Inicio

Seguridad

QRadar

SIEM

 Detección y prevención de ransomware con IBM QRadar SIEM
IBM QRadar SIEM ayuda a detectar el ransomware antes de que secuestren sus datos
Solicite una demostración en directo
Persona escribiendo en una pizarra en la oficina
Detecte y responda al ransomware

El ransomware se ha convertido en uno de los modelos de negocio más fuertes del ciberdelito y cuesta a las organizaciones miles de millones de dólares cada año. En un ataque de ransomware, los ciberdelincuentes roban o cifran datos valiosos y luego exigen un pago para recuperarlos de forma segura. Estos ataques han pasado de ser una simple molestia para los consumidores a malware sofisticado con capacidades de cifrado avanzadas que afecta a todos los sectores, a todas las zonas geográficas y a empresas de todos los tamaños.

Proteger su organización del ransomware y otros tipos de malware requiere una respuesta rápida, porque con cada segundo que pasa se cifran más archivos y se infectan más dispositivos, lo que incrementa tanto los daños como los costes. IBM QRadar SIEM le ayuda a detectar estas amenazas rápidamente, para que pueda tomar medidas inmediatas e informadas para prevenir o minimizar los efectos del ataque.
Infórmese sobre el riesgo del ransomware Lea el informe "Cost of a Data Breach" de 2024 Regístrese para obtener la Guía definitiva del ransomware 2023
Obtenga el resumen de la solución SIEM de QRadar
La amenaza del ransomware

En la batalla contra el ransomware, la detección temprana y la prevención son fundamentales. QRadar SIEM ofrece análisis de seguridad inteligentes que le proporcionan información procesable contra las amenazas más críticas.

 24 %

de todos los ciberataques son ransomware.¹

 5,13 

El coste medio de un ataque de ransomware es de 5,13 millones de dólares.¹

 108

Las organizaciones con IA y automatización de la seguridad identificaron y contuvieron una vulneración de datos 108 días antes.¹
Cómo le ayuda QRadar SIEM a protegerse contra el ransomware
Ransomware

El ransomware, como la mayoría del malware, pasa por varias fases. QRadar SIEM puede detectar ransomware conocido y desconocido en todas estas fases. Una detección temprana puede ayudar a prevenir daños en fases posteriores. QRadar proporciona extensiones de contenido que incluyen cientos de casos de uso para generar alertas en estas fases. Las extensiones de contenido se entregan a través de App Exchange y le permiten conseguir los casos de uso más recientes. 

La mayoría del malware y ransomware "conocido" se puede detectar en las primeras fases. Para detectar ransomware desconocido, QRadar SIEM proporciona casos de uso que se centran en identificar comportamientos de ransomware. La visibilidad de los endpoints, los servidores de aplicaciones (locales y en la nube) y los dispositivos de red (firewalls) permite a QRadar SIEM Use Case Manager detectar patrones de comportamiento de ransomware en toda su infraestructura de TI y TO. Use Case Manager puede ayudarle a visualizar si tiene casos de uso o reglas que abarquen estas fases mediante el uso de la matriz de MITRE ATT&CK.
Fase de distribución (táctica de MITRE ATT&CK: acceso inicial)

Durante esta fase, el ransomware se parece a otro malware. Utiliza técnicas de phishing para engañar a los empleados desprevenidos y conseguir que hagan clic en un enlace o archivo ejecutable de un correo electrónico, de una red trampa, de las redes sociales o de un mensaje de texto.

Ejemplos de casos de uso de QRadar SIEM para detectar comportamientos de distribución y ransomware conocido:

  • Archivo ejecutable incluido en un correo electrónico
  • Correo electrónico o comunicación web con host hostil
  • Asunto de correo electrónico sospechoso
Fase de infección (tácticas de MITRE ATT&CK: ejecución y persistencia)

Este es el momento en el que el reloj empieza a correr. El ransomware ya está en su entorno. Si el ransomware ha usado un "dropper" para evitar ser detectado en la fase de distribución, ahora es cuando este dropper descarga y ejecuta el "ejecutable real".

