El ransomware se ha convertido en una de las mayores amenazas cibernéticas que enfrentan las organizaciones en 2022. El impacto de los ataques de ransomware se está expandiendo y afecta no solo a los sistemas informáticos y los datos, sino también a nuestro mundo físico.  Además, las demandas de rescate crecen exponencialmente en comparación con años anteriores. En los últimos años, hemos sido testigos del surgimiento de   (RaaS) debido a su capacidad para lucrar con estas organizaciones criminales. "Ransomware-as-a-Service"  Las empresas pueden reducir el potencial y el impacto de RaaS implementando una solución sólida   habilitando la autenticación multifactor en todas sus cuentas. de administración de acceso e identidad y  REvil (también conocido como Sodinokibi) es la pandilla criminal de Ransomware-as-a-Service responsable de algunos de los ataques de ransomware más grandes de la historia, incluidos los incidentes de la cadena de suministro de JBS ransomware y Kaseya.  El 14 de enero de 2022,   que había arrestado a 14 miembros de REvil. La medida se produjo a pedido de las autoridades estadounidenses, que trabajaron con socios internacionales como Europol para reprimir las actividades del grupo criminal. Rusia anunció  Estos arrestos siguen al anuncio de noviembre de Europol de que se realizaron siete   . arrestos de afiliados de REvil en los meses anteriores   ¿Cómo optimizan las bandas de ransomware su modelo de negocio?  RaaS como servicio basado en suscripción continúa creciendo en popularidad, ya que proporciona una barrera baja para que los ciberdelincuentes ingresen al negocio del ransomware y se conviertan en afiliados. Más importante aún, este modelo también permite a los afiliados no técnicos ejecutar ataques de ransomware con éxito.  El modelo de negocio de los grupos RaaS es diferente de los ataques de ransomware tradicionales del pasado. Los delincuentes tradicionales de ransomware operaban bajo un equipo cohesionado que creaba el malware y ejecutaba el ataque.   En el modelo RaaS, al menos dos partes   : el desarrollador y el afiliado. establecen una relación comercial  El desarrollador escribe el programa malicioso y el afiliado ejecuta el ataque y cobra el rescate. Además de estas partes, los investigadores de seguridad han sido testigos de la ayuda de un tercero en los ataques RaaS, llamado "Proveedor de servicios".  El "Proveedor de servicios" ayuda al afiliado en varias etapas del ataque de ransomware, desde la selección de víctimas, proporcionando exploits y en las negociaciones.  Este modelo de negocio ayuda a que la actividad de REvil no se vea afectada por las recientes victorias de las fuerzas del orden. Los primeros indicios de   . Esta actividad continua implica uno de dos escenarios: los investigadores de seguridad demuestran que la actividad de REvil no ha cambiado  Las detenciones solo han afectado a 'intermediarios' dentro de la jerarquía de la banda criminal  El modelo de ransomware como servicio de REvil es lo suficientemente resistente como para sobrevivir a la interrupción de la aplicación de la ley  Estos hallazgos coinciden con un   emitido por el FBI, CISA, NCSC, ACSC y NSA. Según el informe: informe conjunto sobre ransomware  RaaS se ha vuelto cada vez más profesionalizado, con modelos y procesos comerciales ahora bien establecidos.  El modelo de negocio complica la atribución porque existen redes complejas de desarrolladores, afiliados y autónomos.  Los grupos de ransomware comparten información de víctimas entre sí, diversificando la amenaza a las organizaciones objetivo.   La conexión entre el ransomware como servicio y el acceso como servicio  Uno de los "proveedores de servicios" más esenciales para las organizaciones criminales de RaaS es Access-as-a-Service, conocido como Initial Access Brokers (IAB). Los IAB ofrecen el acceso encubierto a una red que se requiere en la primera etapa de un ataque de ransomware.  Dado que el tiempo es dinero para todas las empresas, incluso las criminales, la economía del ransomware como servicio se basa en las IAB para reducir la necesidad de un reconocimiento prolongado o el tiempo para encontrar un método de entrada.  Los intermediarios de acceso inicial ofrecen acceso como servicio por un precio y estos delincuentes brindan a los atacantes de ransomware una manera fácil de ingresar a las redes corporativas, allanando el camino para los ataques dañinos reales.  El mercado de Access-as-a-Service es la fuente de la desconexión entre una violación corporativa inicial y los ataques posteriores que siguen días o incluso meses después.  Los IAB obtienen las credenciales que venden de muchos lugares diferentes. Estas credenciales pueden ser de dominio público, compradas a otros atacantes, encontradas a partir de la explotación de vulnerabilidades o de otras infracciones.  Uno de los principales servicios que brindan los intermediarios de acceso es la   . Independientemente de la fuente de estas credenciales, los IAB siempre intentan verificar si funcionan probándolas manualmente o usando scripts especializados que pueden hacer esto a escala. validación de credenciales  Según una   , las IAB venden el acceso inicial por $4600 y las ventas tardan entre uno y tres días en finalizar. Una vez que se ha comprado el acceso, toma hasta un mes para que ocurra un ataque de ransomware. Como mínimo, cinco operadores conocidos de ransomware de habla rusa están utilizando IAB: LockBit, Avaddon, DarkSide, Conti y BlackByte. investigación del foro de seguridad cibernética KELA  DarkSide es famoso por un ataque a   que provocó pánico en la compra de combustible en los Estados Unidos. Justo antes de que comenzara el Super Bowl, los San Francisco 49ers se convirtieron en la última   , quien también nombró a la organización en un sitio web de filtración. Colonial Pipeline víctima de BlackByte  ¿Cuáles son las estrategias recomendadas para defenderse de RaaS?  Si bien las mejores prácticas de seguridad, como tener capacidades de respaldo efectivas, segmentar redes, monitorear correos electrónicos maliciosos y proteger a los usuarios de sus efectos, son excelentes medidas preventivas, las estrategias de defensa corporativa no deben limitarse a estos pasos.  La implementación de controles de administración de acceso e identidad efectivos y eficientes respaldados por políticas de acceso sólidas puede prevenir significativamente la violación de credenciales inicial por parte de las IAB que permite un ataque de ransomware posterior.  Supervise las infracciones de credenciales públicas. Estas infracciones deberían generar señales de alerta para buscar signos de una infracción en su red.  Si sospecha que algunas de sus credenciales están a la vista, active un restablecimiento de contraseña para todos los usuarios.  Considere seriamente configurar la autenticación multifactor (MFA) para todos sus empleados, socios y proveedores. No limite MFA solo a sus cuentas privilegiadas, ya que cualquier empleado es un objetivo potencial.  Como Directora de Marketing de Producto, Gestión de Identidad y Acceso (IAM) en Thales, Danna Bethlehem   como FIDO2. Ella dice: "FIDO2 ofrece una autenticación multifactor sin contraseña", con "un alto nivel de seguridad al tiempo que facilita la experiencia de inicio de sesión para los empleados". sugiere que las empresas avancen hacia métodos modernos de autenticación de múltiples factores  Supervise el comportamiento de los usuarios buscando cosas que sus empleados no deberían estar haciendo.  Considere usar las mejores prácticas estándar en políticas de contraseñas, como las desarrolladas por NIST o ENISA.  Suponga que sus empleados ya han perdido sus contraseñas ante los delincuentes y, por lo tanto, ha sido violado y está expuesto. Entonces se vería obligado a implementar una forma de arquitectura de confianza cero y una postura de seguridad en toda su red.  Los delincuentes de ransomware están avanzando en su modelo de negocio, que ahora se basa cada vez más en la compra de acceso a las redes de destino. Por lo tanto, el mercado de acceso como servicio está aumentando en prominencia y especialización.  Si una empresa puede protegerse del robo de credenciales, estará mejor posicionada para defenderse de futuros ataques de ransomware. La mejor estrategia de defensa es establecer una gestión sólida de acceso e identidad y permitir la autenticación multifactor en todas sus cuentas en el marco de una política de seguridad de confianza cero.

