Un nuevo informe de Cisco Talos Incident Response (Talos IR) dice que los ataques de ransomware y el compromiso del correo electrónico empresarial (BEC) están afectando a las empresas más que nunca.
El informe afirma Secuestro de datos Los ataques BEC y BEC representaron casi dos tercios (60%) de las publicaciones combinadas. Talos añadió que el número de compromisos de BEC fue menor este trimestre en comparación con el trimestre anterior, y señaló que “sigue siendo una amenaza importante por segundo trimestre consecutivo”.
Mientras tanto, los ataques de ransomware representaron casi un tercio (30%) de las publicaciones este trimestre, un aumento de un cuarto (22%) en comparación con el mismo período hace tres meses.
Las empresas tecnológicas están en la mira
Además, los investigadores han observado por primera vez las familias de ransomware Mallox y Underground Team, lo que sugiere que el número de actores de amenazas en la industria sigue creciendo. Mientras tanto, las operaciones de ransomware Black Basta y BlackSuit continúan causando estragos entre las organizaciones.
El informe indica que la mayoría de las organizaciones que son víctimas de ransomware o ataques de correo electrónico empresarial trabajan en el sector tecnológico. Esto se debe a que estas empresas cuentan con amplios activos digitales que respaldan la infraestructura crítica. Como resultado, su capacidad para tolerar el tiempo de inactividad es mínima y estarán más dispuestos a pagar el rescate y volver a trabajar lo antes posible. Además, las empresas de tecnología suelen considerarse también puertas de entrada a otras industrias.
En general, una cuarta parte (24%) de las contribuciones en los últimos tres meses provinieron de empresas de tecnología, seguidas de cerca por empresas de atención médica, farmacéuticas y minoristas. Los ataques contra empresas de tecnología aumentaron un 30% trimestralmente.
Talos dice que la gran mayoría (80%) de las víctimas fueron víctimas de ataques de ransomware porque no utilizaron implementaciones MFA adecuadas en sistemas críticos, incluidas las redes privadas virtuales (VPN). Los investigadores concluyeron que el resto de las víctimas fueron víctimas de sistemas débiles o mal configurados. Talos IR observó un aumento del 46 % en cada una de estas vulnerabilidades de seguridad en comparación con el trimestre anterior.
Suscríbase al boletín TechRadar Pro para recibir todas las noticias, opiniones, funciones y orientación que su empresa necesita para tener éxito.
La amenaza digital conocida como ransomware se ha convertido en un dolor de cabeza en las salas de juntas. Estos esquemas criminales maliciosos, que alguna vez fueron una amenaza cibernética de nicho, ahora están paralizando a empresas grandes y pequeñas, cifrando datos vitales y exigiendo fuertes rescates por su devolución. Los líderes tecnológicos advierten sobre un futuro impulsado por la IA, a medida que los atacantes crean cada vez más software malicioso. Cifrado Pero en medio del caos digital, todavía hay cierto optimismo, si las empresas fortalecen suficientemente sus defensas cibernéticas.
La capacidad de las empresas para capear la tormenta depende en última instancia de qué tan bien comprendan los riesgos que enfrentan y, lo que es más importante, de las medidas prácticas para proteger sus activos digitales contra… Secuestro de datos.
Jimmy Moles
Director técnico senior en ExtraHop.
Obtenga más información sobre la epidemia de ransomware
La amenaza que representa el ransomware se ha convertido en una sofisticada empresa criminal valorada en mil millones de dólares y se espera que supere los mil millones de dólares en 2023. Esta amenaza comenzó como una táctica utilizada por piratas informáticos oportunistas y se ha transformado en una red global de extorsión, donde los grupos organizados de cibercrimen utilizan cifrado. Técnicas avanzadas de manipulación psicológica para paralizar empresas e instituciones.
Este creciente panorama de amenazas plantea un desafío importante para las empresas modernas, ya que requiere una recalibración de las estrategias de ciberseguridad para abordar las tácticas cambiantes de las sombras digitales.
Comprender el auge de RaaS
El ransomware como servicio (RaaS) se ha convertido en un elemento revolucionario en el panorama del ciberdelito. Este modelo de negocio malicioso permite que cualquier persona, independientemente de su experiencia técnica, se convierta en un atacante de ransomware.
Imagínense “Deliveroo para malware”. Los desarrolladores crean y mantienen el malware, mientras que los socios simplemente alquilan el acceso al mismo y aprovechan las herramientas para lanzar ataques. Los mercados RaaS ofrecen una ventanilla única para los aspirantes a ciberdelincuentes, ofreciendo de todo, desde atención al cliente hasta malware Esta barrera de entrada más baja ha provocado un aumento significativo de los ataques de ransomware.
