En su estudio Ransomware Incident Risk Insights Study, publicado recientemente y financiado en parte por la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA), el Cyentia Institute examinó más de 14.000 incidentes de seguridad recientes para comprender mejor las tendencias de los ataques de ransomware.
En los últimos cuatro años, el ransomware se ha convertido en uno de los mayores problemas del sector de la seguridad. Como afirma Cyentia en su informe, "pocas ciberamenazas han inspirado más miedo, incertidumbre y dudas que el ransomware en los últimos años". A medida que los grupos de ransomware se han vuelto más organizados y sofisticados, los ataques generalizados dirigidos a la sanidad, la fabricación y la educación, han dominado los titulares. Campañas de ransomware como TellYouthePass, MOVEit, Deadbolt y ESXiArgs son algunos de los muchos ataques recientes que se han apoderado de los ciclos de noticias.
El ransomware también ha llamado la atención de los gobiernos, que observan cómo agentes afiliados a un Estado-nación recurren al ransomware para llevar a cabo objetivos patrocinados por el Estado. Por ejemplo, en su Joint Cybersecurity Advisory on North Korea, el FBI confirmó recientemente que las amenazas norcoreanas patrocinadas por el Estado utilizan campañas de ransomware dirigidas a organizaciones sanitarias estadounidenses para financiar sus actividades de ciberespionaje.
Fuente: Estudio sobre incidentes de riesgo de ransomware del Instituto Cyentia
El nuevo informe de Cyentia cuantifica lo que los titulares han indicado: los ataques de ransomware están aumentando, tanto en volumen como en porcentaje de todos los incidentes de seguridad. De 2019 a 2023, el ransomware fue el segundo ciberataque más frecuentemente desplegado a nivel global, representando el 30% de todos los incidentes reportados públicamente. Considere que en 2015, solo el 1% de los incidentes informados públicamente se atribuyeron al ransomware.
En términos de impacto financiero, Cyentia también constata que ningún otro tipo de incidente de seguridad rivaliza con la magnitud de las pérdidas vinculadas al ransomware. En los últimos cinco años, las pérdidas económicas por ataques de ransomware ascendieron a más de 270.000 millones de dólares.
Las organizaciones y los gobiernos tienen motivos reales para estar preocupados por el aumento del riesgo y el impacto del ransomware. Sin embargo, el análisis de Cyentia sobre cómo los grupos de ransomware están obteniendo acceso inicial a las redes arroja luz sobre lo que las organizaciones pueden hacer para tomar medidas proactivas contra estos ataques.
Los activos expuestos al público son los principales puntos de entrada
Cyentia ha descubierto que los activos de cara al público explotados son el vector de acceso inicial número uno para el ransomware, con pérdidas sustancialmente mayores que cualquier otro vector de acceso inicial (35,3 millones de dólares de pérdidas típicas por la explotación de una aplicación de cara al público frente a 24,7 millones de dólares de pérdidas típicas por phishing).
Fuente: Estudio sobre el riesgo de incidentes de ransomware del Instituto Cyentia
Está claro que los grupos de ransomware consideran que los activos vulnerables en Internet son una presa fácil y los atacan cada vez más para acceder a las redes de las empresas. Los activos de Internet vulnerables y mal gestionados son atractivos para los ciberdelincuentes porque se pueden encontrar fácilmente en la red y atacar directamente. Además, muchos de estos activos están fuera del alcance de los equipos de seguridad: Censys estima que hasta el 80% de las superficies de ataque externas de las organizaciones son desconocidas para los equipos de TI y de seguridad.
Establecimiento de prioridades: Un reto crítico para los equipos de seguridad
A medida que los cambios en la infraestructura digital han aumentado y diversificado las superficies de ataque en los últimos años, muchas organizaciones se enfrentan a un número significativo de activos que necesitan ser parcheados y priorizados.
