Blog de WatchGuard

Go to 

¿Qué es el ransomcloud?

06 mayo 2022 Por Manu Santamaria
Ransomcloud

Casi 3 de cada 4 empresas (71%) sufrieron algún tipo de incidente relacionado con el ransomware y al menos 12% se resolvieron con un pago de rescate, según admitieron los líderes encuestados por  Pulse  el año pasado. Esto prueba el negocio que supone para los ciberatacantes y el hecho de que estos estén continuamente poniendo a prueba la ciberseguridad de las organizaciones de todo tipo de sectores y bajo diferentes arquitecturas IT.

En este sentido, durante estos últimos años hemos observado muchos incidentes que han supuesto el cifrado de equipos on premise en empresas, administraciones públicas, colegios, hospitales y hasta en infraestructuras críticas como el oleoducto Colonial. Pero ahora también se dirigen a la información y aplicaciones que las empresas tienen en la nube: es lo que se conoce como ransomcloud

Con el ransomcloud, los hackers bloquean la información o el uso de las aplicaciones de la organización que se encuentran en la nube y después, también piden un rescate para poder recuperarlo. Para ello, utilizan múltiples técnicas y vectores de ataque.

  • Existe malware que ha sido específicamente diseñado para operar en la nube y que puede llegar a ser muy sofisticado: el año pasado explicamos en el blog cómo el grupo ruso APT-28 había estado utilizando la plataforma de contenedores en la nube Kubernetes para introducirse en las redes de instituciones gubernamentales y empresas. En otras ocasiones, también se sirven de botnets, ataques de scripts o inyecciones de código SQL.
  •  Técnicas de ataques más tradicionales que coinciden con las que utilizan para el ransomware en sistemas on premise, como son la ingeniería social mediante phishing para obtener las credenciales de acceso a esos servicios en la nube o el uso de credenciales que han conseguido en la Dark Web y son producto de una filtración previa. También aprovechan las posibilidades que han supuesto la ampliación del perímetro de ataque por el auge del trabajo en remoto: los equipos que se encuentran fuera de la oficina son generalmente más vulnerables y resultan un vector más sencillo para acceder a la nube de las organizaciones.

Para evitar los daños de este tipo de incidentes, conviene que los MSPs protejan los datos de sus clientes siguiendo las mismas prácticas y procedimientos que describió el Instituto Nacional de Estándares y Tecnología (NIST) con respecto al ransomware en general, pero adaptadas a las características de una arquitectura en la nube o híbrida. Es decir, las medidas de los MSPs deben tener siempre en consideración que los datos ya no están alojados en su totalidad en los servidores de la organización en sí y esto afecta a medidas imprescindibles como el cifrado de archivos mediante el uso de conexiones HTTPS y los back-ups actualizados constantemente para restaurar los archivos en caso de incidente: se recomiendan dos copias bajo tipos de almacenamiento distintos, lo que implicaría que no estuvieran en la nube y que idealmente uno de ellas fuera off-line

Pero todas estas medidas pueden resultar insuficientes si las organizaciones no cuentan además con tecnologías que permitan a los administradores extender su perímetro de seguridad a la nube de manera sencilla, con visibilidad de todos los conjuntos de datos y que estén combinadas con soluciones avanzadas de Protección, Detección y Respuesta en los endpoints (EPDR), de tal manera que puedan hacer frente a todo tipo de malware y actividad sospechosa por muy sofisticada que sea. De esta manera, los clientes de los MSPs podrán tener protegidos de amenazas toda su información, aplicaciones y servicios que hayan migrado a la nube.  

 

Comparte esto:

Archivado bajo: Privacidad de Datos y Cumplimiento, Medianas empresas, MSP, Modelos de Seguridad, Pequeña empresas, WatchGuard Firebox, Seguridad endpoint, Socios de canal, Protegiendo los Endpoints
< Blog Inicio

Posts relacionados

< Blog Inicio