Ejemplos de casos de uso de QRadar SIEM para encontrar comportamientos de infección:

  • Detección de archivos o procesos maliciosos
  • Detección de IOC maliciosos
  • Decodificación o descarga de archivos seguida de una actividad sospechosa
Fase de preparación (tácticas de MITRE ATT&CK: persistencia, elevación de privilegios, evasión defensiva y acceso a credenciales)

El ransomware escanea la máquina para analizar los derechos administrativos que podría obtener para ejecutarse en el arranque, deshabilitar el modo de recuperación, eliminar las duplicaciones y más.

Ejemplos de casos de uso de QRadar SIEM para identificar comportamientos de preparación:

    • Intento de eliminación de duplicaciones y copias de seguridad
    • Recuperación inhabilitada en la configuración de arranque
    Fase de reconocimiento (tácticas de MITRE ATT&CK: detección, movimiento lateral y colección)

    Ahora que el ransomware se ha adueñado por completo de la máquina, comienza una fase de reconocimiento de la red (vías de acceso de ataque), las carpetas y los archivos con extensiones predefinidas y otros elementos.

    Ejemplos de casos de uso de QRadar SIEM para identificar comportamientos de reconocimiento:

    • Intento de eliminación de duplicaciones y copias de seguridad
    • Límites de tamaño para la transferencia de datos
         Aspectos básicos de la supervisión de endpoints de QRadar
    Fase de cifrado (tácticas de MITRE ATT&CK: exfiltración e impacto)

    Aquí es cuando comienza el verdadero daño. Las acciones típicas incluyen: crear una copia de cada archivo, cifrar las copias y colocar los nuevos archivos en la ubicación original. Es posible que los archivos originales se exfiltren y eliminen del sistema, lo que permite a los atacantes extorsionar a la víctima amenazándola con hacer pública la vulneración o incluso filtrar documentos robados. 

    Ejemplos de casos de uso de QRadar SIEM para detectar comportamientos de cifrado:

    • Eliminación o creación excesiva de archivos
    • Cantidad sospechosa de archivos renombrados o movidos en la misma máquina (UNIX)
    • Límites de tamaño para la transferencia de datos
         ¿Necesita ayuda para supervisar la exfiltración de datos?
    Notificación de rescate

    El daño ya está hecho y el usuario recibe una notificación sobre cómo pagar el rescate para obtener la clave de descifrado. En este punto, no hay mucho más que detectar, tan solo la creación del archivo de instrucciones de descifrado.

    Ejemplos de casos de uso de QRadar SIEM para encontrar comportamientos de notificación:

    • Creación de las instrucciones de descifrado del ransomware

    Los casos de uso de detección de ransomware están disponibles en las siguientes extensiones de contenido en App Exchange (enlace externo a ibm.com):

         Más información sobre los casos de uso de QRadar SIEM para cada fase
    Prepárese para un ataque de ransomware

    Después de la fase de infección inicial, cada segundo es crucial. Cuanto antes detecte el ransomware, antes podrá iniciar su plan de respuesta a incidentes (RI). Cuanto mejor sea el plan de respuesta, más rápido podrá detener el avance del ransomware a través de las distintas fases. NIST (enlace externo a ibm.com) y SANS (enlace externo a ibm.com) tienen directrices de RI que han resistido al paso del tiempo. Hay algunos aspectos clave que debe tener cualquier plan de RI.

    Configuración de copias de seguridad. Contar con copias de seguridad sin conexión es crucial en un ataque de ransomware. Asegúrese de saber dónde están estas copias de seguridad y cómo restaurar sus sistemas. Incluya en su proceso de RI los pasos sobre a quién contactar para cada uno de sus activos críticos de TI.

