Una respuesta rápida a los incidentes minimiza los daños del ataque y reduce el tiempo de recuperación

Sophos Rapid Response ha detectado el uso por primera vez del ‘dropper’ de malware Buer por parte de los cibercriminales para lanzar ataques de ransomware en una nueva oleada de Ryuk

Madrid — Octubre 29, 2020 —

Sophos, líder global en soluciones de ciberseguridad de última generación, anuncia el lanzamiento de Sophos Rapid Response, un servicio de repuesta remota frente a incidentes que identifica y neutraliza los ataques de ciberseguridad activos. Sophos Rapid Response ofrece a las empresas un equipo dedicado 24/7 y formado por servicios de respuesta frente a incidentes, buscadores de amenazas y analistas para detener rápidamente los ataques avanzados y eliminar a los adversarios de sus redes, minimizando el daño que puedan ocasionar y los costes, además de reducir el tiempo de recuperación.

Sophos Rapid Response ha identificado el primer uso conocido del ‘dropper’ de malware Buer como mecanismo para distribuir ataques de ransomware. En una nueva investigación denominadada “Hacks for Sale: Inside Buer Loader’s Malware-as-a-Service” publicada por Sophos Rapid Response y SophosLabs, detallan como Buer compromete los ordenadores Windows, permitiendo a los ciberatacantes liberar su payload (carga ejecutable). Sophos Rapid Response ha realizado este descubrimiento mientras hacían frente a un reciente ataque de ransomware Ruyk, que fue detectado y detenido como parte de una ola de ataques de Ryuk que utilizaban nuevas herramientas, técnicas y procedimientos. En este incidente, los atacantes usaron de forma insistente una nueva variante de Buer en un intento de lanzar un ataque de ransomware Ryuk, previamente aumentando esfuerzos al combinar el uso de Buer con otro tipo de loaders (cargadores) de malware.

“Cuando sufres un ataque, el tiempo es esencial. Cada minuto entre la vulneración inicial y la neutralización cuenta, del mismo modo en que los ciberatacantes actúan a toda velocidad durante el ciclo de vida del ataque” afirma Joe Levy, CTO de Sophos. “Los ataques avanzados pueden detener rápidamente las operaciones empresariales. Los responsables de TI que han sufrido un ataque de ransomware en primera persona lo saben bien. Es por eso por lo que las víctimas de ransomware destacan la necesidad de dedicar proporcionalmente más tiempo a la respuesta frente a incidentes y menos tiempo a la prevención frente a amenazas, en comparación con aquellos responsables de TI que no han sido víctimas de un ataque de ransomware. Sophos Rapid Response interrumpe los ataques activos, eliminando el proceso largo y complejo para frenar determinados ataques, para que las empresas pueda volver a operar con normalidad más rápido”.

Sophos Rapid Response neutraliza una gran variedad de incidentes de seguridad entre los que se incluyen el ransomware, las violaciones de seguridad de la red, atacantes “hands-on keyboard”, entre otros. El equipo de Sophos Rapid Response puede integrarse y activarse en cuestión de horas, y la mayoría de los ataques son clasificados en menos de 48 horas.

“Este año, los devastadores ataques de ransomware han supuesto, desafortunadamente, una especie de “fiebre del oro” para los cibercriminales, generando una situación que no se parece a nada que el sector de la ciberseguridad haya experimentado antes. Casi del 85% de los ciberataques en los que Sophos Rapid Response ha estado involucrado hasta ahora incluyen ataques de ransomware, en particular de ransomware RyukRevil y Maze, y puedo afirmar con seguridad que la mayoría del resto de los ataques en los que nos solicitaron su detención habrían terminado siendo de ransomware si no los hubiéramos detenido tan rápido”, declara Peter Mackenzie, responsable de respuesta ante incidentes de Sophos. “Las herramientas de fácil acceso  permiten que los atacantes reciban más dinero en una semana de trabajo que la mayoría de la gente en toda su vida. Los criminales se infiltran en las redes y planean sigilosamente sus ataques en un segundo plano antes de lanzar estratégicamente el ataque de ransomware como payload final, aprovechando a menudo las horas de la noche, cuando nadie está vigilando, para ejecutar el ransomware en el mayor número de dispositivos posibles. Sophos Rapid Response toma medidas inmediatas para extinguir el fuego que, en el caso por ejemplo de un hospital como el que ayudamos este mismo mes tras sufrir un ataque del ransomware Ryuk y ser obligado a cerrar, significó la diferencia entre la vida y la muerte”.

Sophos Rapid Response forma parte de Sophos Managed Threat Response (MTR), un equipo internacional que ofrece servicios proactivos y completamente gestionados para la búsqueda, detección y respuesta ante amenazas. Como uno de los servicios de detección y respuesta administrados (MDR) más utilizados en la industria, con más de 1.400 clientes, Sophos MTR se distingue por su capacidad de tomar medidas proactivas en nombre de una empresa para mitigar las amenazas en tiempo real.

Una vez que las amenazas inmediatas son neutralizadas durante una intervención de respuesta rápida, el programa de Sophos Rapid Response cambia a un modelo de monitorización continua con búsqueda, investigación, detección y respuesta proactiva ante amenazas llevada a cabo por el equipo de MTR de Sophos durante las 24 horas del día. Un informe de investigación de amenazas detalla los descubrimientos realizados, las acciones tomadas y otras recomendaciones de reparación, ayudando a las empresas a entender el origen del ataque, así como los activos que se han visto comprometidos y los datos a los que se ha accedido y han sido sustraídos.

