PYMES y ransomware

PYMES y ransomware:
Evitá caer en la trampa de los cibercriminales

Noticias y Novedades

El vínculo entre PYMES y ransomware crece, pero existen formas de reducir el riesgo.

 

Aunque muchos dueños de pequeños negocios piensan que “nadie los va a atacar por ser chicos”, la realidad es otra. El ransomware afecta a todo tipo de empresas, y las PYMES son las más vulnerables: el 88% de las violaciones de datos en este segmento están relacionadas con esta amenaza. La falta de herramientas de defensa y de planes de respuesta convierte a las PYMES y ransomware en un escenario crítico, donde basta un ataque exitoso para frenar operaciones, comprometer información y poner en riesgo la continuidad del negocio.

 

Evolución de los grupos de ransomware

 

Para hacer frente a la amenaza, también es necesario comprender quién o qué la impulsa y cómo está cambiando. Por un lado, la industrialización del ransomware como servicio (RaaS) de la ciberdelincuencia ha reducido las barreras de entrada y facilitado la proliferación del ransomware. Mientras tanto, la rotación de marcas de ransomware también continúa a buen ritmo, causada en parte por la intensificación de los esfuerzos de las fuerzas de seguridad. En cuanto un grupo es desmantelado, a menudo surge otro nuevo con tácticas y herramientas similares u otras, en un intento de escapar al escrutinio. Además, la rápida evolución de las TTP dificulta la mitigación del riesgo.

Por otra parte, el cambio de marca del ransomware también puede ser un reflejo de las dificultades que tienen muchos grupos para obtener beneficios. Un análisis de los pagos de rescates en criptomoneda revela un descenso del 35 % entre 2023 y 2024. Sin embargo, al enfrentarse a un número potencialmente menor de víctimas dispuestas a pagar, los grupos de ransomware parecen estar duplicando el número de las que lo hacen, como lo demuestra un estudio que afirma que el 55% de las organizaciones que pagaron un rescate el año pasado lo hicieron varias veces; con un 29% pagando tres o más veces.

 

¿Cómo la IA está transformando el ransomware?

 

A medida que avanza la tecnología, los grupos de ransomware también cambian de táctica para aumentar sus posibilidades de éxito. Las formas habituales de conseguir el acceso inicial a las redes de las víctimas siguen siendo la explotación de vulnerabilidades, el phishing y el compromiso del acceso remoto, por ejemplo mediante credenciales obtenidas por malware de robo de información. Sin embargo, las herramientas de IA podrían potenciar todos estos esfuerzos.

El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha advertido recientemente de que, en los próximos dos años, el uso de la IA provocará «un aumento de la frecuencia y la intensidad de las ciberamenazas», y que la búsqueda de víctimas vulnerables (reconocimiento), la explotación de vulnerabilidades y la ingeniería social, en particular, se democratizarán en la clandestinidad de la ciberdelincuencia.

Mientras tanto, ESET descubrió recientemente lo que se cree que es el primer ransomware del mundo impulsado por IA, «PromptLock», que utiliza un modelo legítimo de OpenAI para generar scripts maliciosos. «La perspectiva de malware impulsado por IA que puede, entre otras cosas, adaptarse al entorno y cambiar sus tácticas sobre la marcha puede representar en general una nueva frontera en los ciberataques», advierte ESET.

Un informe separado de ESET destaca otros nuevos desarrollos, incluyendo la aparición de «EDR killers», diseñados para terminar, cegar o bloquear las herramientas de detección y respuesta de endpoints (EDR) instaladas en los sistemas de las víctimas. También se han observado grupos que utilizan tácticas de ingeniería social «ClickFix» para engañar a los usuarios e inducirles a instalar malware en sus equipos.

 

¿Cómo proteger su empresa?

 

Un puñado de PyMES sabe, por experiencia propia, lo que puede ocurrir tras un ataque de ransomware. Un ejemplo en una gran empresa, como la británica de logística KNP, que debió cerrar sus operaciones luego de un ataque de ransomware, sirve para ejemplificar el daño que puede causar este tipo de amenaza, incluso a quienes pueden tener mejor preparación. Para que su empresa reduzca las posibilidades, es fundamental tomar medidas preventivas como:

1) Aplicar una gestión de parches que priorice la corrección de vulnerabilidades críticas para limitar aún más la posibilidad de acceso inicial y movimiento lateral.

2) Adoptar un enfoque de ZeroTrust, con políticas de mínimo privilegio y autenticación multifactor y verificación continua de usuarios.

3) Instalar software de seguridad de un proveedor de confianza en todos los dispositivos, desde terminales y servidores hasta portátiles de trabajadores remotos.

4) Realizar copias de seguridad de los archivos confidenciales siguiendo buenas prácticas del sector, para enfrentar un posible cifrado, y reducir la ventaja del adversario.

5) Diseñar y probar periódicamente un plan de respuesta a incidentes en colaboración con las principales partes interesadas de toda la empresa.

6) Supervisar continuamente las redes, los terminales y otras partes del entorno informático en busca de señales de comportamiento sospechoso, y reducir el tiempo de permanencia del atacante.

7) Actualizar los cursos de formación y concienciación para incluir ejercicios de simulación con las últimas tácticas de phishing, incluido el phishing basado en la voz (vishing). Sus empleados son a la vez su mejor activo y su eslabón más débil.

Es importante que se asegure de evaluar adecuadamente sus activos, recursos y riesgos, incluidos los que emanan de las cadenas de suministro. Mantenga un inventario de todas las herramientas de código abierto y patentadas que utiliza su organización. En términos más generales, la visibilidad de los activos es la base de cualquier programa de gestión de riesgos. En otras palabras, se sabe que los atacantes cuentan con los puntos ciegos. Si no sabes que un sistema existe o qué datos contiene, no puedes protegerlo.

 

Podés leer el artículo completo en el siguiente enlace:

Las pequeñas empresas tienen más probabilidades de ser víctimas del ransomware