En sus últimas apariciones, el ransomware combina el cifrado de archivos con la amenaza de revelación de los datos sensibles robados. Un doble golpe, o más bien una doble extorsión, que debería invitar a todas las empresas a presentar batalla a los cibercriminales. He aquí cómo...

Desde hace años, el malware es el enemigo implacable de las empresas, y el ransomware representa una amenaza enorme. Bloquear los archivos de las víctimas cifrándolos y exigiendo un rescate para descifrarlos, ha demostrado ser una táctica muy eficaz para los ciberdelincuentes, como nos lo recuerda el incesante ritmo de ataques cada vez más frecuentes. Los criminales no dejan de perfeccionar sus tácticas y recientemente han comenzado a recurrir a la doble extorsión, que consiste en amenazar con filtrar los archivos sensibles de las víctimas para así aumentar sus posibilidades de obtener el pago del rescate. Los ataques a la cadena de suministro al estilo de Kaseya, son otro ejemplo de la creciente sofisticación del ransomware. En todos los casos, un ataque puede interrumpir las operaciones de la empresa, dañar la reputación de la marca, incurrir en importantes costes financieros, etc.

Los ciberdelincuentes buscan siempre los puntos fáciles de atacar y así burlar las defensas de las empresas. En los últimos años, las aplicaciones SaaS se han convertido en objetivos especialmente atractivos. Las aplicaciones SaaS están diseñadas para permitir el intercambio rápido de archivos, la colaboración y la automatización. De este modo, una vez instalado, el ransomware puede propagarse fácilmente a las aplicaciones conectadas y a los dispositivos de los usuarios. Además, las aplicaciones SaaS contienen un gran número de archivos que pueden ser robados y explotados en una doble extorsión. Una mala configuración de las aplicaciones SaaS, con gran cantidad de datos, puede dar lugar a peligrosas vulnerabilidades que faciliten el acceso a los datos corporativos por parte de agentes maliciosos.

Por desgracia, la mayoría de las aplicaciones SaaS no ofrecen protección nativa contra las amenazas, y las pocas que lo hacen carecen de la sofisticación tecnológica necesaria para identificar las amenazas tipo zero-day y se limitan a detectar las conocidas. Y lo que es peor, las tecnologías de seguridad tradicionales (en forma de dispositivos de hardware locales poco escalables) no están diseñadas para combatir el malware o proteger los datos en nuestro mundo de trabajo remoto basado en la nube.

Cerrar las brechas

Las organizaciones necesitan una defensa total contra la proliferación de malware y ransomware tanto dentro como entre sus aplicaciones SaaS. Esto demanda una solución de seguridad diseñada para el mundo moderno del cloud computing y capaz de defenderse contra el malware por cualquier usuario, cualquier dispositivo y cualquier aplicación en cualquier red (sin necesidad de retroalimentar el tráfico a un dispositivo local). Una solución de este tipo debe ser capaz de impedir la subida de archivos infectados a las aplicaciones en la nube, pero también debe ser capaz de identificar las amenazas que ya han penetrado en la nube. Las organizaciones deben estar seguras de que la solución elegida sea capaz de proteger contra todas las amenazas, incluido el ransomware de día cero, y no solo contra el malware conocido. En el caso de los ataques de doble extorsión (cada vez más comunes), las empresas deben ser capaces de impedir la extracción de sus datos a través de SaaS.

Controlar la "kill chain" con una solución DLP basada en la nube

Normalmente, una vez que el ransomware ha conseguido infiltrarse en una empresa, los ciberdelincuentes no tardan en apoderarse de los datos. Como ya hemos comentado, el robo de datos con el añadido de la amenaza de su divulgación, es una estrategia habitual para aumentar las posibilidades de que se pague un rescate. Aunque las empresas no se sientan obligadas a pagar por el desencriptado, la amenaza de revelar sus datos puede ser un incentivo ya en sí mismo. Sin embargo, para que la doble extorsión sea efectiva, los actores maliciosos deben conseguir extraer los datos de la empresa. Aquí es donde la prevención de la pérdida de datos (DLP) basada en la nube es un elemento especialmente valioso. Las principales soluciones de DLP examinan el contenido y el contexto de los archivos salientes y, si es necesario, impiden su movimiento para evitar fugas. Esto interrumpe la cadena de ataque, al impedir que los actores maliciosos roben datos de las aplicaciones SaaS a través de las cuales podrían realizar una doble extorsión.

Cómo pueden los CASB ayudar a combatir el ransomware

Los cloud access security broker (CASB), que sirven como puntos de visibilidad y control en la nube, también pueden ayudar a resolver el problema del ransomware. En concreto, un CASB multimodo encamina el tráfico por proxy para asegurar los datos en movimiento en tiempo real, y se integra con las interfaces de programación de aplicaciones (API) para asegurar los datos en reposo en la nube. Como resultado, puede evitar que se suban archivos maliciosos a las aplicaciones SaaS y reaccionar ante el malware y el ransomware ya instalados en las aplicaciones corporativas en la nube. Los principales CASB ofrecen una protección avanzada contra amenazas (ATP) que puede identificar cualquier amenaza, incluso el ransomware de día cero, a través de integraciones con sandboxing en la nube. Como soluciones nativas cloud, los principales CASB no necesitan dispositivos de hardware en los centros de datos y ofrecen protecciones escalables y en todas partes.

Corrección de errores de configuración con CSPM

El despliegue y la gestión de una aplicación SaaS o una instancia IaaS, requiere la configuración adecuada de muchos parámetros para garantizar el buen funcionamiento y la seguridad de la aplicación. Si se configura mal, los actores maliciosos pueden acceder a los sistemas corporativos, por ejemplo, para colocar un payload de ransomware o para exfiltrar datos para una doble extorsión. La gestión de la postura de seguridad en la nube (CSPM) puede hacer frente a estas vulnerabilidades identificando los errores de configuración que podrían ser explotados por los delincuentes informáticos. Por ejemplo, si se puede acceder libremente a los repositorios de datos sensibles (como los buckets de almacenamiento de AWS S3) desde Internet debido a una configuración incorrecta, CSPM puede localizar rápidamente el problema y solucionarlo.

La puesta en marcha de las soluciones adecuadas permite priorizar los riesgos detectados y permite a las organizaciones reaccionar antes de que los agentes maliciosos puedan actuar. Y esa es la clave de una buena protección para todas las organizaciones.