corporaciones suelen ocupar los titulares, los actores del ransomware son indiscriminados y se dirigen a empresas de todos los tamaños y sectores. Para protegerse, los equipos de TI deben dar prioridad a la prevención. Tienen que estar atentos a cualquier indicio de troyano en sus redes, actualizar regularmente su software antivirus, parchear proactivamente las vulnerabilidades pertinentes del RDP (Protocolo de Escritorio Remoto) y utilizar la autenticación de dos factores.

Además, las compañías deben desplegar soluciones antiransomware específicas que supervisen constantemente sus comportamientos propios e identifiquen el cifrado ilegítimo de archivos, de modo que se pueda prevenir y poner en cuarentena una infección antes de que se consolide. Con estas protecciones, las empresas pueden estar mejor preparadas para cuando sean atacadas, ya que no es una cuestión de si pasará, sino de cuándo sucederá.

Con motivo del quinto aniversario del ataque de WannaCry, Check Point Software ha creado un hub de ransomware con informes, blogs, seminarios virtuales, podcasts, vídeos y estadísticas en directo en torno a los ataques y su impacto.

Delinea: lecciones para las empresas

Stan Black, CISO de Delinea, afirma que “el ataque del ransomware WannaCry de 2017 conmocionó a nivel mundial, impactó en cientos de miles de ordenadores y dispositivos y dejó miles de millones en daños a su paso». Pero «poco sabíamos entonces que era solo el comienzo de un aumento de ataques de ransomware más sofisticados, generalizados y perjudiciales. Desde entonces, hemos visto un flujo constante de víctimas de ransomware de perfil alto, junto con un aumento en la cantidad de grupos de delincuentes que venden el ransomware como servicio (RaaS)».

«Pero lo que sí hizo el ataque de WannaCry es enseñar algunas lecciones importantes a todas las empresas del mundo. La principal es que no importa cuánto se invierta en herramientas de defensa y de protección del perímetro, ya que cualquiera puede estar expuesto desde dentro si su tecnología y sus sistemas son obsoletos o no se actualizan. Y es que tener una “mala higiene” cibernética interna deja la puerta abierta a atacantes maliciosos», subraya.

«Al mirar hacia el futuro, hay varias iniciativas que las organizaciones pueden implementar para limitar su exposición a este tipo de amenazas. Una de ellas es la segmentación, que esencialmente establece barreras técnicas que separan una función de negocio de otra. Esto minimiza la propagación indiscutible de actores maliciosos y malware. Otra práctica recomendada es identificar todos los activos críticos de una empresa, que son el objetivo más común de los ataques, y realizar copias de seguridad frecuentes, en caso de que se necesite una recuperación del sistema. Una fuerte autenticación multifactor y los controles de accesos privilegiados también son dos componentes necesarios», recomienda este experto.

«Cada usuario es ahora un usuario privilegiado con acceso a sistemas y datos confidenciales. Por eso, las empresas deben considerar aplicar la estrategia del mínimo privilegio, limitado solo a lo que se requiere para una determinada función o tarea de trabajo. Aunque esto no ayude a mejorar la preparación operativa, las organizaciones deben estar siempre preparadas para los peores escenarios, con un plan de ciberseguridad para poder cubrir cualquier pérdida», añade.

«Mitigar con éxito los ataques de ransomware requiere también de la puesta en marcha de una gran cantidad de iniciativas combinadas», insiste Stan Black. Entre ellas, cita «la implementación de controles de seguridad basados ​​en privilegios mínimos y confianza cero, la creación de una cultura empresarial de seguridad y la formación de los empleados, detección y respuesta de amenazas sólidas, colaboración entre los sectores público y privado y, lo que es más importante, trabajar con la mentalidad de que la premisa no es si los ciberdelincuentes atacarán o no, sino cuándo lo harán”