Blog | Ironchip

El secreto del ransomware mejor guardado

Escrito por Jose Fernando Gómez | 28 jun - 2023
Pero antes de empezar... ¿Que es el Ransomware?

El ransomware (software de secuestro en una vaga traducción al castellano) es un tipo de software malicioso (malware) que tiene como objetivo bloquear el acceso a los archivos o al sistema de un dispositivo y luego exigir un rescate para restaurar el acceso. 

El ransomware suele infiltrarse en un sistema a través de descargas maliciosas, correos electrónicos de phishing, utilizando contraseñas comprometidas o buscando vulnerabilidades en el software. Este puede tener un impacto devastador tanto para individuos como para organizaciones, ya que puede ocasionar la pérdida de datos importantes, interrupción de operaciones y costos significativos para intentar recuperar los archivos o restaurar los sistemas afectados. 

 

No todo son copias de seguridad y antivirus...

Cuando hablamos de combatir los ataques de ransomware, muchas veces la única solución que nos viene a la mente es los clásicos antivirus (los ahora llamados EDR o XDR) y la creación de copias de seguridad diarias. Y sí, por supuesto, estas son las medidas básicas necesarias.

Sin embargo, muchas veces, otras medidas de seguridad pueden ayudarnos a evitar este ataque. Medidas que hagan que los cibercriminales tengan que trabajar mucho más para atacarnos, y de esta manera, no nos vean como un objetivo rentable. La pregunta es ¿Cuales son esas medidas?

Para ello, en este artículo, analizaremos como funcionan estos grupos de cibercriminales, en concreto, hablaremos sobre el grupo de ransomware más grande y conocido: HIVE

¿Cómo funcionan los grupos de ransomware? El grupo HIVE

El FBI desmanteló hace unas semanas al grupo de ciberdelincuentes "Hive", este grupo atacaba a empresas de cualquier tamaño y sector mediante la técnica del ransomware. 

Hay que tener en cuenta que los grupos de cibercriminales trabajan como una compañia: Buscan el máximo beneficio con el minimo esfuerzo. Por eso este grupo de ciberdelincuentes atacaba siempre a empresas que no tuvieran implantado un sistema MFA debido a que para ellos es más fácil y más rentable llevar a cabo el robo.

El 99% de las empresas que sufrieron ataques de este tipo no tenían ningún sistema de protección de autenticación multifactor implantado dentro de la compañía. Solo la protegían con contraseñas. De esta manera, con un sencillo ataque de Phising o el mediante el uso de contraseñas previamente filtradas en internet, podian comprometer fácilmente la seguridad de estas compañias.

Tipicamente, usaban estas contraseñas para acceder a la red interna de la compañia (utilizando VPN), y una vez dentro, distribuian el ransomware a todos los equipos posibles mediante el uso de conexiones remotas (RDP), por supuesto, también protegidas solo por contraseñas.

Entonces, ¿Cómo puede una medida Passwordless como Ironchip combatir el ransomware?

En este análisis, como se puede observar, utilizar un método de autenticación multifactor sin contraseñas les hubiera complicado muchísimo el ataque, habiendo sido una herramienta más útil incluso que los propios antivirus.

Una herramienta de autenticación multifactor basada en la localización inteligente cómo Ironchip puede ayudar a combatir este tipo de malware de diferentes maneras: 

  1. Protección contra contraseñas débiles o robadas: Con Ironchip, incluso si un atacante obtiene acceso a la contraseña del usuario, todavía necesitaría proporcionar un segundo factor de autenticación, en nuestro caso, una push notification que se envía al dispositivo del usuario . Esto dificulta que los ciberdelincuentes utilicen credenciales comprometidas o hagan ataques de phising para acceder a sistemas y desplegar ransomware.

  2. Detección de actividad sospechosa: La inteligencia artificial de Ironchip es capaz de detectar actividades sospechosas o no autorizadas. Si un usuario recibe una solicitud de autenticación en un dispositivo o ubicación inusual, puede indicar un intento de acceso no autorizado. Esto permite tomar medidas preventivas, como bloquear la cuenta o notificar al usuario sobre la actividad sospechosa, lo que ayuda a prevenir el ransomware antes de que se propague.

  3. Bloqueo de acceso a cuentas comprometidas: Si un usuario cae víctima de un ataque de ransomware y su cuenta se ve comprometida, el MFA puede ser una capa adicional de defensa. Incluso si el ransomware bloquea el acceso a los archivos o al sistema, el acceso a la cuenta del usuario aún estaría protegido por el segundo factor de autenticación. Esto evita que los ciberdelincuentes puedan utilizar las credenciales comprometidas para acceder a otros servicios o sistemas vinculados a esa cuenta.

Conclusión

En general, el uso de soluciones MFA o Passwordless como medida de seguridad adicional puede dificultar significativamente los intentos de los ciberdelincuentes de utilizar contraseñas robadas o de fuerza bruta para acceder a sistemas y desplegar ransomware. Con una solución MFA cómo la que ofrece Ironchip, el riesgo a sufrir un ataque será mucho menor debido a que los ciberdelincuentes no verán tu compañía cómo un blanco fácil. 

Es por todo esto, por lo que cada vez es más importante dirigir a nuestra organización hacía un futuro passwordless, eliminando las contraseñas. Conseguiremos con esto que la gestión dentro de la empresa se agilize, así cómo que la experiencia del usuario sea más cómoda.

No dejes que los cibercriminales se adelanten, y pidenos información sin compromiso en el siguiente enlace.