2. LAEVOLUCIÓNDELRANSOMWAREYLASTENDENCIASACTUALES
UN VIEJO ESQUEMA
MONETIZACIÓN
MÁS FÁCIL PERO AÚN COMPLICADO
LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE
DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS
ESTUDIODECASO
ELRANSOMWAREDARKSIDE
ALTERAELFUNCIONAMIENTO
DECOLONIALPIPELINE
Productos CrowdStrike
No hay duda de que el ransomware continúa siendo una amenaza creciente. De hecho,
los adversarios de ransomware que proliferaron en el 2020 continúan tan decididos
como siempre, lo que se ha visto evidenciado por la introducción de tácticas, técnicas y
procedimientos (TTPs, por sus siglas en inglés) cada vez más dañinos y que fueron
presentados a detalle en el Informe Global de Amenazas de CrowdStrike 2021. Los
ataques globales de alto perfil a los sectores público y privado muestran sólo una
pequeña imagen de una industria cibercriminal que es mucho más amplia, especialmente
porque no todos los ataques de ransomware acaban siendo noticia. En efecto, en la
Encuesta de CrowdStrike sobre la Postura de Seguridad a Nivel Global 2020, el 56%
de los encuestados admitió que su organización había sufrido un ataque de ransomware
en los 12 meses anteriores.
Este documento explica la evolución del ransomware por medio del análisis de las nuevas
tendencias en las amenazas de extorsión en línea, ofreciendo consejos prescriptivos
sobre cómo proteger y asegurar su organización contra este tipo de ataque.
El ransomware ha sido titular de noticias constantemente en los últimos seis años.
No obstante, tomar computadores o archivos de los usuarios como rehenes, por
medio de la encriptación de archivos, dificultando el acceso al sistema u otros
métodos - y luego exigiendo un rescate para devolverlos - es una idea bastante
antigua. A finales de la década de 1980, los delincuentes ya tomaban computadoras
o archivos como rehenes a cambio de dinero enviado a través del correo.
Uno de los primeros virus ransomware documentados fue el troyano AIDS (PC
Cyborg Virus), lanzado en disquete en 1989. Las víctimas debían enviar $189 dólares
a una dirección en Panamá para restaurar el acceso a sus sistemas, a pesar de que
era un simple virus que utilizaba criptografía simétrica.
Un ataque de ransomware interrum-
pió el funcionamiento de Colonial
Pipeline en mayo de 2021 -el
oleoducto transporta casi la mitad de
todo el combustible que se consume
en la costa este de Estados Unidos-,
reflejando la fragilidad de las
infraestructuras más importantes y la
magnitud de los problemas a los que
se enfrentan los líderes del sector
público y privado encargados de
protegerlas.
El 10 de mayo, el FBI señaló pública-
mente que el incidente de Colonial
Pipeline estuvo relacionado con el
ransomware DarkSide. Más tarde, se
informó que Colonial Pipeline sufrió
el robo de aproximadamente 100 GB
de datos de su red y que la organiza-
ción afirmó haber pagado casi 5
millones de dólares a una filial de
DarkSide. Según Reuters, "El
Departamento de Justicia recuperó
el lunes alrededor de $2,3 millones
de dólares de un rescate en
criptomonedas pagado por Colonial
Pipeline Co, tomando fuertes
medidas contra los hackers que
lanzaron uno de los ciber ataques
más disruptivos registrados en
Estados Unidos " (7 de junio de 2021).
DarkSide está asociado a un grupo
criminal rastreado por CrowdStrike
Intelligence como CARBON SPIDER.
Investigadores de seguridad, clientes
y cualquier otra persona interesada
en saber más sobre las estrategias
técnicas, los sectores atacados y el
origen de CARBON SPIDER pueden
explorar el Universo Adversario de
CrowdStrike para más información
de inteligencia sobre este adversario
rastreado y muchos otros.
A pesar de su larga historia, los ataques de ransomware todavía no estaban tan
extendidos en la década de 2000 - probablemente debido a las dificultades en el
cobro de los pagos. No obstante, todo esto cambió con el surgimiento de las
criptomonedas, tales como el Bitcoin en el 2010. Al proporcionar un método fácil e
imposible de rastrear para recibir el pago de las víctimas, las monedas virtuales
crearon la oportunidad para que el ransomware se volviera un negocio lucrativo.
