Cómo defenderse del ransomware Ryuk

Credit to Author: Sophos Iberia| Date: Tue, 08 Oct 2019 13:36:40 +0000

En las últimas semanas, SophosLabs ha visto un aumento significativo del ransomware Ryuk. Esta amenaza particularmente desagradable se propaga a través de un ataque sofisticado de múltiples etapas, paralizando a las organizaciones y dejándolas como rehenes de rescates devastadores.

Para entender cómo detener a Ryuk, es útil saber cómo se desarrollan los ataques.

Los ciberdelincuentes detrás de Ryuk son adversarios activos que combinan técnicas avanzadas de ataque con piratería interactiva y práctica para aumentar su tasa de éxito.

Por lo general, se dirigen a organizaciones que no se pueden permitir ningún tiempo de inactividad, como periódicos, municipios y servicios públicos, para aumentar la probabilidad de pago. Y hablando de pagos, son grandes. A menudo, sumas de 6 cifras a pagar en Bitcoins.

Los ataques de Ryuk son complejos. Con frecuencia comienzan con un ataque Emotet o TrickBot, distribuido a través de archivos adjuntos maliciosos en correos electrónicos no deseados, que permite a los ciberdelincuentes acceder a su red.

Una vez allí, roban credenciales y crean un nuevo usuario administrador. Con sus privilegios de administrador escalados, los piratas informáticos pueden moverse por su red, examinar su Active Directory y eliminar sus copias de seguridad.

Después de eliminar su red de seguridad, intentan deshabilitar sus productos de seguridad informática antes de lanzar finalmente el ransomware Ryuk, cifrar sus archivos y exigir enormes pagos de rescate.

Parar Ryuk con Sophos Intercept X Advanced

Defenderse de Ryuk no se trata solo de deshabilitar un software, se trata de detener a un adversario activo e interrumpir la cadena de ataque que los coloca en una posición para ejecutar Ryuk. Sophos Intercept X Advanced incluye una gama de tecnologías para detectar e interrumpir diferentes etapas del ataque, que incluyen:

  • Detectar y bloquear las técnicas de explotación utilizadas para descargar e instalar Emotet y Trickbot (a menudo a través de PowerShell o WMI), evitando que los piratas informáticos entren en su red.
  • Bloqueando el movimiento lateral a través de su red trabajando en tiempo real con Sophos XG Firewall.
  • Prevenir el robo de credenciales, deteniendo así el acceso no autorizado a sus sistemas y la escalada de privilegios de administrador.
  • Detener la ejecución del ransomware examinando su “ADN” con nuestra red neuronal de aprendizaje profundo.
  • Detectar y deshacer el cifrado no autorizado de archivos a través de las capacidades de CryptoGuard

En el siguiente vídeo puede ver las capacidades de CryptoGuard en Intercept X para revertir el ransomware Ryuk.

Pruebe usted mismo la protección anti-ransomware de Intercept X con una prueba gratuita de 30 días.

Su equipo especializado de cazadores de amenazas y expertos en respuesta

Si bien muchas cepas de ransomware se distribuyen a través de campañas de spam a gran escala, Ryuk utiliza medios automatizados para obtener un punto de entrada inicial, luego emplea el ingenio humano para evadir la detección. En otras palabras, hay un humano detrás del ataque cuyo objetivo es eludir o manipular los controles de seguridad existentes.

Para ataques de adversos activos como estos, tener un equipo dedicado de cazadores de amenazas y expertos en respuesta puede marcar la diferencia. El equipo de Sophos Managed Threat Response caza, detecta y responde de manera proactiva a los ataques en tiempo real para neutralizar el ransomware y otras amenazas avanzadas antes de que puedan comprometer sus datos. Obtenga más información sobre Sophos MTR hoy.

Las mejores prácticas para detener el ransomware

Independientemente del tamaño de su empresa y de la industria en la que se encuentre, le recomendamos que siga estas mejores prácticas para minimizar el riesgo de ser víctima de un ataque de ransomware:

  • Educar a sus usuarios. Enséñeles sobre la importancia de las contraseñas seguras y despliegue la autenticación de dos factores siempre que pueda.
  • Proteger los derechos de acceso. Otorgue a los usuarios y administradores solo los derechos de acceso que necesitan y nada más.
  • Realice copias de seguridad periódicas y manténgalas fuera del sitio donde los atacantes no puedan encontrarlas. Podrían ser su última línea de defensa contra una demanda de rescate de seis cifras.
  • Actualice rápido, actualice a menudo. Ransomware como WannaCry y NotPetya se basaron en vulnerabilidades sin parches para extenderse por todo el mundo.
  • Bloquee su RDP. Desactive RDP si no lo necesita, y use limitación de velocidad, 2FA o una VPN si lo necesita.
  • Asegúrese de que la protección contra manipulaciones esté habilitada. Ryuk y otros ransomware intentan desactivar su protección de punto final. La protección contra manipulaciones está diseñada para evitar que esto suceda.
  • Eduque a su equipo sobre phishing. El phishing es uno de los principales mecanismos de distribución de ransomware.
  • Utilice protección anti-ransomware. Sophos Intercept X y XG Firewall están diseñados para trabajar de la mano para combatir el ransomware y sus efectos. Sophos Managed Threat Response (MTR) proporciona un equipo de cazadores de amenazas que cazan, detectan y neutralizan proactivamente los ataques que requieren intervención humana.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

http://feeds.feedburner.com/sophos/dgdY

Leave a Reply