Uno de los casos de RaaS más notables de la historia fue el ataque DarkSide a Colonial Pipeline en 2021. El ataque dejó a cientos de estadounidenses enfrentando escasez de gas y suministro después de que Colonial Pipeline, propietario de un sistema de tuberías que transporta combustible desde Texas al sureste, sufriera un ataque de ransomware en sus sistemas informáticos. Colonial Pipeline terminó pagando la asombrosa cantidad de 4,4 millones de dólares de rescate, lo que dejó a la empresa luchando por restablecer sus operaciones.
Suscríbase al boletín TechRadar Pro para recibir todas las noticias, opiniones, funciones y orientación que su empresa necesita para tener éxito.
Aprenda del caso LockBit
El aumento del ransomware se ejemplifica con el ataque LockBit, una cepa muy virulenta que surgió en 2019 y representó casi la mitad de todos los ataques de ransomware en 2022. Este malware utiliza una táctica de “doble extorsión”, cifra datos vitales y amenaza con filtrarlos en línea. si no se cumplían las demandas de rescate.
Operando como un servicio, LockBit ha permitido que una red de delincuentes apunte a una amplia gama de víctimas, desde empresas hasta proveedores de infraestructura crítica. Los operadores de LockBit llegaron incluso a ofrecer una recompensa de 1 millón de dólares a investigadores de seguridad y piratas informáticos éticos o no éticos que puedan mejorar la seguridad de su software. Su despiadada eficiencia y adaptabilidad han puesto de relieve los crecientes riesgos que plantea el ransomware.
El éxito de LockBit es una fuerte llamada de atención para la industria de la ciberseguridad. Tradicionalmente centrada en defensas perimetrales, la industria debe adaptarse a esta nueva realidad de atacantes agresivos y adaptables. Esto requiere un enfoque múltiple.
Por otro lado, las empresas de ciberseguridad necesitan desarrollar herramientas de detección y prevención más sofisticadas para mantenerse a la vanguardia. Por otro lado, se necesita un cambio cultural, siendo la ciberseguridad una prioridad. empleado En última instancia, la capacidad de la industria cibernética para mitigar la creciente ola de ransomware dependerá de su capacidad para innovar y fomentar una postura de seguridad más proactiva.
Evite que los empleados den la bienvenida a los malos
Para muchas empresas, el océano digital se asemeja a una torre de control de la Guerra Fría en ruinas: mal mantenida y equipada de manera inadecuada. Los sistemas heredados, llenos de vulnerabilidades no resueltas, brindan fácil acceso a los atacantes.
Los protocolos de autenticación, que suelen ser muy débiles, proporcionan puntos de entrada fáciles para el robo de credenciales. Quizás el elemento humano sea el más preocupante. Los empleados sin educación siguen siendo vulnerables a las estafas de phishing, en las que descargan ransomware sin saberlo con un solo clic. Estas deficiencias pintan un panorama sombrío para muchas empresas.
Sin embargo, hay una solución. Las empresas pueden potenciar los derechos de sus empleados ciberseguridad Mejore el conocimiento implementando capacitación periódica que combine temas básicos de concientización con las mejores prácticas específicas del trabajo. Esta capacitación debe ser atractiva y actualizarse con frecuencia para reflejar la evolución del panorama de amenazas. Los líderes pueden cultivar una cultura de seguridad sirviendo como modelos a seguir y fomentando la comunicación abierta sobre los riesgos cibernéticos. Los recordatorios y controles periódicos también pueden mejorar la comprensión de los empleados y garantizar que mantengan prácticas críticas de ciberseguridad.
Acelerar la conciencia defensiva de la acción.
La principal solución para proteger a las empresas contra ataques de ransomware es la detección y respuesta de red, o NDR. Los sistemas de detección y respuesta de redes son el equivalente digital de un perro guardián bien entrenado. Estas herramientas de vigilancia escanean constantemente el tráfico de la red y detectan anomalías que pueden indicar que se está produciendo un ataque de ransomware.
A diferencia de su contraparte canina, NDR funciona con una precisión de milisegundos, identificando actividades sospechosas (intentos inusuales de extracción de datos o esfuerzos de acceso no autorizado) en tiempo real. Esta rápida detección permite a los equipos de seguridad actuar rápidamente, eliminando potencialmente la amenaza de ransomware antes de que pueda cifrar los datos de la empresa.
Los sistemas NDR también pueden reconocer signos de ransomware cifrado, lo que permite aislar rápidamente los dispositivos infectados y evitar así que la infección se propague por la red. En la creciente guerra contra el ransomware, los sistemas NDR sirven como una línea de defensa crítica, ofreciendo un enfoque de múltiples capas: identificar actividades sospechosas, facilitar una respuesta rápida y contener la amenaza antes de que cause estragos.
Haga de RaaS una amenaza del pasado
El futuro del ransomware podría ser sombrío para las empresas que interesan a los piratas informáticos, ante el creciente espectro de ataques impulsados por IA. Sin embargo, esto no significa necesariamente darse por vencido. Al reconocer la amenaza, priorizar las inversiones en ciberseguridad y fomentar una cultura de concienciación sobre la seguridad dentro de las organizaciones, las empresas pueden fortalecer sus defensas digitales.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no reflejan necesariamente los puntos de vista de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
Si bien el aumento del ransomware y las filtraciones de datos no contribuye en nada a aumentar la confianza en las tecnologías de seguridad, la dura realidad actual es que las organizaciones no pueden confiar en estrategias aisladas de resiliencia de datos y recuperación ante desastres para mantener alejados a los delincuentes.