Chain

Super

Target

THALES

2022 - HackerNoon Contributor of the Year - Best Practices

2022 - HackerNoon Contributor of the Year - Management

Nominated for 2022 - HackerNoon Contributor of the Year - Management

Nominated for 2022 - HackerNoon Contributor of the Year - Best Practices

Este audio es producido en el idioma original de la historia!

Demasiado Largo; Para Leer

Download free Tech Leaders Productivity Report!

Tenga cuidado con los grupos de ransomware que pueden operar como empresas 'legítimas'

About Author

COMENTARIOS

ETIQUETAS

ESTE ARTÍCULO FUE PRESENTADO EN

Related Stories

Aumente su productividad con estas 18 herramientas para desarrolladores 🚀🔥

Liberando el poder de la IA. Una revisión sistemática de técnicas de vanguardia: resumen e introducción

La fuga rápida del sistema Claude Sonnet 3.5: un análisis forense

Cómo mejorar su flujo de trabajo 10 veces: 17 aplicaciones esenciales

Aumente su productividad con estas 18 herramientas para desarrolladores 🚀🔥

Liberando el poder de la IA. Una revisión sistemática de técnicas de vanguardia: resumen e introducción

La fuga rápida del sistema Claude Sonnet 3.5: un análisis forense

Cómo mejorar su flujo de trabajo 10 veces: 17 aplicaciones esenciales

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps