El año 2021 trajo consigo una nueva ola de ciberataques que resultó ser perjudicial para la era de la digitalización. Con cada vez más industrias que adoptan el trabajo desde casa y que se adentran en el mundo digital, es inevitable que aumenten las vulnerabilidades de la red; sin embargo, descuidar estas vulnerabilidades invisibles puede convertir a las organizaciones en objetivos de los ciberdelincuentes.
A menudo, los sectores industriales críticos se enfrentan a ataques de ransomware que les hacen perder grandes sumas de dinero. El ransomware se refiere a una categoría de software malicioso que, cuando se implementa, impide que el usuario utilice su propio computador.
Para que el usuario pueda volver a acceder a su computador, debe satisfacer las exigencias del hacker pagando una gran cantidad de dinero. Profundicemos en algunos de los ataques masivos de ransomware del 2021 y veamos cómo evitarlos.
El encuentro de Acer con una de las mayores demandas de ransomware
El gigante taiwanés de la informática, Acer, sufrió no uno sino dos ataques de ransomware en el 2021. El primer ataque fue del grupo REvil, que exigió un rescate por unos asombrosos $50 millones. El grupo REvil, también conocido por haber ejecutado otro ataque de ransomware contra Travelex, obtuvo acceso a la red de Acer a través de una vulnerabilidad de Microsoft Exchange.
La misma vulnerabilidad había provocado anteriormente el hackeo de 30 000 correos electrónicos de organizaciones gubernamentales y comerciales estadounidenses. Esta fue una de las mayores demandas de ransomware realizadas hasta la fecha.
Acer se enfrentó a un segundo ataque por parte del Grupo Desorden en octubre de 2021, que afirmó haber accedido a los servidores de Acer y robado 60GB de archivos. Según se informa, no está claro si los hackers pidieron un rescate por el ataque. Es posible que hayan explotado el fallo ProxyLogon en un servidor Microsoft Exchange local sin parches para obtener acceso al servidor. Tras la detección, Acer activó los protocolos de seguridad necesarios.
El cierre de Colonial Pipeline
Uno de los oleoductos más grandes y esenciales de Estados Unidos, que consta de más de 5.500 oleoductos y se encarga de suministrar combustible para la mitad de la Costa Este, se vio afectado por un ataque de ransomware en mayo de 2021.
Un grupo de hackers que se identifica como DarkSide, accedió a la red de Colonial Pipeline a través de una contraseña expuesta de una cuenta VPN. Robó alrededor de 100 GB de datos e infectó la red informática de Colonial Pipeline con un ransomware que afectó a sus sistemas informáticos, incluidos los de facturación y contabilidad.
Para evitar que el ransomware siguiera infectando los sistemas, Colonial Pipeline tuvo que cerrar el oleoducto, lo que provocó una escasez de combustible que afectó directamente al sector de las aerolíneas, incluida American Airlines, y causó interrupciones en los aeropuertos de Atlanta y Nashville.
La escasez provocó un aumento de los precios del combustible y fomentó compras por el pánico, lo que también llevó a que algunas personas ignoraran los protocolos de seguridad y llenaran bolsas de plástico con gasolina. Colonial Pipeline tuvo que pagar un cuantioso rescate de 75 bitcoin ($4,4 millones) para obtener la clave de descifrado y recuperar el acceso a sus sistemas. El importe del rescate se recuperó posteriormente de forma parcial con la ayuda del FBI.
La deuda de CNA Financial Corporation a causa del ransomware
Una de las mayores compañías de seguros de Estados Unidos, con sede en Chicago, sufrió una violación de seguridad en marzo de 2021. En esta violación se utilizó un nuevo tipo de malware llamado Phoenix CryptoLocker, que se cree que está asociado al grupo de amenazas ruso Evil Corp.
Phoenix CryptoLocker se camufla como software legítimo y obtiene acceso a las redes a través de desktops remotos o credenciales expuestas y ataca archivos con múltiples extensiones dejando la nota de rescate característica del grupo de amenazas.
Este ataque ha expuesto información personal de 75 000 individuos. Los datos podrían haber incluido nombres, información sobre prestaciones sanitarias y números de la Seguridad Social de los empleados actuales y anteriores de la empresa. Según los informes de los medios de comunicación, CNA Financial acordó pagar una increíble suma de $40 millones para recuperar el acceso a su red.
