Los atacantes aumentan su uso de ransomware remoto un 62 % anualmente, según los ataques detectados y detenidos por la tecnología CryptoGuard de Sophos

OXFORD, U.K. — Diciembre 20, 2023 —

Sophos, líder mundial en innovación y prestación de ciberseguridad como servicio, publicó hoy un informe titulado “CryptoGuard: An Ametric Approach to the Ransomware Battle”, en el cual encontró que algunos de los programas más prolíficos y los grupos de ransomware activos, incluidos Akira, ALPHV/BlackCat ,LockBit ,Royal, Black Basta, están activando deliberadamente el cifrado remoto para sus ataques. En los ataques de cifrado remoto, también conocidos como ransomware remoto, los adversarios aprovechan un punto final comprometido y a menudo desprotegido para cifrar datos en otros dispositivos conectados a la misma red.

Sophos CryptoGuard es la tecnología anti-ransomware que Sophos adquirió en 2015* y está incluida en todas las licencias de Sophos Endpoint. CryptoGuard monitorea el cifrado malicioso de archivos y brinda protección inmediata y capacidades de reversión, incluso cuando el ransomware nunca aparece en un host protegido. La exclusiva tecnología anti-ransomware es una última línea de defensa en la protección de endpoints por capas de Sophos, y solo se activa si un adversario la activa más adelante en la cadena de ataque. CryptoGuard detectó un aumento interanual del 62% en ataques de cifrado remoto intencionales desde 2022.

“Las empresas pueden tener miles de computadoras conectadas a su red y, con el ransomware remoto, todo lo que se necesita es un dispositivo desprotegido para comprometer toda la red. Los atacantes lo saben, por lo que buscan ese “punto débil”, y la mayoría de las empresas tienen al menos uno. El cifrado remoto seguirá siendo un problema constante para los defensores y, según las alertas que hemos visto, el método de ataque está aumentando constantemente”, afirmó Mark Loman, vicepresidente de investigación de amenazas de Sophos y cocreador de CryptoGuard. 

Dado que este tipo de ataque implica cifrar archivos de forma remota, los métodos tradicionales de protección anti-ransomware implementados en dispositivos remotos no "ven" los archivos maliciosos ni su actividad, y no los protegen del cifrado no autorizado y la posible pérdida de datos. Sin embargo, la tecnología Sophos CryptoGuard adopta un enfoque innovador para detener el ransomware remoto, como se explica en el artículo de Sophos X-Ops: analizar el contenido de los archivos para ver si algún dato se cifró para detectar la actividad del ransomware en cualquier dispositivo de una red, incluso si no hay malware en el dispositivo.

En 2013, CryptoLocker fue el primer ransomware prolífico que utilizó cifrado remoto con cifrado asimétrico, también conocido como criptografía de clave pública. Desde entonces, los adversarios han podido intensificar el uso de ransomware, debido a las continuas y omnipresentes brechas de seguridad en organizaciones de todo el mundo y la llegada de las criptomonedas.

“Cuando notamos por primera vez que CryptoLocker aprovechaba el cifrado remoto hace diez años, previmos que esta táctica se convertiría en un desafío para los defensores. Otras soluciones se centran en detectar binarios maliciosos o su ejecución. En el caso del cifrado remoto, el malware y la ejecución residen en una computadora diferente (desprotegida) a la que tiene los archivos cifrados. La única forma de detenerlo es observar los archivos y protegerlos. Por eso innovamos en CryptoGuard”, dijo Loman.

“CryptoGuard no busca ransomware; en cambio, se concentra en los objetivos principales: los archivos. Aplica un escrutinio matemático de los documentos, detectando signos de manipulación y cifrado. En particular, esta estrategia autónoma no depende deliberadamente de indicadores de infracción, firmas de amenazas, inteligencia artificial, búsquedas en la nube o conocimientos previos para ser efectiva. Al centrarnos en los archivos, podemos cambiar el equilibrio de poder entre los atacantes y los defensores. Estamos aumentando el costo y la complejidad para que los atacantes cifren los datos con éxito, de modo que abandonen sus objetivos. Esto es parte de nuestra estrategia de enfoque de defensa asimétrica.

“El ransomware remoto es un problema importante para las organizaciones y contribuye a la longevidad del ransomware en general. Dado que la lectura de datos a través de una conexión de red es más lenta que desde un disco local, hemos visto a atacantes, como LockBit y Akira, cifrar estratégicamente solo una fracción de cada archivo. Este enfoque tiene como objetivo maximizar el impacto en un tiempo mínimo, reduciendo aún más la ventana para que los defensores noten el ataque y respondan. El enfoque de Sophos hacia la tecnología anti-ransomware detiene tanto los ataques remotos como aquellos que cifran sólo el 3% de un archivo. Esperamos informar a los defensores sobre este método de ataque persistente, para que puedan proteger adecuadamente los dispositivos”.

Para obtener más información, lea "CryptoGuard: un enfoque asimétrico para la batalla contra el ransomware" en Sophos.com.

*Nota editorial

  • Como parte de HitmanPro, CryptoGuard fue desarrollado originalmente por SurfRight, con sede en los Países Bajos
  • Sophos adquirió SurfRight en diciembre de 2015
  • Sophos integró HitmanPro en la protección de endpoints de Sophos Intercept X en 2016

Acerca de Sophos

Sophos es una empresa innovadora y líder global de soluciones de seguridad avanzadas para combatir los ciberataques, entre las que se incluyen servicios de detección y respuesta gestionadas (MDR) y de respuesta a incidentes y un amplio catálogo de tecnologías para la protección de endpoints, redes, el correo electrónico y la nube. Como uno de los mayores proveedores especializados en ciberseguridad, Sophos protege a más de 600 000 organizaciones y a más de 100 millones de usuarios de todo el mundo frente a adversarios activos, ransomware, phishing, malware y mucho más. Los servicios y productos de Sophos se conectan a través de la consola de administración de Sophos Central y utilizan Sophos X-Ops, la unidad de información sobre amenazas multidominio de la empresa. La información de Sophos X-Ops optimiza todo el Sophos Adaptive Cybersecurity Ecosystem, que incluye un lago de datos centralizado que se sirve de un completo conjunto de API abiertas disponibles para clientes, partners, desarrolladores y otros proveedores de ciberseguridad y de tecnología de la información. Para las organizaciones que necesitan soluciones de seguridad totalmente gestionadas, Sophos ofrece la ciberseguridad como servicio. Aunque los clientes también pueden gestionar su ciberseguridad directamente mediante la plataforma de operaciones de seguridad de Sophos o utilizar un enfoque híbrido reforzando sus equipos internos con los servicios de Sophos, que incluyen la búsqueda y remediación de amenazas. Sophos vende a través de partners distribuidores y proveedores de servicios gestionados (MSP) en todo el mundo. Sophos tiene su sede en Oxford, Reino Unido. Encontrará más información en es.sophos.com.