Combatir el ransomware con confianza cero

El azote de los ataques de ransomware sigue afectando a casi todas las instituciones del sector público y organizaciones privadas. Nadie es inmune. En 2019, hubo más de 140 ataques de ransomware contra organizaciones gubernamentales y de asistencia sanitaria, y en 2020, los hospitales, en particular, sufrieron ataques implacablemente. Es fundamental que todos los profesionales de la informática, en todos los sectores, se defiendan contra el ransomware. 
 

Lea el documento técnico Defensa contra el ransomware con Zscaler Workload Segmentation.

El ransomware no es una amenaza nueva

El primer caso apareció ya en 1989, pero los ciberdelincuentes no empezaron a lanzar ataques generalizados hasta aproximadamente 2012. Normalmente, el ransomware utiliza uno de estos dos vectores para infectar una red: un ataque de phishing o aprovechando las brechas de seguridad. 

En el caso de un ataque de phishing, el objetivo recibe un correo electrónico con un documento que, una vez abierto, lanza el ransomware. En algunos casos, el ataque puede utilizar herramientas de ingeniería social para engañar al usuario para que proporcione al malware las credenciales que facilitan el ataque. 

Otros tipos de ransomware no requieren hacer clic en un documento infectado. En su lugar, aprovechan los agujeros de seguridad para comprometer los sistemas. NotPetya ofrece un ejemplo especialmente desagradable de esta variante. En un caso, aprovechó una puerta trasera en un paquete de contabilidad popular en Ucrania y luego se extendió a otros sistemas a través de fallos de seguridad (ahora revisados), conocidos como EternalBlue y EternalRomance, en la implementación de Windows del protocolo SMB (bloque de mensajes de servidor). Lo que hace que NotPetya sea tan destructivo es que no hay solicitud de rescate. En su lugar, NotPetya genera un número aleatorio para cifrar todos los datos que encuentra, destruyéndolos permanentemente. No hay forma de recuperar la clave para descifrar los datos.

En los últimos años, el ransomware se ha vuelto mucho más sofisticado. Muchas cepas ya no cifran la primera máquina que encuentran. El malware primero evalúa el entorno para determinar cómo puede moverse lateralmente a través de la red para infectar recursos adicionales, a menudo aprovechando las herramientas legítimas, como el reconocimiento del protocolo de administrador de cuentas de seguridad remoto (SAMR) y el reconocimiento del servidor de nombres de dominio (DNS) utilizando nslookup. Con esta información, el malware puede moverse silenciosamente por la red para poner ransomware en otros sistemas. Una vez que se alcanza una masa crítica, el ransomware cifra todos estos recursos a la vez, lo que supone un golpe catastrófico para la organización.
 

Protección contra el ransomware

A menudo oímos que la mejor defensa contra un ataque de ransomware es una sólida protección de los datos. Después de todo, si tienes copias de seguridad, no necesitas pagar el rescate y puedes simplemente restaurar todos los archivos. Incluso si el malware cifra con éxito los datos de una organización, siempre y cuando los archivos de copia de seguridad y recuperación después de un desastre (DR) estén intactos, la organización puede evitar pagar el rescate y TI puede restaurar todo a un punto antes del ataque.

Pero es mejor reservar las copias de seguridad como una defensa de último recurso, no como primera línea. Después de todo, si el ataque es lo suficientemente devastador, TI puede enfrentarse a la necesidad de restaurar petabytes de datos, un proceso que puede tardar días o incluso semanas en completarse, lo que impide las operaciones comerciales durante un período prolongado. Aún peor, si las copias de seguridad están conectadas a la red, es posible que el ransomware también las destruya digitalmente, lo que no deja otra opción que pagar el rescate, lo cual es una situación terrible y no solo debido al coste. Después de que los funcionarios de Lake City, Florida, pagaran un rescate para descifrar sus datos afectados (unos doscientos terabytes), el proceso de descifrado tardó más de ocho días en completarse. Para las organizaciones más grandes con petabytes de datos, el proceso podría tardar más de un mes. 

Del mismo modo, a menudo escuchamos hablar de la importancia de formar a los empleados sobre cómo evitar hacer clic en los documentos utilizados en ataques de phishing, pero esto tampoco es ni remotamente suficiente.

Los ciberdelincuentes están desarrollando constantemente nuevas formas de engañar a los empleados y, en una organización lo suficientemente grande, alguien acabará cometiendo el error de hacer clic en un archivo infectado. Además, la formación de los empleados no ayuda a defenderse de los ataques que explotan los agujeros de seguridad, pues no es necesario que nadie haga clic en nada para que estos tengan éxito.
 

Un enfoque de confianza cero para frustrar el ransomware

En un entorno de confianza cero , todas las comunicaciones internas se tratan como potencialmente hostiles. Se debe autorizar cada comunicación entre cargas de trabajo antes de permitir que suceda. De este modo, la confianza cero puede impedir que el ransomware se desplace lateralmente por la red, lo que puede marcar la diferencia entre que el malware cifre un solo portátil y que cifre cientos de servidores y almacenes de datos en todo el mundo.

La microsegmentación habilita la confianza cero, pero los métodos tradicionales de microsegmentación de una red dependen de la dirección IP de confianza. Esto plantea importantes problemas operativos y de seguridad. Operativamente, las políticas se fracturan cuando la red subyacente cambia, y las redes modernas cambian constantemente. Es aún más difícil administrar políticas en entornos de escalado automático, como la nube o los contenedores en los que las direcciones IP son efímeras. TI tendría que actualizar constantemente las políticas a medida que cambian las direcciones IP, lo cual es un proceso laborioso y propenso a errores. Además, el ransomware puede eludir los controles basados en direcciones aprovechando las políticas aprobadas de los cortafuegos, ya que estos no están diseñados para distinguir el software bueno del malo.

Sin embargo, existe un nuevo modelo para la microsegmentación que se basa en la identidad del software, los hosts y los dispositivos de comunicación, separando el plano de control de la red para mejorar la seguridad y facilitar las operaciones. Con un enfoque basado en la identidad, a cada carga de trabajo se le asigna una identidad única inmutable (o huella digital) basada en docenas de propiedades del activo en sí, como el UUID de la bios, el número de serie de los procesadores o un hash SHA-256 de un binario, que luego se verifica antes de que se permita que se comuniquen las cargas de trabajo. Esta verificación de la identidad impide que el software malicioso, o los dispositivos y hosts, se comuniquen.

Por ejemplo, supongamos que alguien hace clic en un archivo infectado, que inicia el ransomware en el equipo de escritorio de ese usuario. Si el ransomware intenta usar el protocolo SAMR o nslookup para realizar el reconocimiento de la red, las políticas de confianza cero basadas en identidad bloquearían esa comunicación, ya que el ransomware no está autorizado. Del mismo modo, también se denegarán los intentos de trasladarse a otros activos. De esta manera, incluso si el ransomware consigue un punto de apoyo inicial en la red, el daño que puede hacer se limita a una molestia en lugar de acabar siendo una catástrofe empresarial global.

Obtenga más información en el documento técnico Defensa contra el ransomware con Zscaler Workload Segmentation.