Siendo el ransomware y el phishing, dos de las amenazas más grandes y con mayor crecimiento en el mundo, no dejan de ser la preocupación principal de los CSO, ya que constantemente, estas amenazas, se encuentran en evolución para evadir las soluciones de seguridad y lograr secuestrar los datos de sus víctimas.
Por ello, en Network Secure recomendamos que las empresas cuenten con soluciones de monitoreo, gestión, control y protección de la información para reducir la brecha de vulnerabilidad.
De acuerdo con análisis realizados por laboratorios especializados de los fabricantes más reconocidos de soluciones de seguridad, han detectado el incremento de una variante de “secuestro” (ransomware) con un impacto significativamente mayor dado que dificulta su detección, eliminación y prevención por su forma de operar: el cifrado intermitente.
A diferencia del método tradicional que, a través del cifrado completo de los archivos, se bloquea el acceso general a la información o a la unidad de almacenamiento, el cifrado intermitente (o cifrado segmentado) toma bloques de los archivos para cifrarlos y dejando inutilizable la información; este método permite que los operadores de ransomware logren evadir los sistemas de detección (prevención) y consigan cifrar los archivos más rápido; la aplicación de este tipo de cifrado permite que el malware tome porciones de bytes de un archivo, logrando un ataque efectivo en un 50% menos de tiempo que un cifrado completo, adicionalmente, este método no es detectado fácilmente en los monitoreos de seguridad que se basan en detección automatizada de signos y procesos, la huella de los archivos cifrados es prácticamente igual a la de los archivos originales, por lo que los sistemas de detección lo pueden determinar como “válido” y no disparan alertas de infección.
Podría interesarte: Catálogo de Soluciones de Seguridad de Network Secure
La primera variante fue detectada a mediados del 2021, en LockFile, esta tendencia está siendo adoptada por otros grupos de ransomware como Black Basta, ALPHV (BlackCat), PLAY, Agenda y Qyick; LockFile cifra en bloques alternos de 16 bytes, mientras que Black Basta, que apareció en abril de 2022, no brinda a los operadores la opción de elegir entre modos, y decide qué hacer en función del tamaño del archivo, Para archivos pequeños de menos de 704 bytes de tamaño, cifra todo el contenido, para archivos entre 704 bytes y 4 KB, cifra 64 bytes y omite 192 bytes en el medio. Si el tamaño del archivo supera los 4 KB, el ransomware de Black Basta reduce el tamaño del espacio de los intervalos intactos a 128 bytes, mientras que el tamaño de la parte cifrada sigue siendo de 64 bytes.
Adicionalmente, en la forma de operación de esta variante en el ransomware, en la actualidad, algunos no necesitan ponerse en contacto con un servidor de comando y control (C2) en Internet para operar, esto significa que puede cifrar datos en máquinas que no tienen acceso a Internet; además, se dice que “no hay ransomware que eliminar” dado que, una vez que ha cifrado todos los documentos en la máquina, el ransomware se “auto elimina”, borrando sus binarios, dificultando así su identificación y reversión.
Conclusión y Recomendación
Los sistemas de detección se encuentran en constante evolución ante estas amenazas, sin embargo, dado que la seguridad de la información debería tener un enfoque en capas, siempre es recomendable contar con los métodos adicionales de prevención y recuperación ante desastres, contar con sistemas de backup seguros con una apropiada segmentación y aislamiento de los sistemas en producción, para que puedan estar resguardados de amenazas de este tipo, permitiendo la restauración de operaciones con el menor impacto posible; idealmente, dentro de la definición de políticas de seguridad de la información se debería contar con una solución de contingencia que entre en operación cuando la falla sea detectada.
En Network Secure contamos con más de 18 años de experiencia y +400 clientes en Latinoamérica a quienes asesoramos y ayudamos con nuestro servicio de consultoría de Seguridad de la Información y las diferentes soluciones de +25 marcas de clase mundial para reducir las brechas y vulnerabilidades de la Seguridad de la Información y disponer de métodos de prevención y recuperación de desastres. Agende una llamada con uno de nuestros especialistas.