Alrededor del 60 % de los ataques de ransomware operados por humanos implican actualmente un cifrado remoto malicioso. Continúe leyendo para conocer este vector de ataque de ransomware predominante y las capacidades de protección líderes en la industria de Sophos.
¿Qué es el ransomware remoto?
El ransomware remoto, también conocido como cifrado remoto malicioso, se produce cuando se utiliza un punto final comprometido para cifrar datos en otros dispositivos en la misma red.
En los ataques dirigidos por humanos, los adversarios suelen intentar implementar ransomware directamente en las máquinas que quieren cifrar. Si su intento inicial es bloqueado (por ejemplo, por tecnologías de seguridad en los dispositivos de destino), rara vez se dan por vencidos y optan por cambiar a un enfoque alternativo e intentarlo una y otra vez.
Una vez que los atacantes logran comprometer una máquina, pueden aprovechar la arquitectura de dominio de la organización para cifrar datos en máquinas unidas a un dominio administrado. Toda la actividad maliciosa (ingreso, ejecución de carga útil y cifrado) ocurre en la máquina ya comprometida, por lo que pasa por alto las pilas de seguridad modernas. El único indicio de compromiso es la transmisión de documentos hacia y desde otras máquinas.
El ochenta por ciento de los compromisos de cifrado remoto se originan en dispositivos no administrados en la red, aunque algunos comienzan en máquinas poco protegidas que carecen de las defensas necesarias para evitar que los atacantes accedan al dispositivo.
¿Por qué es tan frecuente el ransomware remoto?
Un factor clave que impulsa el uso generalizado de este enfoque es su escalabilidad: un único punto final no administrado o poco protegido puede exponer todo el patrimonio de una organización a un cifrado remoto malicioso, incluso si todos los demás dispositivos ejecutan una solución de seguridad de punto final de próxima generación.
Para empeorar las cosas, los adversarios no están limitados en la elección de variante de ransomware para estos ataques. Una amplia gama de familias de ransomware conocidas admiten cifrado malicioso remoto, incluidas Akira, BitPaymer, BlackCat, BlackMatter, Conti, Crytox, DarkSide, Dharma, LockBit, MedusaLocker, Phobos, Royal, Ryuk y WannaCry.
Además, la mayoría de los productos de seguridad para endpoints son ineficaces en este escenario porque se centran en detectar archivos y procesos de ransomware maliciosos en el endpoint protegido. Sin embargo, con los ataques de cifrado remoto, los procesos se ejecutan en la máquina comprometida, lo que deja a la protección del endpoint ciega a la actividad maliciosa.
Afortunadamente, Sophos Endpoint incluye una sólida protección contra el cifrado remoto malicioso, impulsada por nuestra protección CryptoGuard líder en la industria.
Sophos CryptoGuard: protección universal contra ransomware líder en la industria
Sophos Endpoint contiene múltiples capas de protección que defienden a las organizaciones del ransomware, incluido CryptoGuard, nuestra tecnología antiransomware exclusiva que se incluye en todas las suscripciones de Sophos Endpoint.
A diferencia de otras soluciones de seguridad para terminales que únicamente buscan archivos y procesos maliciosos, CryptoGuard analiza los archivos de datos en busca de signos de cifrado malicioso, independientemente de dónde se estén ejecutando los procesos. Este enfoque lo hace muy eficaz para detener todas las formas de ransomware, incluido el cifrado remoto malicioso. Si detecta cifrado malicioso, CryptoGuard bloquea automáticamente la actividad y revierte los archivos a sus estados no cifrados.
CryptoGuard examina activamente el contenido de todos los documentos a medida que se leen y escriben los archivos, utilizando análisis matemático para determinar si se han cifrado. Este enfoque universal es único en la industria y permite a Sophos Endpoint detener ataques de ransomware que otras soluciones no detectan, incluidos ataques remotos y variantes de ransomware nunca antes vistas.
Detecta cifrado malicioso analizando el contenido del archivo
A diferencia de otras soluciones que analizan el ransomware desde una perspectiva antimalware al centrarse en la detección de códigos maliciosos, CryptoGuard busca un cifrado masivo y rápido de archivos analizando el contenido mediante algoritmos matemáticos.
Bloquea ataques de ransomware locales y remotos
Como CryptoGuard se centra en el contenido de los archivos, puede detectar intentos de cifrado de ransomware incluso cuando el proceso malicioso no se está ejecutando en el dispositivo de la víctima.
Deshace automáticamente el cifrado malicioso
CryptoGuard crea copias de seguridad temporales de archivos modificados y revierte automáticamente los cambios cuando detecta cifrado masivo. Sophos utiliza un enfoque propietario, a diferencia de otras soluciones que utilizan Windows Volume Shadow Copy, que los adversarios suelen eludir. No hay límites para el tamaño y tipo de archivo que se puede recuperar, lo que minimiza el impacto en la productividad empresarial.
Bloquea automáticamente dispositivos remotos
En un ataque remoto de ransomware, CryptoGuard bloquea automáticamente la dirección IP del dispositivo remoto que intenta cifrar archivos en la máquina de la víctima.
Protege el registro de arranque maestro (MBR)
CryptoGuard también protege el dispositivo contra ransomware que cifra el registro de arranque maestro (evitando el inicio) y contra ataques que borran el disco duro.
CryptoGuard es una de las capacidades únicas de Sophos Endpoint y se incluye con todas las suscripciones de Sophos Intercept X Advanced, Sophos XDR y Sophos MDR. Es más, la capacidad se habilita automáticamente de forma predeterminada, lo que garantiza que las organizaciones disfruten de protección total contra ataques de ransomware locales y remotos de inmediato, sin necesidad de realizar ajustes ni configuraciones.
Descubra dispositivos desprotegidos
Un único punto final desprotegido puede dejar a su organización vulnerable a un ataque de cifrado remoto. La implementación de Sophos Endpoint proporciona una sólida protección universal contra ransomware contra cifrado malicioso. Pero, ¿cómo puedes identificar si tienes dispositivos desprotegidos en tu red?
Aquí es donde Sophos Network Detection and Response (NDR) puede resultar útil. Sophos NDR supervisa el tráfico de red en busca de flujos sospechosos y, al hacerlo, identifica dispositivos desprotegidos y activos no autorizados en el entorno.
Para obtener la protección más sólida contra ataques remotos de ransomware, instale Sophos Endpoint en todas las máquinas del entorno e implemente Sophos NDR para descubrir dispositivos desprotegidos en su red.
Eleve su protección contra ransomware remoto hoy
El cifrado remoto malicioso es una técnica de ransomware popular que la mayoría de las principales soluciones de seguridad de endpoints luchan por detener. Si no utiliza Sophos Endpoint, es muy probable que quede expuesto.
Para obtener más información sobre Sophos Endpoint y cómo puede ayudar a su organización a defenderse mejor contra los ataques avanzados actuales, incluido el ransomware remoto, hable hoy mismo con un asesor de Sophos o su socio de Sophos. También puedes probarlo en tu propio entorno con una prueba gratuita de 30 días sin compromiso.