Empresarial

Sophos descubre que prolíficos grupos de ransomware activan intencionalmente el cifrado remoto para ataques

Sophos publicó un informe titulado “CryptoGuard: An Ametric Approach to the Ransomware Battle”, en el cual encontró que algunos de los programas más prolíficos y los grupos de ransomware activos, incluidos Akira, ALPHV/BlackCat, LockBit, Royal, Black Basta, están activando deliberadamente el cifrado remoto para sus ataques. En los ataques de cifrado remoto, también conocidos como ransomware remoto, los adversarios aprovechan un punto final comprometido y a menudo desprotegido para cifrar datos en otros dispositivos conectados a la misma red.

cifrado

Sophos CryptoGuard es la tecnología anti-ransomware que Sophos adquirió en 2015* y está incluida en todas las licencias de Sophos Endpoint. CryptoGuard monitorea el cifrado malicioso de archivos y brinda protección inmediata y capacidades de reversión, incluso cuando el ransomware nunca aparece en un host protegido. La exclusiva tecnología anti-ransomware es una última línea de defensa en la protección de endpoints por capas de Sophos, y solo se activa si un adversario la activa más adelante en la cadena de ataque. CryptoGuard detectó un aumento interanual del 62% en ataques de cifrado remoto intencionales desde 2022.

“Las empresas pueden tener miles de computadoras conectadas a su red y, con el ransomware remoto, todo lo que se necesita es un dispositivo desprotegido para comprometer toda la red. Los atacantes lo saben, por lo que buscan ese “punto débil”, y la mayoría de las empresas tienen al menos uno. El cifrado remoto seguirá siendo un problema constante para los defensores y, según las alertas que hemos visto, el método de ataque está aumentando constantemente”, afirmó Mark Loman, vicepresidente de investigación de amenazas de Sophos y cocreador de CryptoGuard.

Dado que este tipo de ataque implica cifrar archivos de forma remota, los métodos tradicionales de protección anti-ransomware implementados en dispositivos remotos no “ven” los archivos maliciosos ni su actividad, y no los protegen del cifrado no autorizado y la posible pérdida de datos. Sin embargo, la tecnología Sophos CryptoGuard adopta un enfoque innovador para detener el ransomware remoto, como se explica en el artículo de Sophos X-Ops: analizar el contenido de los archivos para ver si algún dato se cifró para detectar la actividad del ransomware en cualquier dispositivo de una red, incluso si no hay malware en el dispositivo.

En 2013, CryptoLocker fue el primer ransomware prolífico que utilizó cifrado remoto con cifrado asimétrico, también conocido como criptografía de clave pública. Desde entonces, los adversarios han podido intensificar el uso de ransomware, debido a las continuas y omnipresentes brechas de seguridad en organizaciones de todo el mundo y la llegada de las criptomonedas.

“Cuando notamos por primera vez que CryptoLocker aprovechaba el cifrado remoto hace diez años, previmos que esta táctica se convertiría en un desafío para los defensores. Otras soluciones se centran en detectar binarios maliciosos o su ejecución. En el caso del cifrado remoto, el malware y la ejecución residen en una computadora diferente (desprotegida) a la que tiene los archivos cifrados. La única forma de detenerlo es observar los archivos y protegerlos. Por eso innovamos en CryptoGuard”, dijo Loman.

“CryptoGuard no busca ransomware; en cambio, se concentra en los objetivos principales: los archivos. Aplica un escrutinio matemático de los documentos, detectando signos de manipulación y cifrado. En particular, esta estrategia autónoma no depende deliberadamente de indicadores de infracción, firmas de amenazas, inteligencia artificial, búsquedas en la nube o conocimientos previos para ser efectiva. Al centrarnos en los archivos, podemos cambiar el equilibrio de poder entre los atacantes y los defensores. Estamos aumentando el costo y la complejidad para que los atacantes cifren los datos con éxito, de modo que abandonen sus objetivos. Esto es parte de nuestra estrategia de enfoque de defensa asimétrica.

“El ransomware remoto es un problema importante para las organizaciones y contribuye a la longevidad del ransomware en general. Dado que la lectura de datos a través de una conexión de red es más lenta que desde un disco local, hemos visto a atacantes, como LockBit y Akira, cifrar estratégicamente solo una fracción de cada archivo. Este enfoque tiene como objetivo maximizar el impacto en un tiempo mínimo, reduciendo aún más la ventana para que los defensores noten el ataque y respondan. El enfoque de Sophos hacia la tecnología anti-ransomware detiene tanto los ataques remotos como aquellos que cifran sólo el 3% de un archivo. Esperamos informar a los defensores sobre este método de ataque persistente, para que puedan proteger adecuadamente los dispositivos”.

Artículos relacionados: