Como defenderse de un Ransomware

Como defenderse de Ransomeware

¿Es posible defenderse de un Ransomware? Parece que nos rendimos con la conclusión que no a la vista de que empresas y gobiernos de todo el mundo siguen siendo víctimas, cada vez con mayor frecuencia, de este tipo de ataques. Incluso las empresas grandes (como Prosegur,  Everis y Telefónica que suponemos tienen medidas de protección fuertes) no han podido protegerse. ¿Debemos resignarnos a aceptar nuestra indefensión? ¿O podemos negarnos a aceptar esta lógica?

Es cierto que muchas entidades están tomando cada vez mayores medidas para protegerse contra los Ransomware y todo tipo de Malware, ¿pero por qué muchas caen victimas de ataques de Malware? Los responsables de los ataques de Ransomware están ganando centenares de miles de dólares en Bitcoin haciendo pagar a grandes empresas y entidades gubernamentales.

Los Ransomware avanzados, como cualquier Malware, antes de montar sus ataques siguen unos pasos comunes que consisten en un reconocimiento de todos los activos de una red que puedan infectar, como p.ej, Emotet y Ryuk. Algunos incluyen un módulo de Comando y Control (CyC) que comunica con un servidor del atacante. Emotet es un Malware gusano que cambia automáticamente su código cada cierto tiempo o con acciones determinadas del dispositivo, haciendo que sea más difícil para los antivirus detectar su rastro.

En un análisis del Ransomware Ryuk del año pasado, Itay Cohen y Ben Herzog de Check Point dijeron que el esquema de encriptación utilizado por Ryuk «está diseñado intencionalmente para operaciones a pequeña escala, de modo que solo los activos y recursos cruciales se infectan en cada red objetivo con su infección y distribución realizada manualmente por los atacantes. Esto, por supuesto, significa que se requiere un mapeo de red extenso, pirateo y recopilación de credenciales antes de cada operación.»

¿Por qué estamos quedando indefensos a pesar de la implantación de soluciones de Endpoint Protección, Secure Email Gatewarys, Firewalls, WAFs, SIEMs, IDS/IPS, etc…? Dichas soluciones son necesarias, pero no son capaces de detectar todos los tipos de comportamientos anómalos que pasan por la red.

El EDR solo ve lo que pasa en el Endpoint. La pasarela de Email solo ve lo que pasa por el Email. El Firewall se enfoca en controlar el tráfico de red que pasa por el. Hay mucho tráfico en la red interna que no pasa por un Firewall. El WAF se centra en analizar el tráfico en las Webs. El SIEM solo analiza eventos registrados. Hay muchos dispositivos que no generan logs, p.ej. IoT y BYOD, e incluso en algunos casos se deshabilitan por miedo de sobrecargar la red o por el gasto. Los IDS/IPS dependen de tener múltiples sondas en la red. Pero las limitaciones no acaban aquí. Estos sistemas de seguridad en su mayoría se basan en reglas. El problema es que los Malware no juegan según las reglas, sino que cambian constantemente para esquivarlas. Algunas soluciones han evolucionado para incluir inteligencia artificial para detectar comportamientos anómalos. Pero aún así se limitan a su entorno de visualización.

¿Como defenderse de un Ransomware?

Existen herramientas que ven todo el tráfico, pero no son capaces de analizar todo lo que ven. Analizan las cabeceras y los metados, pero no llegan a analizar los contenidos de los paquetes en los cuales se esconden los peligros. Otra limitación grave es la falta de detectar ataques en tiempo real porque su capacidad de detección se basa en el historial y no permiten ver el contexto del ataque, es decir lo que ha pasado en todo momento de extremo a extremo, el antes y el después, que otros activos han sido afectados, qué daño causó el ataque. Algunas soluciones pueden hacer un forense profundo, pero lo hacen una vez sufrido el daño.

La única fuente de verdad que expone todo lo que pasa por la red es la propia red. Por lo cual hacen falta herramientas que revelen en tiempo real todo lo que pasa por la red. No basta verlo y analizar solo una parte. Es imprescindible examinar todo, incluso el contenido de los paquetes que pasan en claro y cifrado. Hoy en día el tráfico cifrado representa la mayor parte del tráfico.

Como defenderse de un Ransomware: Reveal(x) de Extrahop monitoriza en tiempo real todo lo que pasa en la red. Con su tecnología patentada de Maching Learning, Reveal(x) es capaz de detectar un ataque inminente para prevenirlo. Reveal(x) complementa las medidas actuales de seguridad existentes para no dejar puntos ciegos porque analiza incluso el tráfico cifrado hasta 100 Gbps en tiempo real. Reveal(x) analiza 70 protocolos y genera 5.000+ características de comportamiento y analiza todos en tiempo real para alertar sobre un sinfín de indicios de ataques inminentes.

Con Extrahop Reveal(x) podemos defendernos frente al Ransomware y evitar ser sus víctimas.

Visite extrahop.com/demo para ver una demostración interactiva de los resultados que muestran los análisis de Reveal(x). Para más información visite https://www.dotforce.es.