Según el Informe global de inteligencia sobre amenazas 2024 de NTT Security Holdings, los incidentes de ransomware y extorsión aumentaron un 67% el año pasado. Son tiempos récord para las empresas de software de seguridad y, sin embargo, las amenazas no desaparecen. Como era de esperar, la investigación de Evanta muestra que los CIO todavía están dominados por las prioridades. ciberseguridadA pesar de una importante inversión en estrategias y tecnologías de ciberseguridad.
La mayoría de las empresas tienen una estrategia de resiliencia de datos. Esta estrategia suele adoptar la forma de continuidad del negocio y recuperación ante desastres. Sin embargo, la tecnología y los procesos diseñados para la resiliencia de los datos no brindan la capacidad necesaria para lograr la resiliencia cibernética en la era de los ciberataques devastadores, como los raspadores de datos y el software espía. Secuestro de datosEs evidente que algo no funciona y las organizaciones necesitan un cambio de táctica para proteger sus datos e infraestructura.
Casi todos los marcos y regulaciones de ciberseguridad modernos, como el Marco de ciberseguridad 2.0 del NIST, y regulaciones como la Directiva de seguridad de la información y las redes de la UE (NIS2) 2.0 o la Ley de resiliencia operativa digital (DORA) de la UE, se centran en generar resiliencia: no solo la capacidad de prevenir y detectar ciberataques, pero también resistir ataques mediante la respuesta y la recuperación, dos funciones que tradicionalmente se han considerado infrautilizadas.
Según Deloitte, la organización promedio tiene más de 130 herramientas de ciberseguridad diferentes, pero la gran mayoría de ellas no se integran ni operan lo suficiente como para evitar que las organizaciones sean víctimas de un ciberataque. Cualquier inversión continua en prevención y detección probablemente resultará en una pequeña reducción del riesgo cibernético residual, al tiempo que creará más fricción con los usuarios, menos resiliencia para la organización, más fatiga de vigilancia, mayores costos de licencia e incluso más infraestructura de seguridad que administrar.
James Blake
Responsable de Estrategia Global de Ciberresiliencia en Cohesity.
Resiliencia cibernética y detención de ataques “duales”
El gasto en respuesta y recuperación (a diferencia de detección y prevención) proporciona la ciberresiliencia que estos marcos y regulaciones modernos requieren para resistir los ciberataques modernos con un impacto mínimo. El desafío es ¿cómo logramos la ciberresiliencia en un mundo donde ya se ha invertido tanto en herramientas de ciberseguridad?
Para pasar a un estado de ciberresiliencia se deben establecer dos cosas básicas. En primer lugar, la capacidad de recuperación debe estar fuera del alcance de los adversarios. En segundo lugar, el plan de respuesta debe incluir disposiciones que permitan una rápida recuperación no solo de los sistemas de producción, sino también de las plataformas de seguridad, autenticación y comunicaciones necesarias para responder al incidente de manera efectiva y eficiente.
Suscríbase al boletín TechRadar Pro para recibir todas las noticias, opiniones, funciones y orientación que su empresa necesita para tener éxito.
Ésta es la diferencia clave entre el enfoque tradicional de la resiliencia de los datos y la resiliencia cibernética. La resiliencia de los datos se centra en una pequeña cantidad de causas fundamentales que forman la base de la continuidad del negocio. Recuperación de desastres Llevamos décadas enfrentando muchos escenarios potenciales, incluidas inundaciones, incendios, cortes de energía, fallas de equipos y mala configuración; Para lograr la resiliencia cibernética, debemos enfrentarnos a un adversario que intenta activamente perturbar nuestros esfuerzos de respuesta y recuperación, y adaptar constantemente su comportamiento.
Aquí es importante darse cuenta de que las necesidades de respuesta del equipo de operaciones de seguridad son tan importantes como las necesidades de recuperación del equipo de operaciones de TI para reducir el impacto del ataque. Los métodos que aceleran la recuperación de los sistemas sin comprender la naturaleza del ataque no eliminarán las vulnerabilidades en los controles que no previnieron ni detectaron el ataque.
En consecuencia, los ataques persistentes reinfectarán los sistemas recuperados en cuestión de minutos. Las bandas de ransomware están aumentando el uso de ataques de “doble clic”, en los que regresan y atacan a organizaciones que atacaron anteriormente pero se negaron a pagar un rescate. Estos atacantes aprovecharán las mismas vulnerabilidades que utilizaron para acceder al sistema la primera vez, si no se cierran. Las organizaciones también pueden ser atacadas por otras bandas que utilizan la misma plataforma de ransomware como servicio.
La ciberresiliencia es clave
Por eso es tan importante adoptar un enfoque de ciberresiliencia. Dado que los ciberataques devastadores tienen como objetivo la capacidad de una organización para responder y recuperarse, tiene sentido brindarles a las organizaciones la capacidad de hacerlo de manera segura y rápida. Esto significa ser consciente de cómo un ataque puede dañar los sistemas existentes e incluso las funciones de seguridad. Las herramientas de seguridad tradicionales en los endpoints tienen dificultades para funcionar cuando una organización tiene sistemas aislados en respuesta al ransomware y al escaneo. La recuperación, sin cerrar estas brechas y fortalecer las brechas de control, dejaría a la organización vulnerable al mismo ataque nuevamente en el futuro. La dependencia excesiva de herramientas de seguridad que en realidad pueden no funcionar o no ser confiables, incluso si lo hicieran, solo exacerba el problema.
En resumen, existen algunas razones clave por las que la mayoría de las organizaciones fracasan en este frente. La primera es que los métodos de recuperación ante desastres y continuidad del negocio tienden a no ser apropiados para hacer frente a los ciberataques. Las organizaciones que incurren en los costos más altos de un ciberataque devastador son aquellas que no pueden permitírselo. Copias de seguridad Los sistemas atacados quedan inutilizables para un adversario o cuando los sistemas atacados se recuperan sin que se tomen las medidas correctivas adecuadas para eliminar amenazas y vulnerabilidades.
La segunda razón es que los equipos de seguridad y operaciones de TI tienden a no colaborar. La investigación de un ataque no proporciona información sobre su mitigación, lo que significa que los equipos de seguridad a menudo descubren que no conocen los mejores pasos a seguir para evitar una reinfección. La tercera razón es que es posible que los controles de seguridad no estén disponibles después del ataque.
Las prioridades de BC/DR a menudo se centran primero en las aplicaciones comerciales críticas porque las establece el equipo de operaciones de TI que trabaja con las unidades de negocios de forma aislada de la seguridad. Pero es fundamental restaurar una Capacidad de Respuesta Mínima Viable (MiViRC) confiable, para que las operaciones de seguridad y TI puedan trabajar en colaboración con las partes interesadas internas y externas, utilizando herramientas confiables donde el adversario no puede observar para interrumpir las operaciones de respuesta y recuperación, para gestionar el incidente.
Si bien muchos proveedores de gestión de datos tienden a ofrecer entornos aislados centrados en las necesidades de recuperación del equipo de operaciones de TI, a menudo olvidan la relación central entre respuesta y recuperación, que es esencial para brindar resiliencia cibernética. Este debe ser un enfoque clave si queremos competir con la creciente amenaza del ransomware. Las organizaciones deben repensar las estrategias de seguridad, no seguir al rebaño, sino buscar un enfoque y una plataforma más colaborativos para la resiliencia. Realmente es la única manera de evitar que el ransomware gane.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no reflejan necesariamente los puntos de vista de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
El Tribunal Superior del Condado de Los Ángeles, el más grande de Estados Unidos, ha sufrido… Secuestro de datos Un ataque la obligó a cerrar completamente sus operaciones durante un día.
Una declaración publicada en el sitio web del tribunal decía que los 36 sitios web del tribunal, así como los sistemas externos como el portal MyJuryDuty, fueron cerrados mientras los equipos de TI trabajaban para eliminar el ransomware del sistema y restaurar la infraestructura.
“Dado que muchos sistemas de redes judiciales permanecen inaccesibles hasta el domingo por la noche, el tribunal estará cerrado mañana para dar un día adicional para volver a poner en línea las redes principales”, según una actualización inicial.
No hay enlaces a CrowdStrike
Una actualización posterior agregó que las operaciones se reanudarían, pero se deberían esperar algunas interrupciones:
“Como resultado del trabajo diligente del personal del tribunal y los expertos en seguridad, el tribunal reabrirá las 36 salas el 23 de julio. Los usuarios del tribunal deben anticipar posibles retrasos e impactos debido a las limitaciones en la funcionalidad”, se lee en la actualización.
El tribunal dijo que el ataque se observó por primera vez en las primeras horas del viernes 19 de julio. Agregó que el ataque no estaba relacionado con el escándalo de actualización de CrowdStrike y que no había evidencia de ninguna violación de datos.
Pero aún es incierto si esto cambiará en el futuro. Al momento de escribir este artículo, ningún operador de ransomware ni sus afiliados se han atribuido la responsabilidad del ataque. Sin embargo, hoy en día la mayoría de los grupos de ransomware ejecutan campañas de extorsión dual, que implican extraer datos confidenciales de sistemas comprometidos y luego amenazar con publicar los datos en línea a menos que se pague dinero. Esto hace que sea muy poco probable que se vean comprometidos datos confidenciales.
Suscríbase al boletín TechRadar Pro para recibir todas las noticias, opiniones, funciones y orientación que su empresa necesita para tener éxito.
