Siete predicciones de ransomware para 2018
Puede que te sorprenda saber que la mayoría de las víctimas de ransomware optan por pagar un rescate para que se restauren sus datos. Mientras las víctimas sigan pagando, el ransomware seguirá siendo una estrategia a la que recurren los ciberdelincuentes. Es más, Investigación de Forrester predice que los ciberdelincuentes utilizarán cada vez más ransomware en 2018 para monetizar los ataques, ya que el cifrado de extremo a extremo en los sistemas de pago a menudo les impide robar datos de tarjetas de crédito. En 2018, el ransomware se utilizará como método de respaldo para cuando los ataques iniciales fallen. Los adversarios adoptarán una serie de estrategias nuevas, que describiré en este artículo. Curiosamente, también es probable que el ransomware se utilice para dejar un rastro falso para ocultar otros ataques.
Así que aquí están nuestras siete predicciones principales para este año. El ransomware:
- Sistemas de destino Linux
- Sea más específico
- Extraer datos
- Ser utilizado como cortina de humo
- Sea un ataque de último recurso
- Ser utilizado como una bandera falsa
- Aprovecha las redes sociales
El año pasado, observamos ataques que afectaron a MongoDB, lo que sugiere que el ransomware se dirigirá cada vez más a los sistemas Linux en 2018 en un esfuerzo por extorsionar aún más a las empresas más grandes. En general, el ransomware se volverá más específico al buscar ciertos tipos de archivos y dirigirse a empresas específicas como los preparadores legales, de atención médica y de impuestos en lugar del ataque de «rociar y rezar» que vemos ahora en gran medida. Ya existe un ransomware que se dirige a las bases de datos, que se aprovechan de las empresas, y pequeños ajustes a su código pueden apuntar a archivos críticos y propietarios como los diseños de AutoCAD.
Si bien la mayoría de las muestras de ransomware simplemente cifran los archivos en su lugar y transmiten claves de cifrado con el fin de descifrarlos, habrá muestras de ransomware que darán el paso adicional de exfiltrar los datos antes del cifrado. Tal evolución no solo presionaría a las empresas para restaurar sus datos, sino que también incorporaría la pérdida de datos patentados que podrían venderse en el mercado negro. El ransomware surgirá como un método secundario cuando fallan las formas iniciales de ataque. Los adversarios que dependen de ataques más diseñados y dirigidos pueden usar ransomware como un ataque de último recurso.
El ransomware aprovechará cada vez más las redes sociales para propagarse de forma intencionada o no. Al igual que el malware como Koobface, el contenido compartido maliciosamente en sitios como Facebook podría llevar a las víctimas a hacer clic en enlaces atractivos. Se sabe que los atacantes utilizan la ingeniería social para influir en las personas para que propaguen ransomware sin saberlo a través de Internet. El ransomware intencionalmente compartido, visto en conceptos anteriores, como Popcorn Time, donde las víctimas podían compartir para reducir o eliminar su rescate, podría ver un uso a mayor escala.
Además de la mayor sofisticación de los ataques de ransomware que es inevitable en 2018, es probable que los ciberdelincuentes utilicen ransomware como una forma de despistar a los defensores. El ransomware se utilizará cada vez más como una cortina de humo. Por ejemplo, en el pasado, los operadores de la botnet Zeus golpeaban a las víctimas con ataques DDoS después de una infección para desviar a los investigadores. Está surgiendo una tendencia similar con los ataques de ransomware, en los que el cifrado de archivos podría tener lugar después de que los adversarios tomen más acciones condenatorias. Utilizando técnicas ya existentes de eliminación de instantáneas de volumen, que elimina posibles copias de seguridad de archivos, y la eliminación de registros de eventos de Windows, los adversarios pueden frustrar muchos esfuerzos de respuesta a incidentes al obligar a los socorristas a concentrarse en descifrar archivos en lugar de investigar datos y credenciales exfiltrados.
Además, el ransomware se utilizará más comúnmente como una bandera falsa, como se ve con NotPetya. Únicamente a partir del análisis dinámico se percibió que era Petya, cuando una revisión más detallada mostró que no lo era. Un análisis tan rápido también insinuó que se trataba de un ransomware obvio, pero una mayor profundidad de desmontaje mostró que los datos no se retenían a cambio de un rescate; simplemente fue destruido.
Ahora se estima que el ransomware es un delito de $ 5 mil millones, según un informe de Cybersecurity Ventures. En 2015, la estimación fue de solo $ 24 millones. En 2017, las industrias más apuntadas fueron tecnología, gobierno, sin fines de lucro y legal. Sin embargo, ninguna industria fue ni es inmune. A medida que los ataques se vuelven más específicos y explotan cada vez más los métodos descritos anteriormente, tener un sistema de defensa sólido es más importante que nunca.
Por lo tanto, es fundamental que cualquiera que busque combatir el ransomware elija un sistema de defensa que se haya sometido a una prueba exhaustiva de ransomware. Para probar su efectividad, los productos de defensa deben probarse contra muestras de ransomware seleccionadas de varias familias de cripto-ransomware recolectadas en la naturaleza. Para obtener más información sobre ataques que no son de malware, ransomware y el panorama de amenazas en evolución en 2018, descargue Carbon Black’s Informe de amenazas 2017 La Unidad de Análisis de Amenazas (TAU) de Carbon Black ha investigado el estado actual de los ataques de ransomware, malware y no malware con un enfoque particular en la frecuencia con la que se ataca a las organizaciones.
Escrito por Param Singh, Director de Investigación de Amenazas, Carbon Black