    Identificación de equipos, herramientas y roles. A medida que el ransomware avanza a través de sus diversas fases, desde la infección inicial hasta el cifrado, la composición del equipo de respuesta a incidentes cambia. Esto generalmente significa que cada vez deben involucrarse más personas de la organización. A menudo, es necesario contratar servicios de terceros o, en el caso de una infracción, ponerse en contacto con los órganos reguladores legales externos y con los clientes. Saber a quién contactar y cuándo es fundamental. Es importante mantener una lista de contactos actualizada, pero incorporar los roles de estos contactos en su proceso es vital para una respuesta eficaz. Los documentos en papel y los archivos PDF son suficientes, pero es esencial contar con las herramientas y la automatización adecuadas para que todo el equipo tenga acceso al proceso de respuesta, las acciones y la documentación histórica del ransomware.

    Un proceso y una automatización bien definidos. Un proceso de respuesta a incidentes puede contener muchas tareas y múltiples puntos de decisión. Es conveniente alinear su proceso con las fases delineadas por NIST y SANS. Por ejemplo, puede organizar su proceso de RI según las siguientes fases:

    1. Descubrimiento e identificación
    2. Enriquecimiento y validación
    3. Contención y corrección
    4. Recuperación y comunicación

    QRadar SOAR proporciona guías de estrategias para definir su proceso de RI y automatizar las numerosas acciones que un analista puede necesitar ejecutar para avanzar rápidamente por las fases. QRadar SOAR Breach Response puede crear las tareas necesarias para informar a los organismos reguladores en función de la información personal expuesta.

    Inventario de activos de TI, propietarios e información personal.  Cuando un sistema está infectado,  un analista de seguridad necesita saber quién es el propietario del sistema, así como conocer las aplicaciones y los datos. Las soluciones de gestión de activos como ServiceNow o SAP pueden ayudarle a gestionar los contactos de los sistemas. IBM Guardium Discover and Classify puede ayudar a encontrar fuentes de datos y información personal en cada fuente. De este modo, en caso de una vulneración de datos, los analistas saben si hay alguna normativa implicada.

     Más información sobre cómo prepararse para un ataque de ransomware
    Casos de éxito Mejora de la defensa de la ciudad con inteligencia de amenazas

    La ciudad de Los Ángeles, LA Cyber Lab e IBM unieron fuerzas para brindar inteligencia sobre amenazas y reforzar la seguridad de las empresas locales vulnerables.

     Corrección de amenazas más rápida con QRadar SIEM

    La integración de datos, el análisis de registros y la priorización de incidencias ayudan a esta empresa vietnamita de inversión y desarrollo de bienes inmuebles a detectar y responder a amenazas.

     Gestión de la ciberseguridad con soluciones combinadas de IBM

    Al alojar una solución QRadar SIEM en el almacenamiento IBM FlashSystem de alto rendimiento, Data Action (DA) proporciona mayor seguridad para bancos alternativos.
    Casos de uso relacionados

    La detección de amenazas desde el centro hasta el punto final con QRadar SIEM protege a su organización de varias maneras.

         Búsqueda de amenazas

    Incorpore las soluciones de búsqueda de ciberamenazas de IBM Security a su estrategia de seguridad para contrarrestar y mitigar las amenazas con mayor rapidez.

     Conformidad

    Integre paquetes de cumplimiento en QRadar SIEM para garantizar el cumplimiento y automatizar la generación de informes.

     Detección de amenazas

    Detenga los ciberataques rápidamente con la detección de amenazas casi en tiempo real de QRadar SIEM. 
    Dé el siguiente paso

    Programe una demostración personalizada de QRadar SIEM o consulte a uno de nuestros expertos en productos.

    Solicite una demostración en directo
    Más formas de explorar Documentación Soporte Comunidad Partners Recursos
    Notas a pie de página

    1 Cost of Data Breach Report 2023