Aumentan los ataques de ransomware y Microsoft Exchange Server

Los investigadores de Check Point Research ha descubierto un cambio en los objetivos de los ciberdelincuentes durante el transcurso de la pandemia. Durante el año pasado, los hospitales y la industria de la salud han estado bajo una tremenda presión, no solo lidiando con el aumento en el número de pacientes, sino también con los ataques de ransomware lanzados por los ciberdelincuentes, que veían al sector como un objetivo fácil. Sin embargo, ahora parece que los ciberdelincuentes están dirigiendo su atención a nuevos objetivos, porque perciben oportunidades aún más fáciles para sus tácticas de extorsión.
 
Tras la reciente revelación de las vulnerabilidades que afectan a los servidores Microsoft Exchange, Check Point Research (CPR) ha observado un aumento global en el número de ataques de ransomware. De hecho, desde principios de 2021, se ha producido un incremento mensual de empresas afectadas por ransomware del 9%. Este repunte incluye un aumento del 57% de compañías afectadas por ransomware en los últimos 6 meses. Según varios informes y alertas oficiales de la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) de Estados Unidos, los ataques de ransomware se dirigen a los servidores de Microsoft Exchange aprovechando vulnerabilidades previamente expuestas.

Además, solo en la última semana, el número de ataques que involucran vulnerabilidades de Exchange Server se ha triplicado. Con más de 50.000 intentos de ataque en todo el mundo, CPR ha observado que las industrias más atacadas son gobierno/ejército, industria y banca/finanzas. El país más afectado es Estados Unidos (49% de todos los intentos de explotación), seguido por Reino Unido (5%), Holanda (4%) y Alemania (4%).

CPR también ha observado las siguientes tendencias en los ataques de ransomware:

• En los últimos 6 meses, se ha producido un aumento generalizado del número de ataques de ransomware operados por humanos, como Maze y Ryuk, en los que las víctimas tienen que negociar con los delincuentes que lanzaron el ataque.

• En total, 3.868 empresas han sido afectadas con ransomware
Intentos de ataques de ransomware por sectores:
El sector industrial más atacado por WannaCry es el gubernamental/militar (18% del total de ataques). Le siguen la industria manufacturera (11%), los servicios bancarios y financieros (8%) y la sanidad (6%).

Intentos de ataques de ransomware por país:
Los países más afectados por los intentos de ataque de ransomware son Estados Unidos (49% de todos los intentos de ataque), seguidos de Reino Unido (5%), mientras que Alemania y Países Bajos tienen un 4%, Australia, Brasil o Italia un 2% cada uno y España, junto a Austria o Noruega, un 1%.

Por desgracia, WannaCry, el ransomware con forma de gusano que debutó hace cuatro años en el mundo corporativo, vuelve a ser tendencia, aunque no está claro el motivo. Desde principios de año, el número de empresas afectadas por WannaCry a nivel mundial ha aumentado un 53%. De hecho, CPR descubrió que con respecto a octubre de 2020 se han multiplicado por 40 el número de compañías afectadas durante marzo de 2021. Las nuevas muestras siguen utilizando el exploit EternalBlue para propagarse, para el que hay parches disponibles desde hace más de 4 años.  Esto pone de manifiesto por qué es fundamental que las empresas parcheen sus sistemas tan pronto como haya actualizaciones disponibles.  

Protección contra el ransomware en las empresas, imprescindible
A continuación, Check Point ofrece algunos consejos fundamentales para mantener la organización protegida frente a los ataques de ransomware:

• Haz una copia de seguridad de todos los datos: Una de las acciones más importantes para evitar que el ransomware interrumpa tus operaciones es hacer una copia de seguridad de los datos de su empresa con regularidad. Si algo va mal, deberías poder volver rápida y fácilmente a una versión de copia de seguridad reciente. Esto no te protegerá activamente de ser el objetivo de un ataque, pero si alguna vez te atacan, las consecuencias no serán tan devastadoras. Hacer una copia de seguridad de los datos puede ayudar a las empresas a evitar tener que pagar un rescate o sufrir los efectos negativos de restaurar los sistemas a una versión anterior.

• Mantén el software actualizado: los atacantes de ransomware a veces encuentran un punto de entrada dentro de las aplicaciones y el software, observando las vulnerabilidades y aprovechándolas. Afortunadamente, algunos desarrolladores buscan activamente nuevas vulnerabilidades y las parchean. Adopta una estrategia de gestión de parches y asegúrate de que todos los miembros del equipo están constantemente actualizados con las últimas versiones. Como se mencionó anteriormente, WannaCry se basa en sistemas sin parches para propagarse, pero los parches para la vulnerabilidad que explota han estado disponibles durante 4 años, aunque evidentemente muchas empresas no han aplicado estas actualizaciones.

• Utiliza una mejor detección de amenazas: La mayoría de los ataques de ransomware pueden detectarse y resolverse antes de que sea demasiado tarde. Para maximizar tus posibilidades de protección, debes de contar con un sistema automatizado de detección de amenazas en tu organización.

• Adopta la autenticación multifactor: La autenticación multifactor obliga a los usuarios a verificar su identidad de varias maneras antes de que se les conceda acceso a un sistema. De este modo, si un empleado da por error su contraseña a un ciberdelincuente, este no podrá acceder fácilmente a sus sistemas.

• Principio del mínimo privilegio (POLP): Los empleados nunca deberían tener más acceso a los datos del que realmente necesitan. Segmentar tu organización y restringir el acceso puede proporcionar una especie de efecto de cuarentena, minimizando el impacto de un posible ataque y limitando los vectores de acceso.

• Escanear y supervisar los correos electrónicos y la actividad de los archivos: Los correos electrónicos son la opción por excelencia de los ciberdelincuentes que ejecutan esquemas de phishing, así que tómate el tiempo para escanear y supervisar los correos electrónicos de forma continua, y considera la posibilidad de implementar una solución de seguridad de correo electrónico automatizada para bloquear los correos electrónicos maliciosos que lleguen a los usuarios.

• Mejorar la formación de los empleados: La mayoría de los ataques de ransomware son el resultado de malos hábitos de los empleados, o de pura ignorancia. Alguien puede dar involuntariamente su contraseña, o descargar un archivo desconocido en su dispositivo de trabajo. Con una mejor formación de los empleados, las posibilidades de que esto ocurra son mucho menores.

• No pagues el rescate: Por último, si tu compañía es víctima de un ataque de ransomware, ¡no pagues el rescate! Puede parecer tentador salir de esta mala situación lo antes posible, pero incluso después de pagar el rescate, no hay garantía de que el atacante vaya a cumplir su palabra.

• Soluciones contra el ransomware: Aunque los pasos anteriores para la prevención del ransomware pueden ayudar a mitigar la exposición de una empresa a las amenazas de ransomware, no proporcionan una protección perfecta. Para lograr su objetivo, el ransomware debe realizar ciertas acciones anómalas, como abrir y cifrar un gran número de archivos. Las soluciones antiransomware supervisan los programas que se ejecutan en un ordenador en busca de comportamientos sospechosos que suelen presentar los ransomware, y si se detectan estos comportamientos, el programa puede actuar para detener el cifrado antes de que se produzcan más daños.