El eCrime — una amplia categoría de actividad maliciosa que incluye todo tipo de
ciberataques, incluyendo malware, troyanos bancarios, ransomware, mineware
(cryptojacking) y crimeware — aprovechó la oportunidad de monetización creada por
el Bitcoin. Esto dio lugar a una proliferación sustancial del ransomware a partir del
2012. Sin embargo, este modelo de negocio de ransomware sigue siendo imperfecto.
Si bien los pagos de Bitcoin son transacciones que los delincuentes pueden utilizar
fácilmente, los blancos de sus ataques, que no son expertos en tecnología, no siempre
pueden navegar por ellos de manera simple. Para garantizar el pago, algunos
delincuentes han llegado a abrir call centers para brindar soporte técnico y ayudar a
las víctimas a inscribirse en Bitcoin - pero esto lleva tiempo y cuesta dinero.
3. ELCAZAMAYOR
MODELO DE AMENAZA DEL CAZA MAYOR
Vector de Infección Inicial Despliegue del Rescate Rescate Bitcoin
Movimiento Lateral
Para optimizar sus esfuerzos, los operadores del eCrime decidieron pasar del estilo de ataques
de "disparar a diestra y siniestra", que dominaban el espacio del ransomware, a centrarse en una
"caza mayor" (BGH, por sus siglas en inglés). El BGH combina el ransomware con las tácticas,
técnicas y procedimientos (TTPs) comunes en los ataques dirigidos a organizaciones más
grandes. En vez de lanzar una mayor cantidad de ataques de ransomware contra blancos
menores, el objetivo del BGH es centrar los esfuerzos en menos víctimas que puedan producir un
mayor beneficio financiero - aquellas que valgan el tiempo y el esfuerzo de los criminales.
Esta transición ha sido tan pronunciada que, en el Informe Global de Amenazas de CrowdStrike®
del 2020 y 2021, el BGH fue señalado como una de las tendencias más destacadas en el ecosis-
tema del eCrime. Este cambio tectónico hacia los ataques de caza mayor se ha sentido en todo el
ecosistema del eCrime, siendo que la extorsión de datos y el pago de rescates se han vuelto las
tácticas más comunes para la monetización en el 2020. A lo largo del 2020, el BGH siguió siendo
una amenaza generalizada para las empresas de todo el mundo y de todos los sectores, siendo
que CrowdStrike Intelligence ha identificado al menos 1.377 infecciones específicas de BGH.
Figura 1. Los grupos adversarios están apuntándoles a las organizaciones empresariales con ataques
BGH que representan enormes ganancias.
LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE
DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS
Productos CrowdStrike
4. LOSACTORESDETRÁSDELOS
ATAQUESDERANSOMWARE
MÁSSOFISTICACIÓNY
LÍMITESBORROSOS
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
2017
2018
2019
2020
• Las primeras
variantes del
ransomware
moderno aparecen
"in the wild"
• Scareware
dominado por AV
falsos y herramientas
de utilidades rogue
• 10.000
muestras de
ransomware
• Nacimiento del Bitcoin
• Surge el ransomware
de bloqueo de pantalla
• Más de 250,000
muestras de
ransomware
• Aparece el
CryptoLocker
• Uso de claves de
criptografía RSA
de 2048-bit
• Ransomware
establecido en $300
• Ingresos del
CryptoLocker:
$30 millones de
dólares en 100 días
• Surge el
ransomware
JavaScript
• Aparece el Locky
• Hospital paga un
rescate de $17,000
• Ingresos del
ransomware > $1 mil
millones de dólares
• Surgimiento del
caza mayor
(BGH)
• El BGH ataca
infraestructuras
• Una compañía
financiera paga
rescate de
$40 millones
de dólares
• El ransomware va
desde una
criptografía de
56-bit hasta una de
clave pública RSA
de 660-bit
• El malware
evoluciona y pasa
de introducir falsos
antivirus (AV) a
encriptar archivos
• El programa
fraudulento
FileFix Pro
extorsiona y pide
$40 para "ayudar" a
desencriptar los
archivos
• Más de 100,000
muestras de
ransomware
• Rescates
alcanzan
los $200
• Ransomware de
imitación de
aplicación de la ley
• Más de 4 millones
de muestras de
ransomware
• Aparece el
ransomware como
servicio
• Surge el TeslaCrypt
• WannaCry y
NotPetya
patrocinados por
Estados- nación
combinan técnicas
tipo gusano para
expandirse por
todo el mundo
• El BGH ataca
gobiernos estatales
y locales
• Gobierno local
paga $ 460 mil
en rescate
LAEVOLUCIÓNDEL
RANSOMWAREMODERNO
CrowdStrike® Intelligence monitorea el ecosistema eCrime haciéndole
seguimiento a organizaciones del eCrime, así como a actores de amenazas
independientes y sus relaciones. Por ejemplo, el creador del Samas (también
conocido como Sam Sam) fue identificado como un actor de amenazas
llamado BOSS SPIDER; el INDRIK SPIDER fue reconocido por la creación del
Dridex; y el WIZARD SPIDER, también conocido como el operador ruso del
malware bancario TrickBot - que en el pasado se había enfocado principal-
mente en el fraude electrónico-, fue identificado como el grupo que creó
Ryuk. Se ha observado que estos grupos despliegan ataques ransomware
que hacen parte de la tendencia del BGH y obtienen enormes ganancias a
través de ataques dirigidos que generan grandes recompensas.
