El ransomware se ha convertido en uno de los modelos de negocio más fuertes del ciberdelito y cuesta a las organizaciones miles de millones de dólares cada año. En un ataque de ransomware, los ciberdelincuentes roban o cifran datos valiosos y luego exigen un pago para recuperarlos de forma segura. Estos ataques han pasado de ser una simple molestia para los consumidores a malware sofisticado con capacidades de cifrado avanzadas que afecta a todos los sectores, a todas las zonas geográficas y a empresas de todos los tamaños.
Proteger su organización del ransomware y otros tipos de malware requiere una respuesta rápida, porque con cada segundo que pasa, se cifran más archivos y se infectan más dispositivos, lo que aumenta tanto el daño como el coste. IBM Security QRadar SIEM le ayuda a detectar rápidamente estas amenazas y tomar medidas inmediatas e informadas para minimizar o prevenir el impacto de los ataques.
Lea "La guía definitiva del ransomware"
Lea el informe de 2022 "El coste de una filtración de datos"
En la batalla contra el ransomware, la detección temprana y la prevención son fundamentales. QRadar SIEM ofrece análisis de seguridad inteligentes que le proporcionan información procesable contra las amenazas más críticas.
El 21% de todos los ciberataques son ataques de ransomware¹
El coste medio de un ataque de ransomware es de 4,54 millones de dólares2
Los ataques de ransomware con código nuevo en Linux han aumentado un 146%3
El ransomware, como la mayoría del malware, pasa por varias fases. QRadar SIEM puede detectar ransomware conocido y desconocido en todas estas fases. Una detección temprana puede ayudar a prevenir daños en fases posteriores. QRadar proporciona extensiones de contenido que incluyen cientos de casos de uso para generar alertas en estas fases. Las extensiones de contenido se entregan a través de App Exchange y le permiten obtener los casos de uso más recientes. Las colecciones de IBM® Security X-Force Threat Intelligence se utilizan como referencia en los casos de uso para encontrar los últimos indicadores conocidos de compromiso (IOC, por sus siglas en inglés), como direcciones IP, hash de archivos de malware, URL y más.
La mayoría del malware y ransomware "conocido" se puede detectar en las primeras fases. Para detectar ransomware desconocido, QRadar SIEM proporciona casos de uso que se centran en identificar comportamientos de ransomware. La visibilidad de los endpoints, los servidores de aplicaciones (locales y en la nube) y los dispositivos de red (firewalls) permite a QRadar SIEM Use Case Manager detectar patrones de comportamiento de ransomware en toda su infraestructura de TI y TO. Use Case Manager puede ayudarle a visualizar si tiene casos de uso o reglas que abarquen estas fases mediante el uso de la matriz de MITRE ATT&CK.
Durante esta fase, el ransomware se parece a otro malware. Utiliza técnicas de phishing para engañar a los empleados desprevenidos y conseguir que hagan clic en un enlace o archivo ejecutable de un correo electrónico, de una red trampa, de las redes sociales o de un mensaje de texto.
Ejemplos de casos de uso de QRadar SIEM para detectar comportamientos de distribución y ransomware conocido:
- Archivo ejecutable incluido en un correo electrónico
- Correo electrónico o comunicación web con host hostil
- Asunto de correo electrónico sospechoso
Este es el momento en el que el reloj empieza a correr. El ransomware ya está en su entorno. Si el ransomware ha usado un "dropper" para evitar ser detectado en la fase de distribución, ahora es cuando este dropper descarga y ejecuta el "ejecutable real".
Ejemplos de casos de uso de QRadar SIEM para encontrar comportamientos de infección:
- Detección de archivos o procesos maliciosos
- Detección de IOC maliciosos
- Decodificación o descarga de archivos seguida de una actividad sospechosa
El ransomware escanea la máquina para analizar los derechos administrativos que podría obtener para ejecutarse en el arranque, deshabilitar el modo de recuperación, eliminar las duplicaciones y más.
Ejemplos de casos de uso de QRadar SIEM para identificar comportamientos de preparación:
- Intento de eliminación de duplicaciones y copias de seguridad
- Recuperación inhabilitada en la configuración de arranque
Ahora que el ransomware se ha adueñado por completo de la máquina, comienza una fase de reconocimiento de la red (vías de acceso de ataque), las carpetas y los archivos con extensiones predefinidas y otros elementos.
Ejemplos de casos de uso de QRadar SIEM para identificar comportamientos de reconocimiento:
- Intento de eliminación de duplicaciones y copias de seguridad
- Límites de tamaño para la transferencia de datos
Aquí es cuando comienza el verdadero daño. Las acciones típicas incluyen: crear una copia de cada archivo, cifrar las copias y colocar los nuevos archivos en la ubicación original. Es posible que los archivos originales se exfiltren y eliminen del sistema, lo que permite a los atacantes extorsionar a la víctima amenazándola con hacer pública la vulneración o incluso filtrar documentos robados.
