CIBERSEGURIDAD

Uniendo los puntos: phishing y ransomware

0 107 4 minutos de lectura


El phishing y el ransomware están indisolublemente vinculados. El phishing es el mecanismo de entrega número uno para introducir exploits maliciosos, incluido el ransomware, en los dispositivos móviles. Según MobileIron’s últimas investigaciones, El 60% de los responsables de la toma de decisiones de TI están de acuerdo en que el phishing es la amenaza más importante a la que se enfrenta su organización.

Los actores de amenazas persistentes avanzadas ahora están encadenando exploits sofisticados no solo para obtener credenciales de usuario, sino también para redirigir a las víctimas a sitios web de phishing donde, sin saberlo, podrían descargar malware en sus dispositivos móviles. Casi todas las semanas aparece una empresa privada, un departamento gubernamental, una escuela u hospital en las noticias cuyos datos son rehenes de ransomware.

¿Qué es el phishing?

Los ataques de phishing son ataques de ingeniería social que tienen como objetivo proteger sus datos confidenciales. Por lo general, se considera que son la causa más común de filtraciones de datos. De hecho, Informe de investigación de violación de datos 2020 de Verizon descubrió que los ataques de phishing eran responsables del 22% de todas las violaciones de datos hasta cierto punto.

Los ataques de phishing juegan con el hecho de que los humanos nunca han sido buenos en ciberseguridad. A menudo somos engañados o engañados fácilmente para que divulguemos nuestros nombres de usuario y contraseñas mediante sofisticados ataques de ingeniería social. La última investigación de MobileIron encontró que los ejecutivos de C-Suite son un objetivo popular: el 54% creía que habían sido blanco de un ataque de phishing en el último año.

Tradicionalmente, los correos electrónicos y los archivos adjuntos de correo electrónico han sido los vectores más comunes, pero más recientemente, el texto, los mensajes multimedia y las redes publicitarias han desempeñado un papel más táctico. Todos estos pueden usarse para persuadirlo de que toque un hipervínculo e ingrese a un sitio web de aspecto oficial. Luego, ese enlace redirigirá a la víctima a un sitio web malicioso para recopilar sus credenciales de usuario y luego, potencialmente, colocará, instalará y ejecutará una carga útil maliciosa en su dispositivo móvil o dentro de la memoria de acceso aleatorio utilizada por el malware sin archivos.

¿Qué es el ransomware?

El ransomware es un malware cuyo único propósito es extorsionar a la víctima. Una vez que se conocen las credenciales de un usuario a través de un ataque de phishing, los actores de amenazas pueden obtener información adicional valiosa en el dispositivo móvil, luego escapar del dispositivo y moverse lateralmente a los nodos de red conectados en busca de datos críticos adicionales para robar. Posteriormente, pueden bloquear o cifrar los datos, antes de enviar una nota de rescate, generalmente esperando el pago en criptomonedas para permitirle desbloquear o descifrar sus datos.

Más reciente, gigante de la tecnología fitness Garmin fue víctima de un ataque de este tipo en el que los piratas informáticos supuestamente exigieron una tarifa de rescate de $ 10 millones para devolver los datos robados de la organización.

¿Cómo podemos luchar?

Para defenderse mejor de los ataques de phishing y ransomware, las empresas deben buscar implementar un enfoque multivectorial. Esto debería comenzar con una solución de detección y corrección siempre activa a nivel de dispositivo. Esto proporcionará protección en el dispositivo contra ataques de phishing, incluso cuando el dispositivo tenga una conectividad a Internet limitada o esté conectado a una red WiFi peligrosa.

A continuación, se requiere un servicio de búsqueda de URL basado en la nube que utilice el aprendizaje automático para proteger un dispositivo completo y su contenido. Las bases de datos de amenazas basadas en la nube más sofisticadas implementan múltiples feeds de phishing de crowdsourcing en tiempo real y se actualizan con mayor frecuencia para bloquear inmediatamente los hasta 5,000 dominios y sitios web maliciosos conocidos que se crean todos los días.

Luego, esto se puede aumentar mediante la detección a nivel de red que utiliza servidores DNS para bloquear automáticamente dominios y sitios web maliciosos adicionales utilizando fuentes de inteligencia de amenazas. Los servidores DNS públicos de OpenDNS, Quad9, Cloudflare y Google brindan esta capacidad y se pueden implementar en dispositivos móviles y computadoras portátiles a través de DHCP en el trabajo o en un enrutador inalámbrico doméstico.

El navegador Chrome permite una navegación segura de forma predeterminada. Los navegadores Chrome, Edge y Firefox también tienen capacidades de protección contra phishing que pueden habilitarse mediante una plataforma de administración unificada de puntos finales (UEM) e instalarse silenciosamente en una flota de dispositivos móviles y computadoras portátiles administrados.

Las funciones de protección contra el phishing suelen formar parte del software de detección de amenazas móviles (MTD), pero MTD va más allá de la mera protección contra los ataques de phishing. MTD también puede proporcionar protección adicional contra amenazas de aplicaciones, amenazas de red y amenazas a nivel de dispositivo, como cuando un dispositivo ha sido liberado.

Impedir el acceso

Las plataformas UEM también pueden implementar y hacer cumplir la autenticación multifactor (MFA), lo que significa que las empresas pueden deshacerse de las contraseñas y credenciales de inicio de sesión que los piratas informáticos pueden robar fácilmente y reemplazarlas con modos de acceso más seguros, como la biometría. Para evitar el phishing, quítele el cebo.

Además, las VPN de túnel dividido se pueden configurar e implementar en dispositivos móviles administrados mediante una VPN por aplicación. La VPN por aplicación elimina la amenaza de que los usuarios sean redirigidos a sitios web maliciosos y descarguen, sin saberlo, malware no deseado. Una VPN de túnel dividido permite al usuario del dispositivo móvil conectarse a la red corporativa y navegar por Internet inseguro al mismo tiempo a través de esa conexión de túnel dividido. La VPN por aplicación resuelve esto al permitir solo la aplicación corporativa específica aprobada (a diferencia del malware) y su tráfico asociado a través del túnel seguro y la conexión a la puerta de enlace de acceso y, finalmente, al local, el centro de datos o la nube. recurso corporativo basado.

Abordar las amenazas hermanadas de ransomware y phishing requiere que las empresas bloqueen todas las posibles vías de acceso de los piratas informáticos a los datos corporativos. La combinación de esto con la capacidad de detectar y remediar rápidamente las amenazas en el dispositivo puede contribuir en gran medida a prevenir ataques costosos. Colocar mecanismos de defensa en capas para reflejar esto es crucial. Sin seguir estos pasos, las empresas pueden volverse vulnerables al phishing, el ransomware y niveles sin precedentes de disrupción empresarial.

Contribuido por Brian Foster, SPV de gestión de productos en MobileIron

Publicaciones relacionadas

Cinco consejos principales para las pequeñas empresas que adoptan el cifrado.

La banda de malware Blue Mockingbird infecta los sistemas empresariales

IA, aprendizaje automático: no está listo para el horario de máxima audiencia

Kurt Geiger optimiza las operaciones de comercio electrónico y la experiencia global del sitio web con Splunk

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar