Parece que cada día aparece en las noticias una nueva variante o víctima de ransomware. Es noticia porque funciona muy bien y causa destrucción generalizada.
Por eso, cuando se produjo la reciente oleada de noticias sobre PetrWrap, una variante de la conocida cepa de ransomware Petya, fue fácil pasar por alto su importancia. La narrativa de "ladrones sin honor" eclipsó su verdadera importancia.
Convertido en un gran negocio, se calcula que el ransomware recaudó más de mil millones de dólares en 2016. La innovación en el modelo de negocio impulsó el crecimiento, incluyendo un enfoqueconcertado en los hospitales -condatos críticos de pacientes y dependencia de TI- como los objetivos de mayor valor.
Aunque las campañas de entrega eran selectivas, hasta ahora los ataques de ransomware tenían esencialmente el mismo comportamiento:
- Eran automatizados y oportunistas.
- Se enviaban a través de campañas de phishing o métodos de distribución de exploits y se propagaban rápidamente.
- Cifraban indiscriminadamente, ya fueran datos o registros de arranque. A veces se encriptaban datos importantes, otras veces eran datos sin valor.
Pero la verdadera noticia es que PetrWrap no está automatizado. Históricamente, el ransomware ha tenido éxito a gran escala en campañas de ataque oportunistas sin necesidad de que el atacante sea muy hábil.
En cambio, PetrWrap se utiliza en campañas de ataques selectivos y es operado por actores cualificados. Imagínese a atacantes avanzados moviéndose sigilosamente por su red y encontrando sólo los activos más críticos -sistemas y datos- para tomarlos como rehenes. ¿Cuánto pagaría por evitar ese nivel de interrupción de su negocio?
Y por eso PetrWrap es importante. La herramienta básica para secuestrar sistemas y datos es la misma. Pero la aplicación y el modelo de negocio son completamente diferentes.
PetrWrap es un indicio de que actores más avanzados están entrando en el juego de la extorsión, presagiando otra peligrosa innovación en el modelo de negocio del ransomware. Ya no se trata sólo del robo de secretos comerciales y datos críticos de clientes. Es una patada paralizante a su capacidad para operar la infraestructura de TI y el negocio.
A menos que averigüemos cómo impedir que el 100% de los atacantes entren, debemos mejorar mucho en la detección de sus comportamientos en la red interna antes de que causen daños.
Todas las empresas deberían tener una estrategia para mitigar los riesgos del ransomware, que incluya acciones falsas y buenas copias de seguridad. Y ahora es aún más crítico contar con una solución de seguridad que encuentre a los atacantes ocultos mientras buscan tus activos clave, mucho antes de que te tomen como rehén.
Vectra detecta los comportamientos de los ataques de ransomware dentro de su red y proporciona a los equipos de seguridad múltiples oportunidades de alerta temprana al exponer las acciones nefastas -incluido el tráfico de comando y control, el escaneo de la red y la propagación de malwarepreceden al cifrado de los datos de la empresa y los registros de arranque.
Para obtener más información, consulte este libro blanco para comprender cómo su organización puede crear una estrategia eficaz para gestionar los ataques de ransomware.