Los equipos de seguridad, a su vez, se enfrentan al reto de abordar rápidamente estas exposiciones antes de que los atacantes entren en acción. Tras el anuncio de una vulnerabilidad, los equipos suelen disponer de poco tiempo para aplicar parches a los activos afectados antes de que se produzca un ataque. Y sin una visibilidad completa y precisa de la superficie de ataque, los equipos también corren el riesgo de pasar por alto activos expuestos o de no priorizar las vulnerabilidades más críticas.
Estos esfuerzos de priorización inadecuados dejan expuestas a las organizaciones, por lo que una estrategia de defensa contra el ransomware eficaz debe centrarse en tomar medidas inmediatas para abordar las vulnerabilidades que explotarán los grupos de ransomware.
Defensa contra el ransomware con Censys Gestión de la superficie de ataque
Censys La gestión de la superficie de ataque ayuda a las organizaciones a tomar medidas inmediatas al proporcionar la visibilidad más completa, precisa y actualizada de sus superficies de ataque. Esto significa que los equipos de seguridad pueden identificar rápidamente los activos de su superficie de ataque que están afectados por vulnerabilidades a las que se dirigirán los atacantes.
A diferencia de otras soluciones ASM, Censys cuenta con inteligencia de Internet propia que no tiene rival en cuanto a profundidad, amplitud y precisión. Ninguna otra solución ASM ofrece la misma visión de la infraestructura global de Internet. Esta visión es lo que permite a Censys descubrir un 65% más de superficies de ataque de las organizaciones que sus competidores.
Censys ASM ayuda específicamente a los equipos de seguridad a defenderse contra el ransomware proporcionando:
Descubrimiento continuo de activos
La defensa contra el ransomware comienza con el descubrimiento continuo de activos. Censys ASM comienza con semillas que sirven como entradas para descubrir y atribuir automáticamente los activos de cara al público en la superficie de ataque de una organización, incluyendo hosts, servicios, sitios web, certificados y dominios. A diferencia de cualquier otra solución ASM del mercado, Censys ASM encuentra nuevos nodos en Internet en menos de una hora, proporcionando a los usuarios el descubrimiento de superficie de ataque más fresco y actualizado de Internet.
Censys también se integra con los proveedores de servicios en la nube e ingiere nuevos activos hasta 6 veces al día para mejorar la visibilidad de los activos en la nube. CensysLa solución de descubrimiento continuo de semillas busca nuevas semillas a diario y notifica a los equipos de seguridad cuando se adquiere una nueva filial, a menudo antes de que sean informados por la empresa. Además, Censys indexa más de 11B+ certificados x.509 para un pivotaje exhaustivo hacia y a través de los certificados, de forma que los usuarios puedan descubrir nombres y direcciones IP listados en los registros A de DNS asociados.
Inventario exhaustivo de activos
Censys construye un inventario completo de todos los activos de cara al público de una organización, ayudando a los equipos de seguridad a descubrir activos no gestionados que a menudo se introducen a través de despliegues en la nube y Shadow IT. Censys los usuarios tienen el control de su inventario y están facultados para buscar dentro del inventario a través de más de 2000 campos, incluyendo 65K puertos y 5.1Bn servicios. Censys también detecta servicios en puertos no estándar utilizando la detección automática de protocolos para ayudar a los equipos a encontrar servicios puestos a disposición por el ransomware que pueden estar ocultos intencionalmente. Los equipos también pueden gestionar de forma proactiva su superficie de ataque aprovechando las consultas de búsqueda en el inventario y las alertas para descubrir activos no gestionados antes de que lo hagan los grupos de ransomware.
