Estas son las principales puertas de entrada del ransomware en tu empresa

El especialista ha identificado las principales puertas de entrada que utiliza el ransomware para acceder a las redes corporativas, robar información y cifrarla para dejarla inaccesible.

Acceso mediante RDP
Con el aumento del teletrabajo en el último año, hay un mayor número de empleados que se conectan en remoto a la red corporativa mediante una autenticación simple que pregunta por un usuario y una contraseña, aunque se puede fortalecer aplicando sistemas de autenticación multifactor.

Muchos estos accesos se realizan mediante el protocolo RDP, que están configurados usando el puerto por defecto 3389 y se pueden identificar usando buscadores específicos como Shodan. “Existen millones de máquinas que permiten este acceso remoto y esto supone millones de oportunidades para los delincuentes de acceder a una red corporativa”, señala la compañía. Para acceder a estas redes corporativas mediante RDP los delincuentes pueden, por ejemplo, comprar credenciales que se hayan visto comprometidas previamente. Esto es algo que hacen varios tipos de ciberdelincuentes, no solo los que se dedican a robar información y cifrar los datos con un ransomware.

Sin embargo, el método más habitual para acceder mediante RDP a los equipos de una red siguen siendo los ataques de fuerza bruta. Una vez identificados aquellos que únicamente solicitan una autenticación simple mediante usuario y contraseña, es fácil para un atacante probar varias combinaciones de usuarios y contraseñas utilizando diccionarios de credenciales o incluso probando de forma aleatoria.

Es importante adoptar medidas que bloqueen o al menos mitiguen este tipo de incidentes, para lo que resulta indispensable tener constancia de cuántos dispositivos tienen acceso mediante RDP a los ordenadores que están dentro de la red corporativa. Una vez identificados todos estos dispositivos se debería eliminar este acceso remoto a todos aquellos que no sean indispensables y que, siempre que sea posible, los que necesiten conectarse, lo hagan mediante VPN.

Correo electrónico
En 2021, el e-mail sigue siendo la puerta de entrada preferida para propagar una gran variedad de amenazas, entre las que se encuentra el ransomware.

Normalmente los delincuentes normalmente emplean algún tipo de documento adjunto con macros maliciosas incrustadas o enlaces para comprometer el sistema con un malware de primera fase. Este malware de primera fase suele estar compuesto por alguna variante de alguna botnet, como Trickbot, Qbot o Dridex.

Una vez que este malware consigue infectar el sistema, los atacantes comienzan a realizar movimientos laterales en búsqueda de aquellas máquinas más interesantes, como pueden ser los controladores del dominio. Desde esas máquinas les resulta más fácil tratar de desactivar las soluciones de seguridad que serían capaces de detectar el payload final, en este caso el ransomware. También es posible que decidan robar información confidencial de la empresa para realizar una doble extorsión en el caso de que la víctima no quiera pagar por recuperar sus archivos.

A la hora de protegerse frente al ransomware que utiliza el email como vector de ataque, de acuerdo con Eset, es clave los correos que resulten sospechosos y contengan ficheros adjuntos o enlaces con un buen filtro antispam. Se puede bloquear la descarga de cierto tipo de ficheros, pero como muchas veces se emplean documentos ofimáticos, esta medida puede ser contraproducente al bloquear también documentos legítimos.

Resulta muy útil contar con una solución de seguridad que sea capaz de identificar estos adjuntos, enlaces y ficheros descargados maliciosos, ya sea de forma estática o cuando intentan realizar alguna acción maliciosa que inicie la cadena de infección. Además, estas soluciones de seguridad deben estar correctamente configuradas y protegidas con al menos una contraseña para evitar su desinstalación por parte de los atacantes.

También se puede reducir considerablemente el éxito de estos incidentes si se conciencia a los empleados y se les enseña a identificar o, al menos, sospechar de ciertos tipos de correos. Es muy probable que algún usuario siga cayendo en las trampas preparadas por los delincuentes, pero solo con que parte de ellos alerte al servicio de soporte cuando detecte un correo sospechoso podría evitar males mayores.