CrowdStrike también ha observado que los actores de amenazas han
comenzado a trabajar juntos para facilitar los ataques dirigidos e incremen-
tar las capacidades como "megacorps". El Informe Global de Amenazas de
CrowdStrike 2021 identificó que WIZARD SPIDER- un actor de BGH y una
"megacorp" de eCrime establecida - mantuvo sus operaciones a un ritmo
acelerado para convertirse en el adversario de eCrime más reportado por
segundo año consecutivo.
Al igual que cualquier desarrollador de software, los grupos de eCrime se
esfuerzan constantemente por mejorar y actualizar su ransomware con
nuevas funciones. El WIZARD SPIDER, por ejemplo, ha agregado muchas
capacidades nuevas al Ryuk, eliminando la funcionalidad inútil y obsoleta
del código. Este grupo también agregó nuevos módulos de enumeración
que se descargan en los sistemas de las víctimas para localizar creden-
ciales y realizar movimientos laterales dentro del entorno de ésta - con el
objetivo de obtener acceso al controlador de dominio. Obtener dicho
acceso con éxito le permite al WIZARD SPIDER desplegar el
ransomware Ryuk en todo el entorno de la víctima.
Para complicar las cosas, una tendencia observada en el 2018, y que
continúa hasta hoy, es que las líneas divisorias entre el ransomware de
Estado-nación y las campañas de eCrime se están desdibujando. No está
claro si el código de ransomware es robado o compartido voluntariamen-
te entre los actores de Estado-nación y los cibercriminales, pero
CrowdStrike ha observado que ambos tipos de adversarios usan un
malware similar, como el Ryuk, ya sea para obtener ganancias financieras
inmediatas o para crear una distracción y ocultar el origen de un ataque
de Estado-nación.
LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE
DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS
Productos CrowdStrike
5. CÓMOFUNCIONAELRANSOMWARE
PSICOLOGÍA OSCURA: COMBINANDO LA INTELIGENCIA EMPRESARIAL CON
IMPLACABLE INGENIERÍA SOCIAL
ATAQUES SIN ARCHIVOS: RANSOMWARE SIN RANSOMWARE
POP-UPS DE PÁGINAS WEB Y KITS DE EXPLOITS: UNA DAÑINA COMBINACIÓN
CEPAS DE RANSOMWARE
DIGNAS DE ATENCIÓN
Hay muchos puntos de entrada para el ransomware, siendo los correos electróni-
cos de phishing y los pop-ups de páginas web los vectores más comunes. Otra ruta
de entrada implica el uso de kits de exploits que sacan provecho de vulnerabilida-
des específicas.
BitPaymer: ataca empresas que utilizan el
módulo cargador de Dridex para obtener
un punto de apoyo inicial en la red de la
víctima
Dridex: Una cepa de malware bancario
que aprovecha las macros en Microsoft
Office para infectar los sistemas
KeranGer: Primer ransomware dirigido al
Mac OS X, también fue capaz de encriptar
archivos de backup del Time Machine.
Ransom32: Escrito en Javascript, es
adecuado para una infección multiplatafor-
ma en sistemas Mac y Linux
PowerWare: Encripta archivos rehenes a
través de una infección "sin archivos"
Ryuk: Similar al Samas y BitPaymer
porque ataca las empresas y utiliza
PowerShell-PsExec para expulsar su
binario
Samas: Se aprovecha de sistemas JBOSS
vulnerables para expandirse en una red,
atacando, inclusive, archivos de backup en
ésta - ataca grandes organizaciones por
BGH
WannaCry: Gusano ransomware que
saca provecho del exploit EternalBlue de
Microsoft Windows - encripta utilizando
AES
Hermes: RaaS distribuido por primera vez
en el 2017 — a mediados de agosto de
2018, una versión modificada del Hermes,
apodada Ryuk, comenzó a aparecer en un
repositorio público de malware
DarkSide: Tradicionalmente, los RaaS se
han enfocado en Windows y,
recientemente, se han expandido a Linux,
atacando entornos de empresas por medio
de la ejecución de hipervisores VMware
ESXi sin parchear o robando credenciales
de vCenter.