Ejemplos de casos de uso de QRadar SIEM para detectar comportamientos de cifrado:
- Eliminación o creación excesiva de archivos
- Cantidad sospechosa de archivos renombrados o movidos en la misma máquina (UNIX)
- Límites de tamaño para la transferencia de datos
El daño ya está hecho y el usuario recibe una notificación sobre cómo pagar el rescate para obtener la clave de descifrado. En este punto, no hay mucho más que detectar, tan solo la creación del archivo de instrucciones de descifrado.
Ejemplos de casos de uso de QRadar SIEM para encontrar comportamientos de notificación:
- Creación de las instrucciones de descifrado del ransomware
Los casos de uso de detección de ransomware están disponibles en las siguientes extensiones de contenido en App Exchange (enlace externo a ibm.com):
- IBM QRadar Phishing and Email Content Extension (enlace externo a ibm.com)
- IBM QRadar Security Threat Monitoring Content (enlace externo a ibm.com)
- IBM QRadar Endpoint Content Extension (enlace externo a ibm.com)
Después de la fase de infección inicial, cada segundo cuenta. Cuanto antes detecte el ransomware, antes podrá iniciar su plan de respuesta a incidentes (RI). Cuanto mejor sea el plan de respuesta, más rápido podrá detener el avance del ransomware a través de las distintas fases. NIST y SANS (enlaces externos a ibm.com) tienen directrices de RI que han resistido al paso del tiempo. Hay algunos aspectos clave que debe tener cualquier plan de RI.
Configuración de copias de seguridad. Contar con copias de seguridad sin conexión es crucial en un ataque de ransomware. Asegúrese de saber dónde están estas copias de seguridad y cómo restaurar sus sistemas. Incluya en su proceso de RI los pasos sobre a quién contactar para cada uno de sus activos críticos de TI.
Identificación de equipos, herramientas y roles. A medida que el ransomware avanza a través de sus diversas fases, desde la infección inicial hasta el cifrado, la composición del equipo de respuesta a incidentes cambia. Esto generalmente significa que cada vez deben involucrarse más personas de la organización. A menudo, es necesario contratar servicios de terceros o, en el caso de una infracción, ponerse en contacto con los órganos reguladores legales externos y con los clientes. Saber a quién contactar y cuándo es fundamental. Es importante mantener una lista de contactos actualizada, pero incorporar los roles de estos contactos en su proceso es vital para una respuesta eficaz. Los documentos en papel y los archivos PDF son suficientes, pero es esencial contar con las herramientas y la automatización adecuadas para que todo el equipo tenga acceso al proceso de respuesta, las acciones y la documentación histórica del ransomware.
Un proceso y una automatización bien definidos. Un proceso de respuesta a incidentes puede contener muchas tareas y múltiples puntos de decisión. Es conveniente alinear su proceso con las fases delineadas por NIST y SANS. Por ejemplo, puede organizar su proceso de RI según las siguientes fases:
- Descubrimiento e identificación
- Enriquecimiento y validación
- Contención y corrección
- Recuperación y comunicación
QRadar SOAR proporciona guía de estrategias para definir su proceso de RI y automatizar las muchas acciones que un analista debe realizar para avanzar rápidamente por las fases. QRadar SOAR Breach Response puede crear las tareas necesarias para informar a los organismos reguladores en función de la información personal expuesta.
Inventario de activos de TI, propietarios e información personal. Cuando un sistema está infectado, un analista de seguridad necesita saber quién es el propietario del sistema, así como conocer las aplicaciones y los datos. Las soluciones de gestión de activos como ServiceNow o SAP pueden ayudarle a gestionar los contactos de los sistemas. Por su parte, IBM® Security Discover and Classify puede ayudarle a encontrar orígenes de datos e información personal en cada origen. De este modo, en caso de una vulneración de datos, los analistas saben si hay alguna regulación implicada.
La ciudad de Los Ángeles, LA Cyber Lab e IBM unieron fuerzas para brindar inteligencia sobre amenazas y reforzar la seguridad de las empresas locales vulnerables.
La integración de datos, el análisis de registros y la priorización de incidencias ayudan a esta empresa vietnamita de inversión y desarrollo de bienes inmuebles a detectar y responder a amenazas.
Al alojar una solución QRadar SIEM en el almacenamiento IBM FlashSystem® de alto rendimiento, Data Action (DA) proporciona mayor seguridad para bancos alternativos.
La detección de amenazas desde el centro hasta el punto final con QRadar SIEM protege a su organización de varias maneras.
Incorpore las soluciones de búsqueda de ciberamenazas de IBM Security a su estrategia de seguridad para contrarrestar y mitigar las amenazas con mayor rapidez.
Integre paquetes de cumplimiento en QRadar SIEM para garantizar el cumplimiento y automatizar la generación de informes.
Detenga los ciberataques rápidamente con la detección de amenazas casi en tiempo real de QRadar SIEM.