Sophos Rapid Response está ya disponible tanto para los actuales clientes de Sophos como para los no clientes. A diferencia de los servicios forenses y de respuesta ante incidentes tradicionales que requieren despliegues complejos y prolongados con estructuras de precios por hora, Sophos Rapid Response es una oferta de gestión remota con un modelo de precios fijos basado en el número de usuarios y servidores que tiene la empresa. Sophos Rapid Response también está estructurado para dar servicio a empresas de todos los tamaños, incluidas las pequeñas empresas, las cuáles no han podido hasta ahora impulsar fácilmente un servicio como éste sin necesidad de un retainer.

Lo que dicen los partners de canal:

“Los ciberataques se están volviendo más peligrosos y sofisticados. Tal y como hemos visto este año, nadie está fuera de la zona de peligro incluso en tiempos de crisis. Las empresas necesitan prepararse, ya que más del 85% de los profesionales de seguridad suelen afirmar a IDC que han experimentado al menos una brecha de seguridad durante los últimos dos años que implicó el desembolso de recursos importantes para rectificar”, afirma Frank Dickson, vicepresidente del programa de IDC. “Sophos Rapid Response es un servicio que nadie quiere hasta que lo necesita. Muchas empresas simplemente no están preparadas para luchar contra un ataque activo o quieren responder más rápido y agresivamente de lo que sus propios recursos internos les permiten. Con un precio fijo y predecible y con la posibilidad de activación en el mismo día, Sophos Rapid Response proporciona certeza cuando los clientes más la necesitan”.

“Una organización benéfica que proporciona vivienda y servicios de apoyo a miles de adultos vulnerables fue víctima de un ataque de ransomware que tumbó sus operaciones en sus más de 40 instalaciones. La organización nos pidió ayuda y rápidamente desplegamos Sophos Rapid Response. Trabajando junto a Sophos Rapid Response pudimos conseguir que volvieran a funcionar rápidamente, y ellos pudieron seguir sirviendo a los más necesitados” explica Steve Weeks, presidente de Netcetera. “Los clientes de Netcetera que ya están ejecutando la suite de seguridad de última generación de Sophos están bien protegidos, y no hemos visto ningún incidente de ransomware en nuestra base de clientes gestionados en muchos años. Cuando recibimos una solicitud de ayuda por parte de alguno de nuestros clientes, siempre proponemos Sophos Rapid Response. Su equipo de gran capacidad de respuesta es muy sólido en su habilidad para trabajar con nosotros y en mantener a las empresas fuera de la zona de peligro, además de ayudarnos a cerrar nuevas oportunidades de negocio”.

“Sophos Rapid Response complementa perfectamente nuestros actuales servicios internos de respuesta ante incidentes, mejorando nuestra capacidad de proporcionar planes de preparación proactiva y apoyo inmediato en los peores escenarios. No sólo estamos vendiendo un servicio transaccional, con Sophos Rapid Response estamos solucionando problemas de larga duración y previniendo que vuelvan a ocurrir” valora Jeremy Weiss, Jefe de Prácticas de Ciberseguridad en CDW. “He visto en primera persona como el equipo de Sophos Rapid Response es capaz de suprimir todo el ruido para remediar rápidamente incidentes de seguridad en cuestión de horas, y los comentarios de los clientes no han sido más que excepcionales. Sophos Rapid Response es una oferta instrumental que eleva la postura de seguridad de nuestros clientes al siguiente nivel”.

Cuando un empresa sufre una brecha de seguridad, el tiempo corre en contra y es necesaria una solución rápida. Sophos Rapid Response surge como una solución gestionada para que se pueda actuar con celeridad en esos momentos críticos. Sophos Iberia realizará el próximo viernes 30 de octubre a las 10:30 horas, un webinar de presentación de Sophos Rapid Response en el que los expertos de ciberseguridad de Sophos explicarán cómo funciona este servicio y mostrarán algún ejemplo práctico de empresas que se libraron de un ciberataque grancias a Sophos Rapid Response.

Para más información:

 

Recursos adicionales:

Acerca de Sophos

Sophos es una empresa innovadora y líder global de soluciones de seguridad avanzadas para combatir los ciberataques, entre las que se incluyen servicios de detección y respuesta gestionadas (MDR) y de respuesta a incidentes y un amplio catálogo de tecnologías para la protección de endpoints, redes, el correo electrónico y la nube. Como uno de los mayores proveedores especializados en ciberseguridad, Sophos protege a más de 600 000 organizaciones y a más de 100 millones de usuarios de todo el mundo frente a adversarios activos, ransomware, phishing, malware y mucho más. Los servicios y productos de Sophos se conectan a través de la consola de administración de Sophos Central y utilizan Sophos X-Ops, la unidad de información sobre amenazas multidominio de la empresa. La información de Sophos X-Ops optimiza todo el Sophos Adaptive Cybersecurity Ecosystem, que incluye un lago de datos centralizado que se sirve de un completo conjunto de API abiertas disponibles para clientes, partners, desarrolladores y otros proveedores de ciberseguridad y de tecnología de la información. Para las organizaciones que necesitan soluciones de seguridad totalmente gestionadas, Sophos ofrece la ciberseguridad como servicio. Aunque los clientes también pueden gestionar su ciberseguridad directamente mediante la plataforma de operaciones de seguridad de Sophos o utilizar un enfoque híbrido reforzando sus equipos internos con los servicios de Sophos, que incluyen la búsqueda y remediación de amenazas. Sophos vende a través de partners distribuidores y proveedores de servicios gestionados (MSP) en todo el mundo. Sophos tiene su sede en Oxford, Reino Unido. Encontrará más información en es.sophos.com.