Hace unas semanas, en Costa Rica se produjo un hecho sin precedentes: el presidente del país declaró el estado de emergencia nacional por un ataque de ransomware. Días después, anunció que el país estaba en guerra contra Conti, un grupo de ciberdelincuentes que había vulnerado y encriptado al menos 27 organismos gubernamentales del país.
Check Point alerta de que desde la aparición del grupo Conti en 2020 se ha convertido en líder del mercado clandestino de ransomware y es conocido como uno de los grupos más prolíficos e innovadores. Han acumulado más de 800 víctimas, en su mayoría grandes empresas y corporaciones con ingresos millonarios. El grupo de ransomware Conti es muy conocido por emplear las tácticas de doble y triple extorsión contra sus víctimas. El peligro que supone este tipo de amenaza es cada vez mayor, de hecho, según datos de Check Point Research, en el Q1 de 2022 en España, una de cada 54 empresas se vio afectada por un ataque de ransomware, lo que supone un aumento del 27% respecto al pasado año (1 de cada 55 compañías en el primer trimestre de 2021).
Ante esta situación, Check Point Software quiere aportar las medidas imprescindibles para mantener una estrategia de ciberseguridad proactiva y así contar con el mayor nivel posible de protección ante cualquier incidencia:
1. Copias de seguridad periódicas de los datos: la definición de ransomware es la de un malware diseñado para forzar el pago de un rescate como única forma de acceder a la información encriptada. Realizar backups de datos automatizadas y protegidas permite a una organización recuperarse de un ataque con una pérdida mínima y sin tener que pagar un rescate. Mantener copias de seguridad de forma periódica y rutinaria es una práctica muy importante para evitar un perjuicio mayor, así como para poder recuperar lo perdido en caso de corrupción o mal funcionamiento del hardware del disco.
2. Parchear los programas y soluciones: el parcheado es un componente crítico en la defensa contra los ataques de ransomware, ya que los ciberdelincuentes suelen buscar los últimos exploits descubiertos en los parches disponibles y luego apuntan a los sistemas que aún no cuentan con ellos. Por lo tanto, es fundamental que las empresas se aseguren de que todos sus sistemas tienen los últimos parches del fabricante, ya que esto reduce el número de posibles vulnerabilidades dentro de la empresa que puede explotar un atacante.
3. Autenticación de usuarios: acceder a servicios como el RDP con credenciales de usuario robadas es una de las técnicas favoritas de los ciberdelincuentes de ransomware. Utilizar una doble autenticación de usuario robusta puede dificultar que un atacante haga uso de una contraseña que consigan adivinar o que hayan logrado robar.
4. Reducir la superficie de ataque: con el alto coste potencial de una infección de ransomware, la prevención es la mejor estrategia contra el ransomware. Esto puede lograrse reduciendo la superficie de impacto y abordando:
– Mensajes de phishing.
– Vulnerabilidades sin parchear.
– Soluciones de acceso remoto.
– El malware móvil.
5. Implantar una solución antiransomware: el hecho de tener que cifrar todos los archivos de un usuario significa que el ransomware deja una huella digital única cuando se ejecuta en un sistema. Las soluciones antiransomware están diseñadas para identificar esos rastros y deben contar con las siguientes características:
– Identificación de amplias variantes.
– Detección rápida.
– Restauración automática.
– Mecanismo de restauración que no se basa en herramientas comunes incorporadas (como ‘Shadow Copy’, que es el objetivo de algunas variantes de ransomware).
6. Formación y concienciación en materia de ciberseguridad: el ransomware suele propagarse mediante correos electrónicos de phishing. Es crucial formar a los usuarios sobre cómo identificar y evitar amenazas potenciales de este tipo. Muchos de los ciberataques actuales comienzan con un mensaje que anima al usuario a hacer clic en un enlace malicioso. La formación de los trabajadores suele considerarse una de las defensas más importantes que puede desplegar una organización.
“Los ataques a países soberanos muestran el creciente poder de los grupos organizados de ciberdelincuentes. Conti ha demostrado no sólo el poder de los medios tecnológicos (por ejemplo, malware, ransomware, etc.) que están utilizando, sino el poder de la guerra de la información. Sea cual sea el motivo de los ataques a Costa Rica y Perú, el grupo de ransomware Conti ha abierto un nuevo capítulo en el ecosistema del ransomware. Es el momento para que todas las organizaciones y compañías a nivel mundial tomen conciencia del peligro que supone ser víctima de un ransomware e implementen las medidas necesarias para protegerse y mantener a salvo sus datos”, alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.