La última empresa en ser víctima de un ataque de ransomware es Cognizant, una gran empresa de servicios de TI de Estados Unidos que admitió el fin de semana que había sido víctima de Maze.
La declaración de tres párrafos ofrece pocos detalles, excepto, quizás, el más revelador:
Cognizant puede confirmar que un incidente de seguridad que involucra nuestros sistemas internos y que causa interrupciones en el servicio a algunos de nuestros clientes es el resultado de un ataque del ransomware Maze.
Esa sola palabra, Maze, sugiere que la empresa ya se está preparando para reportar el ataque de ransomware como una violación de datos en toda regla.
Maze ha sido culpado de extorsionar a una serie de grandes organizaciones desde el verano pasado, y es conocido por robar y cifrar archivos con una innovación para aumentar la presión sobre las víctimas para que paguen: hemos cifrado tus archivos confidenciales, pero también los filtraremos al mundo si no obtenemos lo que queremos.
Para las empresas de EEUU, una violación de datos es un gran problema que conlleva una supervisión reguladora, así como costos potenciales considerables si se descubre que información sobre los clientes es parte de los datos robados.
También es comercialmente incómodo admitir que un ataque está causando problemas a los clientes, incluso si la empresa no es el único nombre prominente afectado por Maze en los últimos meses.
A finales de marzo, la empresa suiza de ciberseguros Chubb admitió que había sido golpeada por un ataque no identificado, que algunos intuyeron que podría ser obra de Maze que había robado con éxito datos de la empresa semanas antes.
Los atacantes incluso, descaradamente, justificaron sus acciones con la siguiente declaración:
Queremos demostrar que el sistema no es fiable. La ciberseguridad es débil. Las personas que deberían preocuparse por la seguridad de la información no son fiables. Queremos demostrar que a nadie le importan los usuarios. […] Ahora es tu turno. Cambiaremos la situación haciendo que las empresas irresponsables paguen por cada fuga de datos.
En enero, Naked Security informó sobre un ataque confirmado de Maze en diciembre que molestó tanto a la víctima, el fabricante de cables Southwire, que presentó una demanda civil contra sus causantes que mencionó la demanda de un rescate de 6 millones de dólares en Bitcoins.
Si estos y otros casos acreditados de Maze en las últimas semanas son una advertencia, ¿contra qué nos advierten?
La respuesta corta es un montón de tácticas que se leen como un pentest que se volvió deshonesto.
Eso podría incluir vulnerabilidades conocidas en cualquier tipo de activo privilegiado, como equilibradores de carga o servidores del Protocolo de escritorio remoto (RDP) de Microsoft. Si no puedes alcanzarlos directamente, siempre hay ataques de phishing estándar y archivos adjuntos de Word maliciosos para ayudar en la búsqueda de un punto de entrada en la red.
Nada de esto es exactamente difícil de predecir. En diciembre, el FBI incluso emitió una advertencia privada sobre las tácticas de Maze a las organizaciones estadounidenses.
El desafío es que los compromisos exitosos de hoy reflejan las debilidades de seguridad que se han acumulado desde hace tiempo. Las empresas a veces sospechan que tienen debilidades, pero simplemente no las encuentran tan rápido como los atacantes.
Cómo protegerse del ransomware
- Elige contraseñas seguras. Y nunca las reutilices.
- Haz copias de seguridad con regularidad. Podrían ser tu última línea de defensa contra una demanda de rescate de seis cifras. Asegúrate de mantenerlas offline donde los atacantes no puedan encontrarlas.
- Parchea rápido, parchea a menudo. El ransomware como WannaCry y NotPetya se basó en vulnerabilidades sin parchear para extenderse por todo el mundo.
- Bloquea RDP. Los cibercriminales explotan las credenciales débiles de RDP para lanzar ataques de ransomware dirigidos. Desactiva el Protocolo de escritorio remoto (RDP) si no lo necesitas y utiliza la limitación de velocidad, la autenticación de dos factores (2FA) o una red privada virtual (VPN) si lo necesitas.
- Utiliza protección contra ransomware. Sophos Intercept X y XG Firewall están diseñados para trabajar de la mano para combatir el ransomware y sus efectos. Los usuarios domésticos pueden protegerse con Sophos Home.
Dejar un comentario