Se prevé un aumento en el ransomware cuando los trabajadores remotos regresen a la oficina
COVID-19 preparó el escenario para una explosión de incidentes de ransomware. A medida que las empresas pasaron al trabajo remoto con poco tiempo para prepararse, se tuvieron que hacer ciertos compromisos en interés de la continuidad del negocio; Para muchas empresas, esto significó aflojar los protocolos de seguridad para ayudar a los empleados a seguir siendo productivos.
Pero a pesar de las condiciones casi perfectas de tormenta, la tasa de incidentes de ransomware se mantuvo estable. Sin embargo, es poco probable que esta tendencia continúe. Si bien ciertos sectores han disfrutado un breve respiro del ransomware, creemos que podemos ver un resurgimiento de los ataques en las próximas semanas a medida que los trabajadores remotos, y sus dispositivos potencialmente comprometidos, regresen a la oficina.
El ransomware no se conecta a los servidores C2
La mayoría de las cepas modernas de ransomware se entregan en ataques de varias etapas que permiten a los actores de amenazas aprender más sobre el sistema infectado antes de decidir si implementar o no ransomware.
La primera etapa de un ataque es principalmente de reconocimiento. Después de que un sistema se ha visto comprometido, los atacantes usan malware de primera etapa para examinar el punto final infectado y evaluar el valor del objetivo. El malware utiliza múltiples complementos para consultar periódicamente el software instalado, escanear redes y recuperar información del sistema.
Si el malware determina que el sistema es un objetivo apropiado, establece una conexión (a veces denominada llamada de inicio) con el servidor de comando y control (C&C) del atacante, que se utiliza para descargar ransomware y mantener la comunicación entre los actores de amenazas y el sistema comprometido Por otro lado, si se considera que el sistema es un objetivo inadecuado, la llamada a casa no se activa y el ransomware no se implementa.
Creemos que el último escenario puede explicar la tasa inesperadamente plana de incidentes de ransomware en los últimos meses. Dado que muchas personas ahora trabajan desde casa, una gran cantidad de puntos finales comprometidos pueden haber sido categorizados como objetivos inadecuados, lo que evitaría que el malware establezca una conexión con los servidores de C&C de los atacantes y contribuya a la aparente calma en los incidentes de ransomware.
Ransomware para aumentar cuando la gente vuelve al trabajo
Debido a que las llamadas a domicilio no se están activando y el ransomware no se está implementando, existe una buena posibilidad de que muchos trabajadores remotos estén trabajando actualmente desde puntos finales comprometidos, completamente ajenos al hecho de que están albergando malware. El malware puede permanecer inactivo durante semanas o incluso meses (el tiempo promedio de permanencia, que se define como el tiempo entre el compromiso inicial y la detección, es de 56 días, según FireEye ) esperando la oportunidad correcta para conectarse a su servidor de C&C.
Esa oportunidad puede estar a la vuelta de la esquina. Con los estados reduciendo gradualmente las reglas de distanciamiento social, esperamos ver un aumento en los incidentes de ransomware a medida que los empleados regresen a la oficina y conecten los puntos finales comprometidos a las redes corporativas. Esto puede desencadenar la función de inicio de llamadas del malware y desencadenar una secuencia de eventos que finalmente conduce a la implementación de ransomware.
Acciones recomendadas para empresas
Las organizaciones de todos los tamaños deben asegurarse de que los dispositivos utilizados para el trabajo remoto no se vean comprometidos antes de permitir que se conecten a la red de la empresa. A continuación se presentan algunas estrategias efectivas para mitigar los riesgos de llevar los dispositivos utilizados para trabajar desde casa, de regreso al lugar de trabajo:
Segmentación de la red: la forma más efectiva de proteger la red de la empresa es crear una subred específicamente para los puntos finales que se utilizaron previamente de forma remota. La segmentación evita que el malware se mueva lateralmente a través de una red y permite a los equipos de TI aislar y controlar fácilmente los incidentes.
Verificación de seguridad del dispositivo : asegúrese de que no haya habido infracciones de políticas, como escaneos programados perdidos, instalaciones de software no aprobadas y patrones de inicio de sesión inusuales.
Reimagen de dispositivos : si los empleados han estado trabajando de forma remota durante una cantidad significativa de tiempo, las empresas deberían considerar la posibilidad de volver a crear imágenes de dispositivos emitidos en el trabajo para eliminar el riesgo de infección de malware.
Capacitación sobre conciencia de seguridad cibernética : a medida que los empleados regresan al lugar de trabajo, la capacitación actualizada sobre conciencia de seguridad cibernética puede ayudar a reducir las infecciones de malware, evitar violaciones de las políticas de seguridad, mejorar la productividad de la empresa y lograr el cumplimiento.
Conclusión
Si bien el ransomware se ha mantenido estable o incluso ha disminuido en algunos sectores en las últimas semanas, es poco probable que esta tendencia continúe. Anticipamos que los incidentes de ransomware se dispararán cuando los trabajadores remotos regresen a la oficina con dispositivos comprometidos, pero las compañías tienen opciones para mitigar esta amenaza.