¿Cómo podemos mitigar la amenaza del ransomware?
Entre la creciente cantidad de tecnología y el aumento simultáneo de las ciberamenazas, los administradores de TI pueden hacer varias cosas para ayudar a mantener la red de su organización fuera de peligro.
1. Un parche a tiempo vale por dos
Implementar los parches necesarios oportunamente puede evitar que las organizaciones sean víctimas de la ciberdelincuencia relacionada con software y hardware obsoletos. Utilizar una herramienta de gestión de parches para automatizar el proceso de parcheo reduce el esfuerzo manual y el tiempo necesario para parchear todos los sistemas de una red.
Vigilar los sistemas y clasificarlos en función de su estado de parcheo permite conocer los parches que faltan por implementar y arroja luz sobre las vulnerabilidades existentes que se deben solucionar. Sin duda. tener sus sistemas parcheados y actualizados puede salvarlo de un gran número de ataques.
2. Es mejor prevenir que lamentar una violación en la red
Después de sufrir un ataque, el daño está hecho y la confianza perdida no se puede recuperar fácilmente. Vaya un paso por delante de los ataques basados en credenciales aplicando políticas de protección que refuercen las contraseñas y empleando herramientas de gestión de contraseñas y otras credenciales para garantizar la seguridad de varias cuentas. Eliminar la fatiga relacionada con las contraseñas y utilizar alertas en tiempo real para gestionar las credenciales puede ayudar a evitar las vulnerabilidades basadas en credenciales.
3. Actualizar el antivirus diariamente para evitar el ransomware
Los creadores de programas maliciosos conocen bien las vulnerabilidades existentes en la red y construyen códigos maliciosos que se dirigen a estas vulnerabilidades para entrar en su red sin ser detectados. Es esencial instalar una solución antivirus. Sin embargo, la gestión de la seguridad no termina con la instalación de una solución antivirus. También requiere actualizaciones periódicas para conocer las últimas definiciones de virus.
Dado que todos los días surgen nuevas definiciones de virus, se vuelve tedioso rastrearlas manualmente y actualizarlas constantemente. También provocarán un cuello de botella en el ancho de banda si sus computadores están configurados para comunicarse con el servidor de descargas del proveedor de antivirus directamente, lo que dificulta la gestión de la red. Automatizar la tarea de actualización de la solución antivirus para que las actualizaciones se ejecuten durante las horas no laborables puede evitar este cuello de botella y ahorrar tiempo a los administradores de TI.
Un paso más hacia la seguridad de la red y un salto lejos de las ciberamenazas con Desktop Central
Desktop Central es una solución de gestión unificada de endpoints (UEM) que ayuda a gestionar servidores, portátiles, desktops, smartphones y tablets desde una ubicación central para ayudarle a evitar ser víctima de la ciberdelincuencia. Es una versión moderna de la gestión de desktops que se puede ampliar según las necesidades de la organización.
Automatice las rutinas habituales de gestión de endpoints, como la instalación de parches, la implementación de software y la creación de imágenes e implementación de sistemas operativos. Además, también le permite gestionar los activos y las licencias de software, monitorear las estadísticas de uso del software, gestionar el uso de los dispositivos USB y tomar el control de los desktops remotos.
Desktop Central se puede utilizar para evitar el ransomware de las siguientes maneras:
∙ Aplicar la política de salud del sistema para obtener visibilidad sobre los sistemas vulnerables y los parches que faltan por implementar. También puede automatizar la gestión de parches con la función de comprobación y aprobación de parches para garantizar su compatibilidad.
∙ Implementar scripts personalizados para definir contraseñas seguras para los sistemas de los clientes. El gestor de credenciales de Desktop Central proporciona una solución unificada para almacenar y gestionar todas las credenciales internas de los productos de forma global desde una ubicación centralizada. También puede probar ManageEngine Password Manager Pro para gestionar credenciales privilegiadas.
∙ Automatizar las actualizaciones de antivirus y controlar y optimizar el consumo de ancho de banda, que también ayuda a aumentar la productividad de los administradores de TI al eliminar estas tareas que consumen tiempo.
Desktop Central proporciona varias otras funciones de gestión de endpoints, como la gestión de energía, la lista de permisos de software y el rechazo de parches. ¡Inicie su prueba gratuita de 30 días hoy mismo!