Alrededor del 60% de los ataques de ransomware perpetrados por personas implican ahora el cifrado remoto malicioso. Sigue leyendo para conocer este vector de ataque de ransomware tan extendido y las capacidades de protección líderes del sector de Sophos.
¿Qué es el ransomware remoto?
El ransomware remoto, también conocido como cifrado remoto malicioso, se produce cuando un endpoint comprometido se utiliza para cifrar datos en otros dispositivos de la misma red.
En los ataques dirigidos por humanos, los adversarios suelen intentar desplegar el ransomware directamente en las máquinas que quieren cifrar. Si su intento inicial es bloqueado (por ejemplo, por las tecnologías de seguridad de los objetivos), rara vez se rinden, y optan por cambiar a un enfoque alternativo e intentarlo una y otra vez.
Una vez que los atacantes consiguen comprometer una máquina, pueden aprovechar la arquitectura de dominios de la organización para cifrar los datos de las máquinas gestionadas unidas por dominios. Toda la actividad maliciosa (ingreso, ejecución de la carga útil y cifrado) se produce en la máquina ya comprometida, eludiendo así las pilas de seguridad modernas. El solo indicio de compromiso es la transmisión de documentos hacia y desde otras máquinas.
El 80% de los ataques de encriptación remota se originan en dispositivos no gestionados de la red, aunque algunos se inician en máquinas infra protegidas que carecen de las defensas necesarias para impedir que los atacantes entren en el dispositivo.
¿Por qué es tan frecuente el ransomware remoto?
Un factor clave que impulsa el uso generalizado de este método es su escalabilidad: un solo endpoint no gestionado o infraprotegido puede exponer todo el patrimonio de una organización a un cifrado remoto malicioso, aunque todos los demás dispositivos estén ejecutando una solución de seguridad de endpoints de última generación.
Para empeorar las cosas, los adversarios no están limitados en su elección de la variante de ransomware para estos ataques. Una amplia gama de conocidas familias de ransomware admiten el cifrado remoto malicioso, como Akira, BitPaymer, BlackCat, BlackMatter, Conti, Crytox, DarkSide, Dharma, LockBit, MedusaLocker, Phobos, Royal, Ryuk y WannaCry.
Además, la mayoría de los productos de seguridad para endpoints son ineficaces en este escenario, porque se centran en detectar archivos y procesos maliciosos de ransomware en el endpoint protegido. Sin embargo, en los ataques de cifrado remoto, los procesos se ejecutan en la máquina comprometida, dejando la protección de endpoints ciega a la actividad maliciosa.
Afortunadamente, Sophos Endpoint incluye una sólida protección contra el cifrado remoto malicioso, impulsada por nuestra protección CryptoGuard, líder del sector.
Sophos CryptoGuard: protección universal contra ransomware líder del sector
Sophos Endpoint contiene varias capas de protección que defienden a las organizaciones del ransomware, incluida CryptoGuard, nuestra tecnología exclusiva contra el ransomware que se incluye en todas las suscripciones de Sophos Endpoint.
A diferencia de otras soluciones de seguridad para endpoints que solo buscan archivos y procesos maliciosos, CryptoGuard analiza los archivos de datos en busca de signos de cifrado malicioso, independientemente de dónde se estén ejecutando los procesos. Este enfoque lo hace muy eficaz para detener todas las formas de ransomware, incluido el cifrado remoto malicioso. Si detecta un cifrado malicioso, CryptoGuard bloquea automáticamente la actividad y devuelve los archivos a su estado no cifrado.
CryptoGuard examina activamente el contenido de todos los documentos a medida que se leen y escriben los archivos, utilizando análisis matemáticos para determinar si se han cifrado. Este enfoque universal es único en el sector y permite a Sophos Endpoint detener ataques de ransomware que otras soluciones pasan por alto, incluidos ataques remotos y variantes de ransomware nunca vistas.
Detecta el cifrado malicioso analizando el contenido de los archivos
A diferencia de otras soluciones que contemplan el ransomware desde una perspectiva antimalware centrándose en la detección de código malicioso, CryptoGuard busca el cifrado rápido masivo de archivos analizando el contenido mediante algoritmos matemáticos.
Bloquea los ataques de ransomware tanto locales como remotos
Como CryptoGuard se centra en el contenido de los archivos, puede detectar intentos de cifrado de ransomware incluso cuando el proceso malicioso no se está ejecutando en el dispositivo de la víctima.
Revierte automáticamente el cifrado malicioso
CryptoGuard crea copias de seguridad temporales de los archivos modificados y deshace automáticamente los cambios cuando detecta un cifrado masivo. Sophos utiliza un enfoque propio, a diferencia de otras soluciones que utilizan la Servicio de instantáneas de volumen de Windows, que los adversarios saben eludir. No hay límites en cuanto al tamaño y tipo de archivo que se puede recuperar, lo que minimiza el impacto en la productividad de la empresa.
Bloquea automáticamente los dispositivos remotos
En un ataque remoto de ransomware, CryptoGuard bloquea automáticamente la dirección IP del dispositivo remoto que intenta cifrar archivos en la máquina de la víctima.
Protege del registro de arranque maestro (MBR)
CryptoGuard también protege el dispositivo del ransomware que cifra el registro de arranque maestro (impidiendo el arranque) y de los ataques que borran el disco duro.
CryptoGuard es una de las capacidades exclusivas de Sophos Endpoint y se incluye en todas las suscripciones a Sophos Intercept X Advanced, Sophos XDR y Sophos MDR. Además, la función se activa automáticamente por defecto, lo que garantiza que las organizaciones disfruten de una protección completa contra ataques de ransomware locales y remotos desde el primer momento, sin necesidad de ajustes ni configuraciones.
Descubre los dispositivos desprotegidos
Un solo endpoint desprotegido puede dejar a tu organización vulnerable a un ataque remoto de cifrado. El despliegue de Sophos Endpoint proporciona una sólida protección universal contra el ransomware y el cifrado malicioso. Pero, para empezar, ¿cómo puedes identificar si tienes dispositivos desprotegidos en tu red?
Aquí es donde Sophos Network Detection and Response (NDR) puede ayudar. Sophos NDR supervisa el tráfico de red en busca de flujos sospechosos y, al hacerlo, identifica dispositivos desprotegidos y activos no autorizados en el entorno.
Para obtener la mayor protección contra los ataques remotos de ransomware, instala Sophos Endpoint en todas las máquinas del entorno y despliega Sophos NDR para descubrir dispositivos desprotegidos en tu red.
Mejora hoy tu protección contra el ransomware remoto
El cifrado remoto malicioso es una técnica popular de ransomware que la mayoría de las principales soluciones de seguridad para endpoints tienen dificultades para detener. Si no utilizas Sophos Endpoint, es muy probable que estés expuesto.
Para saber más sobre Sophos Endpoint y cómo puede ayudar a tu organización a defenderse mejor contra los ataques avanzados actuales, incluido el ransomware remoto, habla con un asesor de Sophos o con tu partner de Sophos hoy mismo. También puedes probarlo en tu propio entorno con una prueba gratuita de 30 días sin compromiso.
Dejar un comentario