El Tribunal Superior de Los Ángeles es el tribunal más grande de los Estados Unidos. Computadora sangrante La empresa depende de más de 4.800 empleados y 41 tribunales en 26 ciudades del condado de Los Ángeles.
Cuando LockBit Secuestro de datos Después de que los afiliados atacaran Infosys McCamish Systems (IMS) a finales de 2023, no robaron información confidencial de unas 57.000 personas, como se pensaba inicialmente.
En cambio, los perpetradores robaron información valiosa. Intel Un nuevo informe publicado por IMS y compartido con las autoridades estadounidenses dice que el número de víctimas de tortura en Estados Unidos ha aumentado a más de seis millones de personas.
“Con la asistencia de expertos externos en eDiscovery, contratados a través de abogados externos, IMS inició una revisión integral y que requiere mucho tiempo de los datos en cuestión para identificar la información personal sujeta a acceso y adquisición no autorizados y para determinar con quién se relaciona la información personal. ”, dijo la compañía en su aviso. “IMS ha notificado a las organizaciones afectadas sobre el incidente y la violación de cualquier información personal relacionada con ellas”.
Robo de identidad en abundancia
El tipo de información robada a las personas varía de un individuo a otro, pero en general, los actores de amenazas han robado números de Seguro Social (SSN), fechas de nacimiento, información médica, datos biométricos, direcciones de correo electrónico, contraseñas y números de licencia de conducir y estatales. . Números de identificación, información de cuentas financieras, información de tarjetas de pago, números de pasaporte, números de identificación tribales y números de identificación militares de EE. UU.
Información más que suficiente para lanzar una campaña de phishing destructiva El robo de identidad Ataques.
Para combatir esta amenaza, IMS proporcionó a las personas afectadas servicios gratuitos de protección de identidad y monitoreo de crédito a través de Kroll, durante dos años.
En noviembre de 2023, Bank of America presentó un informe de violación de datos ante la Oficina del Fiscal General de Maine, afirmando que el incidente se originó en una subsidiaria de Infosys. El informe, presentado por un abogado externo en nombre de Bank of America, decía que Infosys McCamish Systems (IMS), parte del gigante indio de servicios tecnológicos, es un asesor externo de Bank of America.
Suscríbase al boletín informativo TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Se dice que el número total de personas afectadas por el incidente, que ocurrió el 29 de octubre de 2023 y fue descubierto un día después, es de alrededor de 57.000, y los piratas informáticos robaron nombres (u otros identificadores personales) y números de seguridad social (SSN). El incidente fue descrito como una “penetración del sistema externo (hackeo)”.
IMS no mencionó qué empresas se vieron afectadas por este incidente, a excepción de Oceanview Life and Annuity Company.
El ransomware proyecta una larga sombra sobre el panorama digital actual, amenazando a empresas de todos los tamaños con parálisis de datos, interrupción de operaciones, daños a la reputación y graves repercusiones financieras. El problema es particularmente grave para las organizaciones medianas, donde más de la mitad (57%) admite que no revisan ni reemplazan regularmente los sistemas heredados, y un número similar (57%) no aplica parches regulares a sus sistemas.
Estas vulnerabilidades crean una superficie de ataque más amplia y vulnerabilidades adicionales que los ciberdelincuentes desean explotar. Gracias a Dios, con una comprensión más profunda de Secuestro de datos Con medidas proactivas de ciberseguridad, las empresas pueden fortalecer significativamente sus defensas y reducir el riesgo general de pérdida de datos.
¿Cómo funciona el ransomware?
El ransomware es un malware diseñado para cifrar los datos importantes de la víctima, impidiéndole esencialmente acceder a sus propios archivos. Los atacantes exigirán un pago de rescate a cambio de la clave de descifrado, lo que creará un enorme dilema para las empresas. O paga el rescate, corre el riesgo de alentar a los ciberdelincuentes o pierde el acceso a lo esencial Datoscesar operaciones, exponer a los clientes a riesgos innecesarios y crear importantes problemas regulatorios y financieros.
Hay muchos métodos que los atacantes pueden utilizar para intentar obtener acceso a la red de una víctima. El phishing y el aumento del phishing se dirigen a los empleados con correos electrónicos que contienen archivos adjuntos o enlaces sospechosos que eventualmente pueden descargarse al hacer clic en ellos. malware En un dispositivo. Los informes indican que el 91% de todos los ataques cibernéticos comienzan con un correo electrónico de phishing, y el 32% de todas las infracciones exitosas implican el uso de técnicas de phishing. La explotación de vulnerabilidades de software conocidas y los ataques de abuso de confianza son métodos adicionales que utilizan los atacantes para acceder a los sistemas empresariales. Además, los operadores de ransomware también buscarán identificar sus soluciones de respaldo y las eliminarán o cifrarán para garantizar que las empresas no puedan recuperarse rápidamente y así evitar pagar el rescate.
Pravesh Kara
Gerente de Productos de Seguridad y Cumplimiento, Advania.