Priorización de riesgos
Censys ASM utiliza un amplio inventario y datos de escaneado para identificar más de 500 tipos de riesgos diferentes, desde exposiciones de bases de datos a vulnerabilidades de software, pasando por errores de configuración de certificados TLS/SSL y cabeceras de aplicaciones web. Censys también ayuda a identificar más de 11.000 productos únicos de 1.000 proveedores en la superficie de ataque de una organización para descubrir aplicaciones web y software no gestionados antes de que lo hagan los atacantes. El equipo de investigación de Censys amplía continuamente esa lista de huellas digitales y sigue activamente las amenazas emergentes para ayudar a los equipos de seguridad a reducir sus tiempos de respuesta a la hora de descubrir y remediar activos con vulnerabilidades de día cero y vulnerabilidades explotadas conocidas. Los riesgos de Censys pueden utilizarse además para asignar TTP de grupos de ransomware a debilidades específicas, de modo que los equipos de seguridad puedan remediar los activos expuestos antes de que los grupos de ransomware los ataquen.
Respuesta rápida
El programa de respuesta rápida Censys permite a los usuarios de Censys ASM tomar medidas inmediatas en respuesta a nuevas vulnerabilidades. Aproximadamente entre 24 y 72 horas después de la publicación de una vulnerabilidad de día cero que tenga una puntuación CVSS de 9 o 10 y sea una RCE o una escalada de privilegios -que son vulnerabilidades que suelen aprovecharse para el ransomware-, Censys toma las huellas dactilares de las versiones de software específicas afectadas para comprender a tiempo el alcance de la vulnerabilidad. Los esfuerzos de respuesta rápida al ransomware dan prioridad al análisis de las vulnerabilidades en los dispositivos y el software periféricos que son objetivos conocidos del ransomware. Tras el análisis de Censys', se notifica directamente a los usuarios de Censys ASM en sus espacios de trabajo de ASM o por correo electrónico si algún activo de su superficie de ataque está afectado por la vulnerabilidad de día cero, para que puedan empezar a poner remedio rápidamente. El equipo de investigación de Censys también publica artículos de respuesta rápida en profundidad que describen con más detalle la naturaleza de la vulnerabilidad de día cero, su importancia para las organizaciones y el impacto observado. Entre los ejemplos de informes de respuesta rápida del equipo sobre vulnerabilidades que han explotado grupos de ransomware se incluyen TellYouthePass, MOVEit, Deadbolt y ESXiArgs.
Censys La gestión de la superficie de ataque permite a las organizaciones cambiar a la izquierda, proporcionando la visibilidad necesaria para tomar medidas inmediatas e identificar, priorizar y parchear las vulnerabilidades que explotarán los grupos de ransomware. Censys ASM sustituye los anticuados inventarios de activos puntuales por la detección continua, junto con un inventario de activos exhaustivo que los equipos de seguridad pueden controlar. Con Censys ASM, los equipos de seguridad se benefician de superficies de ataque que se actualizan a diario, así como de la capacidad de aprovechar las reexploraciones para validar objetivamente la corrección a petición. La inteligencia de Internet líder que potencia Censys ASM ofrece además a los equipos de seguridad la garantía de que disponen de la visión más precisa y actualizada de todo lo que poseen.
La defensa proactiva comienza con Censys ASM
El informe del Instituto Cynetia sobre tácticas de ransomware pone de manifiesto una oportunidad crítica que tienen las organizaciones de todos los tamaños y sectores para reducir su riesgo de ransomware. Al priorizar y parchear eficazmente las vulnerabilidades con Censys ASM, los equipos de seguridad pueden tomar medidas significativas y cuantificables para gestionar sus activos expuestos de cara al público. A su vez, pueden limitar la probabilidad de éxito de un ataque de ransomware y ayudar a sus organizaciones a mantenerse fuera de los titulares.
Censys ASM
¿Le interesa saber más sobre cómo se ha utilizado la inigualable visión de la infraestructura global de Internet de Censyspara defenderse del ransomware? La misma inteligencia de Internet que ayuda a los clientes de Censys ASM a identificar riesgos en su superficie de ataque también permite al equipo de investigación de Censys observar e investigar las campañas de ransomware a medida que se desarrollan en todo el mundo. Los extensos informes de nuestro equipo sobre las campañas de ransomware ESXiArgs y Deadbolt son sólo algunos de los muchos artículos de investigación que ilustran el poder de la inteligencia de Internet de Censys .