Buscar

Idioma

Por qué el ransomware se ha convertido en una importante amenaza para la identidad

19 julio,2023

Inicio » Blog » Por qué el ransomware se ha convertido en una importante amenaza para la identidad

El ransomware continúa afectando a organizaciones de todo el mundo, con más de 493.3 millones de ataques detectados en 2022. A pesar de la proliferación de productos en el ámbito de la seguridad, las empresas siguen siendo víctimas de estos ataques, pagando un precio promedio de $812,360 en demandas de rescate. Y el costo total para una organización es se estima en 4.5 millones de dólares, debido al tiempo que lleva detectar y remediar estas infracciones.

Este artículo explora por qué los ataques de ransomware han aumentado tan drásticamente, cómo los puntos ciegos de la protección de la identidad desempeñan un papel fundamental en estos ataques y qué pueden hacer las organizaciones para abordar esos puntos ciegos y detener el ransomware .

Tabla de contenido

  • Cómo el ransomware evolucionó hasta convertirse en un riesgo empresarial crítico
  • El impacto del ransomware se ve amplificado por el movimiento lateral
  • Los ataques de movimiento lateral están impulsados ​​por credenciales comprometidas
  • Los ataques de ransomware están aumentando debido a dos puntos ciegos
  • Cómo Silverfort Aborda los puntos ciegos de seguridad para detener el ransomware

    • Cómo el ransomware evolucionó hasta convertirse en un riesgo empresarial crítico

    Si bien el ransomware no es un fenómeno nuevo, el El primer ataque registrado se remonta a 1989. – Sólo en los últimos años se ha convertido en una crisis mundial. Esto se debe a que los atacantes han desarrollado sus técnicas a un ritmo mucho más rápido del que las organizaciones pueden seguir. Hasta hace unos diez años, por ejemplo, los actores de amenazas sólo tenían la capacidad de infectar una sola máquina a la vez con ransomware. Esto fue un desastre para el usuario y un problema para el equipo de seguridad, pero en última instancia no representó un riesgo para la organización.

    Pero con la aparición de varios ciberataques ahora infames en 2017 (incluidos WannaCry y NotPetya), los ciberdelincuentes demostraron que podían combinar una carga útil de cifrado con un mecanismo de propagación automatizado. Esto significaba que los atacantes ahora estaban usando una nueva técnica que les permitía moverse a través de un entorno y así atacar no solo una máquina a la vez sino infectar a toda una organización a la vez.

    Un ejemplo reciente y destacado de esto fue el ataque al Colonial Pipeline en mayo de 2021, que cerró una arteria clave de combustible en la costa este de Estados Unidos, lo que provocó escasez de combustible y la declaración de emergencia por parte del presidente. Ese año, de hecho, Los ataques aumentaron un 78% desde 2020 y el 66% de todas las organizaciones globales se vieron afectadas por ransomware..

    El impacto del ransomware se ve amplificado por el movimiento lateral

    Para apreciar por qué estos ataques se han extendido tanto (y han tenido tanto éxito) es importante comprender el concepto de movimiento lateral. De acuerdo con la Corporación MITRE, movimiento lateral Se define como una serie de técnicas que los adversarios utilizan para ampliar su presencia en un entorno tras un compromiso inicial.

    Esta capacidad de realizar movimientos laterales ha alimentado el insaciable apetito actual por el ransomware, ya que un único punto de compromiso ahora puede generar una recompensa potencialmente enorme para los atacantes. De hecho, El movimiento lateral ahora se utiliza en el 82% de todos los ataques de ransomware.. Se trata de un hecho inquietante, ya que hace sólo unos años esta capacidad estaba limitada a ciberdelincuentes altamente sofisticados, como grupos de hackers patrocinados por el Estado y agencias de inteligencia extranjeras.

    Así que echemos un vistazo más de cerca a lo que realmente está pasando aquí.

    Los ataques de movimiento lateral están impulsados ​​por credenciales comprometidas

    Según algunas estimaciones, existen 24.6 mil millones de credenciales robadas (es decir, combinaciones de nombre de usuario y contraseña) disponibles para la venta en la Dark Web. Esto representa un tesoro escondido para los actores de amenazas oportunistas que buscan participar en la extorsión con ransomware. Porque con estas credenciales en la mano, los atacantes saben que mediante el uso de técnicas comprobadas como phishing, smishing o ingeniería social, eventualmente pueden obtener acceso inicial al entorno de una organización y luego propagarse desenfrenadamente.

    La razón se debe a un defecto fundamental en el infraestructura de identidad sí mismo. Una vez que los atacantes obtienen acceso a una máquina inicial, solo necesitan presentar las credenciales comprometidas al proveedor de identidad responsable de la autenticación del usuario (lo más probable es que Microsoft Active Directory (AD), que es utilizado por el 90% de las empresas Global Fortune 1000 – y el movimiento lateral puede comenzar.

    Esta es la razón por la que el movimiento lateral es una amenaza de identidad tan grave, debido a la disponibilidad de credenciales de usuario robadas, así como a la capacidad de los atacantes para extraer credenciales de máquinas comprometidas o interceptar el tráfico de red, todo lo cual permite a los ciberdelincuentes autenticarse en múltiples máquinas en un entorno, distribuir una carga útil de ransomware en toda una red y cifrar varias máquinas simultáneamente.

    Los ataques de ransomware están aumentando debido a dos puntos ciegos

    Esto nos lleva a un punto importante, porque la medida de seguridad conocida como Se sabe que la autenticación multifactor (MFA) puede prevenir el 99.9% de todos los ciberataques.. Sin embargo, si este es el caso, ¿por qué estos ataques de ransomware continúan sin cesar?