El panorama de amenazas en evolución: nuevas tácticas y objetivos
El panorama de amenazas a la ciberseguridad está en constante evolución. En 2024, tanto las empresas como los individuos deben ser conscientes de las amenazas nuevas y emergentes, incluidos los riesgos que plantean los nuevos grupos de ransomware. Atraídos por la naturaleza lucrativa del ransomware, estos grupos buscan formas innovadoras de obtener acceso a sistemas que son fundamentales para mantener las operaciones comerciales diarias.
Esta naturaleza lucrativa puede ejemplificarse con datos recientes que muestran que los pagos de las víctimas de ransomware superaron los mil millones de dólares el año pasado, una cifra récord. Y esto es sólo para las carteras de criptomonedas que los analistas forenses han podido rastrear. Si bien las autoridades trabajan juntas para acabar con los grupos más extendidos (como el reciente desmantelamiento de LockBit), estas victorias suelen ser temporales, ya que nuevos operadores llenan rápidamente el vacío.
Además, los atacantes están cambiando de táctica. mientras que los datos Cifrado Aún siendo un método popular, algunos tipos de ransomware ahora roban datos y amenazan con exponerlos en la web oscura, creando una doble amenaza de extorsión. Los códigos QR maliciosos, una nueva variante llamada “Quishing”, están surgiendo como otro posible punto de entrada. Dadas las tácticas cambiantes, la vigilancia del usuario es crucial.
Suscríbase al boletín TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
La atención también se está desplazando hacia las pequeñas empresas. BlackCat y Lockbit son dos grupos de ransomware que se dirigen específicamente a pequeñas y medianas empresas, especialmente en economías en desarrollo. Las PYMES a menudo carecen de recursos para aprovechar ciberseguridadhaciéndolos más vulnerables.
Construyendo una defensa fortificada: estrategias para empresas de todos los tamaños
Aunque no existe una forma infalible de prevenir por completo los ataques de ransomware, las empresas pueden tomar medidas proactivas para reducir significativamente su riesgo y limitar el impacto si se produce un ataque. Las soluciones de seguridad en la nube pueden ser un poderoso aliado en esta batalla.
Construir una defensa sólida contra el ransomware requiere un enfoque de múltiples capas. La piedra angular de esta defensa es una sólida estrategia de respaldo. Realizar copias de seguridad periódicas de los datos críticos en una ubicación externa segura, idealmente administrada por profesionales de la seguridad en la nube, proporciona una red de seguridad en caso de un ataque. Copias de seguridad en la nube Separado geográficamente de la infraestructura local, lo que proporciona una capa adicional de protección contra ransomware dirigido a sistemas locales. Sin embargo, las copias de seguridad sólo son útiles si funcionan correctamente. Las pruebas periódicas y la capacitación de su equipo sobre el proceso de recuperación garantizan una recuperación rápida si un ataque de ransomware interrumpe sus operaciones.
Además de las copias de seguridad, es fundamental reducir la superficie de ataque. Esto incluye prácticas de higiene de seguridad que reducen los posibles puntos de entrada para los atacantes. Educar a los empleados a través de capacitaciones periódicas sobre concientización sobre seguridad les permite reconocer los intentos de phishing, una táctica común utilizada para propagar ransomware. El informe “Costo de una violación de datos” de IBM indica que la capacitación de los empleados es una forma particularmente efectiva de mitigar las violaciones de datos, ahorrando a las organizaciones al menos $232,867 por ataque.
Revisar y reforzar periódicamente los controles de acceso a aplicaciones, redes, sistemas y datos ayuda a minimizar daños potenciales. Se debe seguir el principio de privilegio mínimo, que consiste en otorgar a los usuarios sólo el acceso que necesitan para sus funciones laborales. Aproveche las funciones de seguridad integradas en los dispositivos y Sistemas operativoscomo CortafuegosLa detección de malware y las actualizaciones automáticas fortalecen tus defensas. Los recursos de ciberseguridad acreditados pueden proporcionar orientación fácil de entender y sin jerga sobre cómo establecer las mejores prácticas para diferentes sistemas. Al implementar estas medidas, las empresas pueden reducir significativamente su exposición a ataques de ransomware.
El papel de la nube en la lucha contra el ransomware
Los servicios de seguridad en la nube brindan capas adicionales de defensa contra el ransomware. Estos servicios pueden monitorear continuamente la actividad de su red en busca de comportamientos sospechosos, actuando como un centinela vigilante que utiliza el poder de la infraestructura de la nube para identificar y bloquear amenazas potenciales antes de que puedan causar daños. Además, los proveedores de la nube suelen cifrar sus datos tanto mientras están almacenados como en tránsito, lo que añade un escudo adicional contra el acceso no autorizado. Servicios de recuperación ante desastres Los proveedores de la nube también pueden garantizar la continuidad del negocio minimizando el tiempo de inactividad en caso de un ataque. Finalmente, segmente su red usando Confianza cero Los principios actúan como una serie de muros dentro de su fortaleza digital, que contienen el ataque de ransomware en la parte específica que fue comprometida y evitan que se propague por toda su red.
