El ransomware se ha convertido en uno de los modelos de negocio más importantes de la ciberdelincuencia, costando a las organizaciones miles de millones de dólares al año. En un ataque de ransomware, los ciberdelincuentes roban o cifran datos valiosos y luego exigen un pago para devolverlos a salvo. Estos ataques han pasado de ser una molestia a nivel del consumidor a convertirse en un sofisticado malware con avanzadas capacidades de cifrado, y ningún sector, zona geográfica o tamaño de empresa es inmune.
Proteger a su organización del ransomware y otros tipos de malware requiere una respuesta rápida, porque cada segundo que pasa se cifran más archivos y se infectan más dispositivos, lo que aumenta tanto los daños como los costos. IBM Security QRadar SIEM le ayuda a detectar estas amenazas rápidamente para que pueda tomar medidas informadas e inmediatas para evitar o minimizar los efectos del ataque.
Leer La guía definitiva del ransomware
Leer el informe sobre el costo de una filtración de datos 2022
En la batalla contra el ransomware, la detección y prevención tempranas son fundamentales. QRadar SIEM ofrece análisis de seguridad inteligentes que le proporcionan información procesable contra las amenazas críticas.
El 21 % de todos los ciberataques son ransomware¹.
El costo promedio de un ataque de ransomware es de 4.54 millones de USD.2
Se ha producido un aumento del 146 % en el ransomware para Linux con código nuevo.3
El ransomware, como la mayoría del malware, progresa a través de varias fases. QRadar SIEM puede detectar ransomware conocido y desconocido a lo largo de dichas fases. La detección temprana puede ayudar a prevenir los daños ocasionados en fases posteriores. QRadar proporciona extensiones de contenido que incluyen cientos de casos de uso para generar alertas a través de estas fases. Las extensiones de contenido se entregan a través de la aplicación Exchange y ofrecen la posibilidad de obtener los casos de uso más recientes. Las colecciones de IBM Security® X-Force® Threat Intelligence se utilizan como referencia en los casos de uso para ayudar a encontrar los últimos indicadores de compromiso (IOC) conocidos, como direcciones IP, hashes de archivos de malware, URL y mucho más.
La mayoría del malware y ransomware “conocidos” pueden encontrarse en las fases iniciales. Para detectar ransomware desconocido, QRadar SIEM proporciona casos de uso que se enfocan en detectar comportamientos de ransomware. La visibilidad a través de puntos finales, servidores de aplicaciones (en las instalaciones y en la nube) y dispositivos de red (firewalls) permite al Use Case Manager de QRadar SIEM detectar patrones de comportamiento de ransomware que abarcan su infraestructura de TI y OT. El Case Manager puede ayudarle a visualizar si tiene casos de uso, o reglas, que abarquen estas fases utilizando la matriz de MITRE ATT&CK.
El ransomware se parece a otros programas de malware durante esta fase. Utiliza técnicas de phishing para atraer a sus empleados desprevenidos para que hagan clic en un enlace o ejecutable en un correo electrónico, Honeypot, redes sociales o mensaje de texto.
Ejemplos de casos de uso de QRadar SIEM para encontrar comportamientos de distribución y ransomware conocidos:
- Ejecutable integrado en el correo electrónico
- Comunicación por correo electrónico o web con el host agresor
- Asunto de correo electrónico sospechoso
Este es el momento en que comienza a correr el cronómetro. El ransomware está ahora en su entorno. Si el ransomware utilizó un “dropper” para evitar la detección en la fase de distribución, es en este momento cuando el dropper llama a casa y descarga el “ejecutable real” y lo ejecuta.
Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de infección:
- Detección de archivo o proceso malicioso
- Detección de IOC malicioso
- Descodificación o descarga de archivos seguida de actividad sospechosa
El ransomware está escaneando la máquina para analizar los derechos administrativos que podría obtener, hacer ejecutar en el arranque, desactivar el modo de recuperación, borrar las copias ocultas y mucho más.
Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de almacenamiento temporal:
- Intento de eliminar copias ocultas, respaldos
- Recuperación desactivada en la configuración de arranque
Ahora que el ransomware es dueño de la máquina desde la fase inicial, comenzará una fase de reconocimiento de la red (rutas de ataque), carpetas y archivos con extensiones predefinidas, entre otros.
Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de reconocimiento:
- Intento de eliminar copias ocultas, respaldos
- Límites de tamaño de transferencia de datos
El verdadero daño comienza ahora. Las acciones típicas incluyen crear una copia de cada archivo, cifrar las copias, colocar los nuevos archivos en la ubicación original. Los archivos originales pueden ser exfiltrados y borrados del sistema, lo que permite a los atacantes extorsionar a la víctima con amenazas de hacer pública su infracción, o incluso filtrar los documentos robados.
Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de cifrado:
- Eliminación o creación excesiva de archivos
- Cantidad sospechosa de archivos renombrados o movidos en la misma máquina (UNIX)
- Límites de tamaño de transferencia de datos
El daño está hecho y el usuario recibe una notificación sobre cómo pagar el rescate para obtener la clave de descifrado. En este punto no hay mucho más que detectar, salvo la creación del archivo de instrucciones de descifrado.
Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de notificación de rescate:
- Creación de instrucciones de descifrado de ransomware
Los casos de uso para encontrar ransomware están disponibles en las siguientes extensiones de contenido que se encuentran en la aplicación Exchange (enlace externo a ibm.com):
- IBM QRadar Phishing and Email Content Extension (enlace externo a ibm.com)
- IBM QRadar Security Threat Monitoring Content (enlace externo a ibm.com)
- IBM QRadar Endpoint Content Extension (enlace externo a ibm.com)
Después de la fase inicial de infección, el tiempo es fundamental. Cuanto antes lo detecte, antes podrá iniciar su plan de respuesta a incidentes (IR). Cuanto mejor sea el plan de IR, más rápido podrá impedir que el ransomware avance por las fases. El NIST (enlace externo a ibm.com) y el SANS (enlace externo a ibm.com) cuentan con pautas de IR que han resistido la prueba del tiempo. Existen algunos aspectos clave en cualquier plan de IR.
Respaldos en su sitio. Los respaldos fuera de línea son fundamentales durante un ataque de ransomware. Asegúrese de saber dónde están esos respaldos y cómo restaurar sus sistemas. Incluya en su proceso de IR los pasos sobre a quién contactar para cada uno de sus activos informáticos críticos.
Equipos, herramientas y roles identificados. A medida que el ransonware avanza por sus distintas fases, desde la infección inicial hasta el cifrado, la composición del equipo de respuesta cambia. Esto suele significar que más personas de toda la organización deben implicarse. A menudo, eso puede incluir el uso de servicios de terceros para ayudar o, en el caso de una infracción, puede significar ponerse en contacto con el departamento legal, los reguladores externos y los clientes. Saber con quién ponerse en contacto y cuándo es fundamental. Mantener una lista de contactos actualizada es importante, pero integrar esas funciones de contacto en su proceso es vital para una respuesta eficaz. El papel y los PDF son adecuados, pero es clave disponer de las herramientas adecuadas y de una automatización que proporcione a todo el equipo acceso al proceso de respuesta al ransomware, a las acciones y a la documentación histórica.
Un proceso bien definido y automatización. Un proceso de IR puede contener muchas tareas y puede incluir múltiples puntos de decisión. Es una buena práctica alinear su proceso con las fases descritas por el NIST y SANS. Por ejemplo, puede organizar su proceso de IR según las siguientes fases:
- Descubrimiento e identificación
- Enriquecimiento y validación
- Contención y corrección
- Recuperación y comunicación
QRadar SOAR proporciona manuales de estrategias para definir su proceso de IR y automatizar las numerosas acciones que un analista puede necesitar ejecutar para avanzar rápidamente por las fases. La respuesta ante infracciones de QRadar SOAR puede crear las tareas de elaboración de informes necesarias para el regulador en función de la PI expuesta.
Inventario de activos de TI, propietarios, PI. Cuando se infecta un sistema, un analista de seguridad necesita conocer al propietario del sistema y las aplicaciones y datos. Las soluciones de gestión de activos como ServiceNow o SAP pueden ayudar a gestionar los contactos de los sistemas. IBM Security® Discover and Classify puede ayudar a encontrar fuentes de datos y PI en cada fuente. Así, en caso de que se produzca una filtración de datos, los analistas sabrán si hay alguna normativa implicada.
La ciudad de Los Ángeles, LA Cyber Lab e IBM unieron fuerzas para ofrecer inteligencia sobre amenazas y reforzar a las empresas locales más vulnerables.
Integrar los datos, analizar los registros y priorizar los incidentes ayuda a la empresa de inversión y desarrollo inmobiliario de Vietnam a detectar y responder a las amenazas.
Al alojar una solución QRadar SIEM en el almacenamiento de alto rendimiento IBM FlashSystem®, Data Action (DA) ofrece una seguridad mejorada a los bancos alternativos.
La detección de amenazas desde el centro hasta el punto final con QRadar SIEM protege a su organización de varias maneras.
Incorpore las soluciones de búsqueda de amenazas cibernéticas de IBM Security en su estrategia de seguridad para combatir y mitigar las amenazas más rápidamente.
Integre paquetes de cumplimiento normativo en QRadar SIEM para garantizar el cumplimiento normativo y automatizar la generación de informes.
Detenga los ciberataques rápidamente con la detección de amenazas casi en tiempo real de QRadar SIEM.