    Las razones son alarmantemente simples.

    El MFA no se puede aplicar en todas partes
    Si bien MFA está disponible para aplicaciones SaaS, cargas de trabajo en la nube y acceso VPN, no se puede aplicar en herramientas comunes de acceso a la línea de comandos, como PsExec, PowerShell y WMI. Esto se debe a que los protocolos de autenticación que utiliza AD, específicamente Kerberos y NTLM: no son compatibles con MFA. Los administradores de red utilizan regularmente estas herramientas de línea de comandos para obtener acceso remoto a las máquinas de su red, pero también las utilizan los ciberdelincuentes que saben que pueden aprovecharlas para realizar movimientos laterales utilizando credenciales robadas sin que se lo impidan. MFA. Este es un punto ciego crítico.

    Proteger Cuentas de servicio es un desafío
    El segundo punto ciego tiene que ver con las cuentas de servicios no humanos (también conocidas como bots), que son cuentas de máquina a máquina que se utilizan para realizar automáticamente funciones importantes en un entorno de red, como actualizar software y realizar análisis como controles de estado. El problema es que la mayoría de las organizaciones no saben cuántas de estas cuentas tienen o qué está haciendo cada una de ellas (es decir, en qué fuentes y destinos se autentican las distintas cuentas de servicio).

    La razón es porque No existe ninguna herramienta de diagnóstico que pueda descubrir todas estas cuentas. en un entorno, lo cual es alarmante ya que muchas organizaciones cuentan con miles de ellos. Aún más aterrador es el hecho de que los atacantes buscan incansablemente comprometer las cuentas de servicio, que a menudo tienen altos privilegios, para que puedan realizar movimientos laterales prácticamente sin ser detectados y así acceder fácilmente a múltiples máquinas y sistemas.

    Muchas organizaciones cuentan con un Solución de gestión de acceso privilegiado (PAM) para mantener seguras las cuentas de usuario, pero existen limitaciones cuando se trata de cuentas de servicio. Esto se debe a que el acceso a la cuenta de servicio generalmente se realiza mediante la ejecución de scripts en los que sus credenciales están codificadas. Eso significa que estas contraseñas no pueden rotarse automáticamente mediante un PAM sin causar problemas (por ejemplo, una cuenta de servicio ya no puede iniciar sesión en su máquina de destino, lo que provoca la interrupción de un proceso crítico).

    Cómo Silverfort Aborda los puntos ciegos de seguridad para detener el ransomware

    La Silverfort unificada Protección de Identidad La plataforma fue creada para abordar estos puntos ciegos. Al centrarse en el lugar donde tiene lugar la autenticación del usuario (es decir, dentro del proveedor de identidad), Silverfort puede extender la prevención en tiempo real de amenazas a la identidad a todos los recursos y prevenir la propagación de ransomware.

    La forma en que funciona es que AD reenvía todas las autenticaciones e intentos de acceso a Silverfort para una “segunda opinión” antes de tomar cualquier decisión de acceso. Una vez Silverfort recibe la solicitud, la analiza comparándola con su motor de riesgo y las políticas configuradas para determinar si se necesita una verificación de seguridad adicional, específicamente MFA. Eso significa Silverfort es efectivamente independiente del protocolo: siempre que un usuario se autentique en AD, esa solicitud se puede analizar y evaluar si el protocolo utilizado es Kerberos, NTLM o LDAP.

    El resultado es que Silverfort puede hacer cumplir MFA en cualquier recurso (ya sea a través de su propio servicio o mediante integraciones con cualquier proveedor de MFA), incluidas las interfaces de línea de comandos que los atacantes utilizan constantemente para el movimiento lateral. Esto soluciona el primer punto ciego que conduce a la propagación del ransomware.

    Silverfort También puede descubrir y proteger todas las cuentas de servicio. Debido a que la plataforma puede ver todas las autenticaciones y solicitudes de acceso, puede identificar rápidamente cualquier cuenta que muestre un comportamiento repetitivo de línea de máquina y etiquetarla como cuenta de servicio. Además, Silverfort puede proporcionar una “cerca virtual” para estas cuentas permitiéndoles conectarse solo a ciertas máquinas específicas, activando MFA (o incluso bloqueando el acceso) si estas cuentas muestran un comportamiento que se desvía de su actividad normal. Esto significa que cualquier atacante que haya comprometido una cuenta de servicio no podrá realizar movimientos laterales.

    Todo esto se hace configurando políticas de acceso específicas en el Silverfort plataforma, que es un proceso fácil e intuitivo. Las políticas para aplicar MFA en recursos difíciles de proteger, como el acceso a la línea de comandos, los archivos compartidos y las aplicaciones heredadas, se pueden implementar de inmediato, y muchas organizaciones descubren que pueden descubrir y proteger todas las cuentas de servicio en cuestión de semanas y sin ningún problema. interrupción del negocio.

    Contáctenos hoy para un manifestación y ver cómo Silverfort puede ayudar a su organización a detener el ransomware.


    ¿Listo para una demostración?
    Regístrate hoy.

    Mensajes recientes

    9 de mayo 2024.

    Silverfort Anuncia nueva integración con Microsoft Entra ID EAM 

    6 de mayo 2024.

    Uso de MITM para evitar la protección resistente al phishing de FIDO2

    Puede 2nd, 2024

    Silverfort Presentará una investigación en RSA 2024: uso de MITM para omitir los métodos de autenticación modernos a SSO

    24 de abril de 2024

    Cinco formas de mejorar la higiene de su AD con Silverfort  
    Ver más

    Síguenos en:

    Detenga las amenazas a la identidad ahora