Si comprende cómo funcionan estos ataques y adopta un enfoque proactivo, podrá fortalecer significativamente sus defensas. Las copias de seguridad periódicas, preferiblemente almacenadas de forma segura en la nube, son la piedra angular de cualquier estrategia de defensa contra ransomware. Las soluciones en la nube brindan beneficios adicionales, como monitoreo continuo, cifrado de datos y capacidades de recuperación ante desastres.
Sin embargo, la defensa va más allá de la tecnología. La implementación de prácticas de higiene de seguridad, como la capacitación de los empleados y controles de acceso sólidos, reduce significativamente la superficie de ataque. Aprovechar las funciones de seguridad integradas y la autenticación multifactor fortalece su posición. Recuerde, el ransomware evoluciona constantemente, por lo que es fundamental estar al tanto de las últimas amenazas y actualizar periódicamente sus defensas. Si sigue estos sencillos pasos, puede transformar su empresa para que no sea un objetivo vulnerable y prepararse para los ataques de ransomware y mitigarlos.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
La empresa de hardware Keytronic ha confirmado que se produjo una importante filtración de datos semanas después de Black Basta Secuestro de datos El grupo filtró más de 500 GB de datos empresariales robados hace unas dos semanas.
La empresa, conocida como ensamblaje de placas de circuito impreso (PCBA), denunció el ciberataque a Presentación ante la SEC Hace más de un mes, 6 de mayo: se cree que el ataque interrumpió las operaciones de Keytronic, limitando el acceso a aplicaciones comerciales esenciales para las actividades de la empresa.
En su presentación ante la SEC, Keytronic detalló el impacto del ataque, incluido el cierre de las operaciones nacionales y mexicanas durante dos semanas para abordar el incidente. Aunque las operaciones se reanudaron con normalidad, la investigación confirmó que durante el ataque se robó información personal.
Keytronic confirma el ataque de Black Pasta
“Desde la fecha del informe original, la empresa ha determinado que el actor de la amenaza ha accedido y filtrado datos limitados del entorno de la empresa, que incluye información de identificación personal”, decía un comunicado del expediente.
Keytronic ahora está notificando a las partes y organismos reguladores potencialmente afectados.
Además del impacto del ataque a los datos personales, Keytronic también reveló que la pérdida de producción resultante podría afectar su posición financiera para el cuarto trimestre, que finaliza el 29 de junio. La empresa ha incurrido en alrededor de 600.000 dólares en gastos para expertos externos en ciberseguridad, y se esperan más costos.
Aunque Keytronic no nombró a los atacantes, Black Basta se atribuyó la responsabilidad, afirmando que robaron datos de recursos humanos, finanzas, ingeniería y de la empresa, y compartieron capturas de pantalla de información confidencial como pasaportes de empleados, tarjetas de seguridad social, presentaciones de clientes y documentos de la empresa.
Suscríbase al boletín TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Tecnología Radar Pro Keytronic pidió compartir más información y contexto, pero no recibimos una respuesta inmediata.
2023 fue un gran año para nosotros Secuestro de datosEl número de amenazas ha aumentado después de caer durante dos años, rompiendo un récord establecido hace seis años, según afirma una nueva investigación.
a un informe Mandiant reveló que la creciente popularidad del ransomware como servicio (RaaS) también ha significado que la barrera de entrada se ha reducido significativamente y, como resultado, el número de víctimas publicadas en sitios de fuga de datos ha aumentado significativamente.
Según el documento, hubo un aumento del 75% en el número de empresas que publicaron en sitios de fuga de datos entre 2022 y 2023, con organizaciones en 110 países afectadas.
Adiós, ataque de cobalto
Muchas familias de ransomware más antiguas y conocidas también han obtenido nuevas variantes, lo que indica un desarrollo continuo y un intercambio de recursos entre la comunidad cibercriminal. De hecho, casi un tercio de todas las nuevas familias de ransomware observadas y rastreadas por Mandiant en 2023 eran variantes de versiones previamente identificadas.
Mandiant también dice que si bien las variantes de ransomware están cambiando, los atacantes también están recurriendo a nuevas herramientas cuando se trata de acceso inicial. Si bien las herramientas maliciosas dominaron en años anteriores, ahora están siendo reemplazadas lentamente por herramientas legítimas utilizadas con fines maliciosos. En particular, Cobalt Strike, una herramienta de simulación de amenazas muy popular que fue secuestrada principalmente por ciberdelincuentes, se está eliminando poco a poco. En su lugar ahora existen muchas herramientas legítimas de acceso remoto.
Mandiant dice que los piratas informáticos también se están moviendo más rápido que antes, reduciendo el tiempo de permanencia y propagando el ransomware antes. En casi un tercio de los incidentes, el ransomware se implementó dentro de las 48 horas posteriores al acceso inicial del atacante, lo que significa que los actores de amenazas ahora son mejores para mapear la infraestructura, las redes y los sistemas de TI.
