La empresa de ciberseguridad, Sophos, ha publicado el informe «CryptoGuard: Un enfoque asimétrico en la lucha contra el ransomware«, donde aparecen algunos de los grupos de ransomware más prolíficos y activos, como Akira, ALPHV/BlackCat, LockBit, Royal y Black Basta. En estos ataques se utiliza el cifrado remoto, también conocido como ransomware remoto, en los que los ciberatacantes aprovechan un endpoint comprometido y, a menudo infraprotegido, para cifrar los datos de otros dispositivos conectados a la misma red.
Sophos CryptoGuard es la tecnología antiransomware que la compañía adquirió en 2015 y que se incluye en todas las licencias de Sophos Endpoint. CryptoGuard supervisa el cifrado malicioso de archivos y proporciona protección inmediata y funcionalidades de restitución, incluso cuando el propio ransomware no se inicia desde un host protegido. La exclusiva tecnología anti-ransomware es la última línea de defensa en la protección por capas de Sophos Endpoint, y sólo se activa si un ciberatacante la acciona en la cadena de ataque. CryptoGuard detectó un aumento interanual del 62% en los ataques de cifrado remoto intencional desde 2022.
«Las empresas pueden tener miles de ordenadores conectados a su red y, con el ransomware remoto, basta un dispositivo desprotegido para comprometer toda la red. La mayoría de las empresas tienen, al menos, uno y los atacantes lo saben, así que buscan ese ‘punto débil’. El cifrado remoto va a seguir siendo un problema perenne para los defensores y, según las alertas que hemos visto, este método de ataque está aumentando constantemente», afirma Mark Loman, vicepresidente de investigación de amenazas de Sophos y cocreador de CryptoGuard.
Dado que este tipo de ataque implica el cifrado de archivos de forma remota, los métodos tradicionales de protección contra ransomware desplegados en dispositivos remotos no ‘ven’ los archivos maliciosos ni su actividad, por lo que no consiguen protegerlos del cifrado no autorizado y la posible pérdida de datos. La tecnología CryptoGuard de Sophos, sin embargo, adopta un enfoque innovador para detener el ransomware remoto, como explica la investigación de Sophos X-Ops. Este enfoque se basa en analizar el contenido de los archivos para ver si se ha cifrado algún dato y así detectar la actividad del ransomware en cualquier dispositivo de una red, incluso si no hay malware en el dispositivo.
Estos ataques datan de 2013
En 2013, CryptoLocker fue el primer ransomware extendido en utilizar el cifrado remoto con cifrado asimétrico, también conocido como criptografía de clave pública. Desde entonces, los ciberatacantes han sido capaces de intensificar el uso del ransomware, debido a las continuas y omnipresentes brechas de seguridad en las empresas de todo el mundo y a la llegada de las criptomonedas.
«Cuando hace diez años nos dimos cuenta por primera vez de que CryptoLocker se aprovechaba del cifrado remoto, sospechamos que esta táctica se iba a convertir en un reto para los defensores. Otras soluciones se centran en detectar binarios maliciosos o su ejecución. En el caso del cifrado remoto, el malware y la ejecución residen en un ordenador distinto (desprotegido) del que tiene los archivos cifrados. La única forma de detenerlo es vigilando los archivos y protegiéndolos. Por eso, hemos evolucionado CryptoGuard», afirma Loman.
El vicepresidente de investigación de amenazas de Sophos y cocreador de CryptoGuard, añade también que «CryptoGuard no busca ransomware, sino que se centra en los objetivos principales: los archivos. Aplica un escrutinio matemático a los documentos, detectando signos de manipulación y cifrado. En particular, esta estrategia autónoma no depende deliberadamente de indicadores de violación, firmas de amenazas, inteligencia artificial, búsquedas en la nube o conocimientos previos para ser eficaz. Al centrarnos en los archivos, podemos cambiar el equilibrio de poder entre los ciberatacantes y los defensores. Aumentamos el coste y la complejidad para que los atacantes consigan cifrar los datos, de modo que abandonen sus objetivos. Esto forma parte de nuestra estrategia de defensa asimétrica».
«El ransomware remoto es un importante problema para las empresas, y está contribuyendo a la longevidad del ransomware en general. Dado que la lectura de datos a través de una conexión de red es más lenta que desde un disco local, hemos visto a atacantes, como LockBit y Akira, cifrar estratégicamente sólo una fracción de cada archivo. Este enfoque tiene como objetivo maximizar el impacto en un tiempo mínimo, reduciendo aún más la ventana para que los defensores se den cuenta del ataque y respondan. El enfoque de la tecnología antiransomware de Sophos detiene tanto los ataques remotos como los que cifran sólo el 3% de un archivo. Apostamos por informar a los defensores sobre este método de ataque persistente para que puedan proteger adecuadamente los dispositivos», explica Loman.