Vulnerabilidades no parcheadas
Los agujeros de seguridad presentes en el sistema operativo y en las aplicaciones utilizadas son también otro de los vectores de ataque usados por los delincuentes para desplegar ransomware en redes corporativas. Sin embargo, y aunque ha habido casos sonados, como el de Kaseya, en los que los delincuentes han usado exploits 0-day para conseguir su objetivo, lo más habitual es que se aprovechen de vulnerabilidades ya conocidas.

Durante los últimos meses se ha visto como los delincuentes han tratado de aprovechar vulnerabilidades descubiertas, precisamente, en VPNs. En este sentido, el proveedor de seguridad asegura que algunas de las soluciones VPN instaladas con premura para habilitar el teletrabajo durante la pandemia, presentaban importantes fallos de seguridad que los delincuentes han sabido aprovechar para acceder a las redes corporativas.

Lo mismo es aplicable a todas aquellas herramientas colaborativas y de productividad que han visto aumentado su uso desde el inicio de los confinamientos el año pasado. Las vulnerabilidades en plataformas como Microsoft Exchange Server han sido aprovechadas por los atacantes para acceder a los sistemas y la red de las empresas, lo que ha permitido a los delincuentes robar todo tipo de datos y correos, así como también infectar sistemas de forma que pudieran acceder a la red comprometida durante largos periodos de tiempo.

Por los motivos expuestos, resulta fundamental para mantener una buena política de seguridad en las redes actualizar tanto los sistemas como las aplicaciones utilizadas tan pronto como sea posible. De esta forma se limita las posibilidades que tienen los delincuentes de tener éxito, ya que se acorta la ventana de oportunidad de la que disponen para aprovechar los agujeros de seguridad descubiertos.

La cadena de suministro
El ataque a Kaseya provocó que centenares de empresas de todo el mundo vieran sus sistemas comprometidos y la información que almacenaban cifrada. Esto fue posible debido a que los atacantes lograron comprometer aprovechando una vulnerabilidad 0-day uno de las principales soluciones de gestión de entornos tecnológicos usados por los proveedores de servicios gestionados.

A pesar de que los ataques que usan la cadena de suministros aún son la excepción a la regla, su número se ha venido incrementando en los últimos meses, lo que demuestra una peligrosa tendencia que puede provocar problemas incluso más graves en el futuro. Comprometer una de estas herramientas de gestión es como obtener la llave maestra a cientos, si no miles, de redes corporativas, algo que los delincuentes están deseando conseguir.

Debido a la confianza ciega que se suele tener tanto en este tipo de software como en los proveedores de servicios gestionados, es difícil que las empresas tomen medidas para protegerse de estos ataques que usan la cadena de suministro. Sin embargo, se puede mitigar su impacto utilizando una solución de seguridad adecuada en los equipos de la red, complementada con una solución EDR que permita dar visibilidad a las acciones sospechosas que se producen en ella.

Nuevas estrategias
Según explica la firma de seguridad, en los últimos meses se ha visto que el cibercrimen ha empezado a emplear estrategias para conseguir sus objetivos. Algunos grupos han empezado a utilizar call centers para conseguir que el usuario descargue y ejecute él mismo el malware. Primero envían un email con algún tipo de gancho lo suficientemente interesante como para que el receptor llame a un número de teléfono proporcionado en el cuerpo del mensaje. Seguidamente, un operador le atenderá y le redirigirá a una web preparada por los delincuentes donde se le convencerá para que descargue algún tipo de archivo.

Estos archivos descargados pueden ser de varios tipos, aunque los atacantes siguen prefiriendo los documentos Word o Excel para evitar levantar sospechas. Estos documentos contienen macros maliciosas que, en el caso de que el usuario las active, iniciarán la cadena de infección y terminarán con esa máquina y, muy probablemente, con la red comprometida y los datos cifrados.

También en algunos casos se ha observado que los delincuentes tratan de reclutar a empleados descontentos y les ofrecen importantes cantidades de dinero a cambio de que descarguen y ejecuten el malware que permite a los criminales acceder a la red de la empresa. Este es un método especialmente peligroso, puesto que si el trabajador que está colaborando con los delincuentes pertenece a un departamento clave, como el de sistemas o el de seguridad TI, puede abrir la puerta de la empresa de par en par a los atacantes.