Finalmente, todavía ejecutan criptoware fuera del horario laboral: más de las tres cuartas partes (76%) de todas las implementaciones de ransomware ocurrieron fuera del horario laboral, generalmente temprano en la mañana.
Suscríbase al boletín informativo TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Investigadores de ciberseguridad han revelado algo nuevo Secuestro de datos Una cepa que abusa de Windows BitLocker para impedir que las víctimas accedan a sus dispositivos.
Como se informó pitidocomputadoraKaspersky nombró al nuevo ransomware ShrinkLocker porque, una vez que aparece, reduce las particiones disponibles que no son de arranque en 100 MB y crea nuevos volúmenes de arranque primarios del mismo tamaño. Luego utiliza BitLocker, una función de cifrado de disco completo incluida en algunas versiones. microsoft Windows, para cifrar archivos en el punto final de destino.
Hasta ahora se ha visto que afecta a agencias gubernamentales y empresas manufactureras y farmacéuticas.
Daño máximo
Para los no iniciados, BitLocker es una característica legítima de Windows, diseñada para proteger datos proporcionando cifrado de volúmenes completos.
ShrinkLocker no es la primera variante de ransomware que utiliza BitLocker para cifrar sistemas. pitidocomputadora Destacó que un hospital en Bélgica fue infectado con una cepa de ransomware que usaba BitLocker para cifrar 100 terabytes de datos en 40 servidores, y en 2022, un productor y distribuidor de carne ruso, conocido como Miratorg Holding, sufrió un destino similar.
Kaspersky advirtió que ShrinkLocker también viene “con características no reportadas anteriormente para maximizar el daño causado por el ataque”.
Entre otras cosas, el software de cifrado no deja caer una nota de rescate, lo cual es una práctica estándar. En cambio, etiqueta las nuevas particiones de arranque como direcciones de correo electrónico, lo que potencialmente invita a las víctimas a intentar comunicarse de esta manera.
Suscríbase al boletín TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
Además, después de un cifrado exitoso, el ransomware eliminará todas las herramientas de seguridad de BitLocker, privando a las víctimas de cualquier opción para recuperar la clave de cifrado de BitLocker. Las únicas personas que poseen la clave son los atacantes, que la obtienen a través de TryCloudflare. Esta también es una herramienta legítima que los desarrolladores utilizan para probar el túnel de CloudFlare, sin tener que agregar un sitio al DNS de CloudFlare.
Hasta la fecha, actores de amenazas no identificados han comprometido sistemas pertenecientes a fabricantes de acero y vacunas en México, Indonesia y Jordania.
El reciente incidente cibernético que involucró a la cadena de farmacias canadiense London Drugs fue realmente un completo accidente. Secuestro de datos La empresa confirmó que el ataque provocó el robo de datos confidenciales y una gran demanda de rescate.
En un comunicado presentado a RegistroLa empresa afirmó haber sido atacada, pero también confirmó que no tenía intención de pagar el rescate solicitado.
London Drugs sufrió un ciberataque a finales de abril de 2024, y eso fue Tuvo que cerrar temporalmente sus tiendas. en todo el oeste de Canadá luego de lo que describió en ese momento como un “problema operativo”.
LockBit ataca de nuevo
“Los farmacéuticos están preparados para satisfacer las necesidades farmacéuticas urgentes”, afirmó la empresa en ese momento. “Se recomienda a los clientes que se comuniquen con la farmacia de su tienda local para hacer arreglos”. La empresa tiene su sede en Richmond, Canadá, y opera al menos 78 tiendas en todo el país.
Un mes después, el “problema operativo” se convirtió en “un ataque orquestado por un sofisticado grupo de ciberdelincuentes globales”.
Más tarde se confirmó que este grupo era LockBit, uno de los operadores de ransomware más grandes del mundo. Supuestamente exigió 25 millones de dólares por la clave de descifrado y para mantener la privacidad de los datos robados. El grupo también dijo que London Drugs está dispuesto a pagar 8 millones de dólares para eliminar el problema.
Sin embargo, London Drugs dijo Registro “No quiere ni puede pagar un rescate a estos ciberdelincuentes”.
Suscríbase al boletín informativo TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.
LockBit parece haber robado archivos de la compañía London Drugs, que incluyen información de los empleados. La compañía dijo que los clientes no deberían verse afectados. Se desconocen los detalles sobre el tipo y la cantidad de datos, pero London Drugs los entregó gratis a sus empleados durante dos años Protección contra robo de identidad Y Servicios de seguimiento de crédito.
“Como se indicó anteriormente, aún no tenemos indicios de ninguna violación de las bases de datos de pacientes o clientes; y las bases de datos de nuestros empleados esenciales no parecen estar comprometidas. Si esto cambia a medida que continúa la investigación, notificaremos a las personas afectadas de acuerdo con la privacidad. leyes.” Concluyó el comunicado.
