Contramedidas para el ransomware

Actualmente, el ransomware ha resultado ser una de las principales preocupaciones de seguridad nacional en Estados Unidos, así como para la mayoría de los jefes de seguridad de la información (CISO). Estas sofisticadas ciberamenazas no solo paralizan infraestructuras fundamentales y grandes empresas, sino que también pueden perjudicar a las comunidades locales e interrumpir la vida diaria de muchas personas.

Los ataques de ransomware se han convertido en ataques multifase con carga maliciosa. El correo electrónico y la web desempeñan un papel importante en su cadena, ya que a menudo distribuyen la payload inicial (compromiso por descarga desapercibida) en forma de descargador de malware. Estos descargadores están diseñados para introducirse en el sistema de un usuario o robar credenciales con el fin de acceder a la red, propagarse lateralmente e infectar a las víctimas con ransomware.

Los analistas de amenazas de Proofpoint han observado que los grupos de ransomware cada vez participan más directamente, de forma personal, en sus campañas y vigilan más a sus víctimas potenciales. Utilizan señuelos escogidos para centrarse en grandes compañías que sufrirían serias consecuencias si se paralizaran durante largos periodos de tiempo. Estos ciberdelincuentes no solo distribuyen cargas de ransomware, sino que además filtran datos y amenazan con publicarlos en ataques de doble extorsión ante los cuales las empresas quedan indefensas.

Estrategias de mitigación del ransomware

La implementación de herramientas de detección como Proofpoint Advanced Threat Protection puede ayudarle a prevenir los ataques de ransomware durante las etapas de distribución inicial e infección. Estas herramientas utilizan controles multicapa que permiten detectar, bloquear y ver los descargadores de ransomware y malware que dan lugar al ransomware.

A continuación describimos otras contramedidas que pueden ayudar a su organización a evitar o reducir el impacto de los ataques de ransomware:

1. Utilice controles tecnológicos para bloquear las cargas maliciosas

Se trata de controles de detección en el correo electrónico y la nube que, por ejemplo, le permiten:

• Detectar y bloquear variantes de amenazas de forma dinámica en el correo electrónico y la nube
• Identificar diversas tácticas y tendencias de amenazas
• Etiquetar los mensajes de correo externo para alertar a los destinatarios sobre su origen
• Analizar múltiples atributos de correo electrónico (encabezado del mensaje, dirección IP del remitente, reputación y cuerpo del mensaje) para determinar el nivel de urgencia
• Utilizar Proofpoint Advanced BEC Defense, un motor de detección basado en el aprendizaje automático que aprende en tiempo real y analiza todos los detalles de los mensajes
• Identificar la exposición de los datos en la nube y limitar lo que comparte con los ciberdelincuentes
• Protegerse frente a payloads de mando y control con Web Security
• Limitar el radio de expansión del ransomware con controles de acceso a red zero-trust
• Prevenir la distribución de ransomware desde sus aplicaciones cloud

También puede utilizar controles de autenticación adoptando medidas como:

• Configurar la autenticación del correo electrónico, por ejemplo, Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y DMARC
• Bloquear todos los intentos de enviar mensajes no autorizados desde sus dominios de confianza
• Informar dinámicamente de dominios parecidos en todos los canales digitales

Para reducir el riesgo de un ataque de ransomware, también resulta útil incrementar la visibilidad. Por ejemplo, puede:

• Identificar a las personas muy atacadas, o Very Attacked People™ (VAP), de su organización para localizar a los usuarios que reciben amenazas de impostores
• Obtener detalles pormenorizados de las amenazas
• Averiguar qué proveedores presentan mayor riesgo para su organización
• Detectar dominios maliciosos parecidos a los suyos y los de sus proveedores
• Descubrir quién envía mensajes utilizando sus dominios, incluidos los remitentes externos de confianza

Además, los mecanismos de respuesta automatizada le permiten:

• Poner en cuarentena o eliminar mensajes sospechosos o no deseados con un solo clic o automáticamente
• Automatizar el proceso del buzón de correo malicioso
• Capacitar a los usuarios para que denuncien mensajes sospechosos directamente desde la etiqueta de advertencia
• Aislar automáticamente las sesiones de navegación de los usuarios según su perfil de riesgo

2. Implemente controles administrativos

Otra estrategia es la implementación de controles administrativos. Consiste en la formación para concienciar en materia de seguridad, diseñada para asegurar que los usuarios aprendan qué hacer y qué evitar en relación con el fraude y la seguridad del correo electrónico. El conocimiento y la concienciación de los usuarios desempeñan un papel crucial para mejorar la seguridad del correo electrónico. Si los usuarios conocen las técnicas y los trucos de los ciberdelincuentes, pueden dejar de ser víctimas y convertirse en defensores capaces de identificar, eludir y denunciar mensajes maliciosos, además de mantener seguros los datos, las operaciones y las finanzas de la organización.

Los usuarios deben conocer las prácticas y las precauciones en materia de seguridad informática. Después de todo, ellos son su última línea de defensa, por lo que es importante que sepan reconocer los mensajes sospechosos. Para ayudarles a mejorar sus conocimientos y a concienciarse sobre las amenazas de seguridad que llegan por correo electrónico, también puede utilizar herramientas que faciliten el microaprendizaje rutinario.

Este es un resumen de las buenas prácticas que debe cubrir la formación para concienciar a sus usuarios en materia de seguridad y ayudar a su organización a reducir el riesgo de ransomware:

• Desconfíe de los mensajes inesperados con enlaces o archivos adjuntos.
• Compruebe siempre detenidamente la dirección de correo electrónico; quizá no se corresponda con la dirección verdadera de empresas conocidas, colegas del trabajo o amigos.
• Realice periódicamente copias de seguridad de sus datos por si acaso se carga un ransomware accidentalmente; así podrá restaurar sus datos y no pagar el rescate.
• Tenga cuidado con los mensajes que, para asustarle, le informan de que su cuenta o sus datos personales han sido comprometidos y le piden que actúe inmediatamente haciendo clic en un enlace o facilitando información secreta.
• Recele de los mensajes "demasiado buenos para ser verdad" que anuncian premios u ofertas extraordinarias e incluyen un enlace para reclamarlos.
• Examine siempre detenidamente las direcciones de correo electrónico para cerciorarse de que coinciden con la del supuesto remitente.

3. Empiece ya a concienciar a sus usuarios

Para ayudar a las organizaciones a mejorar el nivel de concienciación de sus usuarios y sus conocimientos sobre el ransomware, hemos elaborado una selección de recursos gratuitos que contribuyen a la aplicación de las mejores prácticas para un email seguro, personal y laboral.

El kit de Proofpoint para concienciar en materia de ransomware proporciona contenido escrito, vídeos y otro contenido visual que es posible enviar por correo electrónico, exhibir, publicar o presentar para reforzar las prácticas seguras en el correo electrónico. En el kit encontrará instrucciones para utilizar el material, una propuesta de plan de comunicación y un calendario de despliegue. También encontrará orientación y consejos para lanzar una campaña de concienciación de mejora de las contraseñas utilizando el material suministrado.

Más información sobre protección frente al ransomware

Consulte esta página del sitio web de Proofpoint para obtener más información sobre nuestras soluciones y estrategias de mitigación líderes del mercado, que le ayudarán a defenderse del phishing, el fraude por correo electrónico, el ransomware y muchas otras amenazas.