La tecnología y la naturaleza humana son dos caras de la misma moneda cuando se
trata de ataques de ransomware. En un caso observado por CrowdStrike, el email
de un CEO fue falsificado y el atacante usó ingeniería social para engañar a los
empleados y llevarlos a que hicieran clic en un enlace dentro de un email falso de
este ejecutivo. Para tener éxito, este ataque requería una investigación metódica
sobre la administración de la empresa, sus empleados y la industria. A medida que
aumentan los ataques de BGH, la ingeniería social se está convirtiendo en una
presencia más común en los ataques de phishing. Las redes sociales también
juegan un papel muy importante, no solo permitiéndoles a los atacantes descubrir
información de las víctimas potenciales, sino, también, sirviendo de conducto para
implementar un malware.
Los pop-ups de páginas web y los kits de exploits pueden ser utilizados juntos para
propagar el ransomware que les permite a los atacantes crear "pop-ups troyanos"
o anuncios que contienen códigos maliciosos ocultos. Si los usuarios hacen clic en
uno de ellos, son redirigidos a la landing page del kit de exploits de manera
encubierta. Allí, un componente del kit de exploits escaneará discretamente el
dispositivo para detectar vulnerabilidades que el atacante pueda explotar. Si el kit
de exploits tiene éxito, éste envía una carga útil de ransomware para infectar el
host. Los kits de exploits son populares entre las organizaciones de eCrime debido
a su naturaleza automatizada. Además, los exploits son una técnica eficiente sin
archivos, pues pueden inyectarse directamente en la memoria sin que se requiera
escribir en el disco, haciéndolos indetectables a un software de antivirus tradicio-
nal. Los kits de exploits también están proliferando entre los atacantes menos
sofisticados, porque no requieren una gran cantidad de conocimientos técnicos
para ser implementados Con una modesta inversión en la darknet, prácticamente
cualquier persona puede entrar en el negocio de rescate en línea.
Las técnicas de ransomware sin archivos están aumentando. Estos son ataques en
los que la táctica inicial no da como resultado un archivo ejecutable escrito en el
disco. El ransomware sin archivos utiliza herramientas preinstaladas del sistema
operativo, como PowerShell o WMI, para permitirle al atacante realizar tareas sin
tener que ejecutar un archivo malicioso en el sistema comprometido. Esta técnica es
popular porque los ataques sin archivos pueden eludir la mayoría de las soluciones
de AV tradicionales.
Para obtener una explicación detallada sobre cómo funciona el ransomware sin
archivos, descargue la infografía de CrowdStrike sobre ransomware sin archivos.
LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE
DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS
Productos CrowdStrike
6. EL RANSOMWARE COMO SERVICIO (RAAS) Y LOS BRÓKERES DE ACCESO
OFUSCACIÓN DE MALWARE IMPLEMENTADA EN PROCESOS DE COMPILACIÓN
ATAQUES A LA INFRAESTRUCTURA DE VIRTUALIZACIÓN
Los proveedores de
RaaS ofrecen todos los
componentes de ataque
necesarios para ejecutar
campañas de
ransomware, desde
códigos maliciosos
hasta paneles de
resultados.
En el 2020, CrowdStrike Intelligence observó que WIZARD SPIDER y MUMMY SPIDER
implementaron herramientas de protección de software de código abierto en sus proce-
sos de compilación de malware.
El uso de técnicas de ofuscación en malware no es algo nuevo. Sin embargo, la inclusión de
herramientas de código abierto en los procesos de compilación es algo novedoso, pues
respalda adversarios avanzados que están buscando formas de mantener la agilidad en
sus procesos de desarrollo. Debido a la complejidad del código abierto, esta táctica puede
tener una adopción limitada por parte de los grupos de amenaza menos sofisticados.
En el 2020, CrowdStrike Intelligence observó tanto a SPRITE SPIDER (los operadores
de Defray777) como CARBON SPIDER (los operadores de DarkSide) desplegando las
versiones Linux de sus respectivas familias de ransomware en hosts ESXi en operacio-
nes de BGH. Aunque el ransomware para Linux no es algo nuevo, sí lo es que los actores
de BGH ataquen a Linux y, específicamente, a ESXi. Este es un blanco de ataque natural
para los operadores de ransomware, pues cada vez más organizaciones están migrando
a soluciones de virtualización para consolidar los sistemas de TI tradicionales.
Debido a que los ciber criminales siempre están buscando formas de optimizar sus
operaciones y generar más ganancias, éstos se han inspirado en el modelo SaaS
(software como servicio) para crear un modelo RaaS (ransomware como servicio).
Los proveedores de RaaS ofrecen todos los componentes de ataque necesarios para
ejecutar campañas de ransomware, desde códigos maliciosos hasta paneles de
resultados. Algunos también incluyen un departamento de servicio al cliente, permitien-
do que el ransomware esté al alcance de criminales sin experiencia técnica. Adicional-
mente, el costo de la suscripción suele cubrirse con parte de las ganancias de una
campaña - haciendo que este modelo sea una opción rentable para los cibercriminales.
Un ejemplo de esto es el famoso RaaS CARBON SPIDER. CARBON SPIDER profundi-
zó su compromiso con el BGH en agosto de 2020 utilizando su propio ransomware,
DarkSide. En noviembre de 2020, éste amplió su marca en el BGH al establecer un
programa de afiliados de RaaS para DarkSide. Este programa permite que otros
actores de amenazas usen el ransomware DarkSide mientras le pagan una parte a
CARBON SPIDER.
Los brókeres de acceso son actores de amenazas que obtienen acceso backend a
varias organizaciones (empresas y entidades gubernamentales) y lo venden ya sea en
foros criminales o a través de canales privados. Los compradores ahorran tiempo con
blancos de ataque identificados previamente y un acceso ya establecido, permitiendo
tener más blancos de ataque y despliegues más rápidos que resultan en una mayor
probabilidad de monetización. El uso de brókeres de acceso se ha vuelto cada vez más
común entre los actores del BGH y potenciales operadores de ransomware.
CrowdStrike Intelligence ha observado que algunos brókeres de acceso están
asociados a grupos de RaaS.
LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE
DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS
Productos CrowdStrike
7. CÓMO PROTEGERSE DEL RANSOMWARE
PASOS PRÁCTICOS
INDICADORES DE
ATAQUE: UNA FORMA
ÚNICA Y EFICIENTE DE
DETENER EL MALWARE
SIN ARCHIVOS
Las copias de seguridad son una buena defensa, pero también deben protegerse, pues a
menudo son lo primero que los atacantes bloquean o intentan destruir en un entorno.
Asegurarse de que las copias de seguridad están seguras y se pueda acceder a ellas por
separado, incluso en un entorno comprometido, es una medida de precaución estándar.
En septiembre de 2020, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA,
por sus siglas en inglés) del Departamento de Seguridad Nacional de EE. UU.y el Centro de
Análisis e Intercambio de Información Multiestatal (MS- ISAC), publicaron una guía conjunta
sobre ransomware, resaltando las medidas adicionales que las organizaciones deben tomar
para entender y enfrentar las amenazas del ransomware. La guía ofrece consejos sobre
cómo protegerse del ransomware, cómo prepararse para un posible incidente, cómo
recuperarse de un ataque y dónde encontrar ayuda. Ésta incluye recomendaciones prácti-
cas que van desde mantener los sistemas parcheados y actualizados, hasta capacitar a los
usuarios finales y crear y ejecutar un plan de respuesta a incidentes.
USO DEL MARCO MITRE ATT&CK® PARA EVALUAR LA PREPARACIÓN
El marco MITRE ATT&CK es una matriz integral que reúne y clasifica las técnicas y tácticas
utilizadas por los adversarios. Éste incluye técnicas específicas de ransomware bajo una
categoría llamada “Impacto.” La información provista les permite a los equipos de seguridad
ver cómo pueden ser atacados, reflexionar sobre sus habilidades para detectar y detener
dichas técnicas y planear una óptima protección.
EL ENFOQUE DE CROWDSTRIKE
Debido a que los creadores de ransomware cambian sus técnicas constantemente, la
plataforma de última generación de CrowdStrike Falcon® de protección de endpoints les
permite a los equipos de seguridad utilizar una variedad de métodos complementarios de
prevención y detección, incluyendo los siguientes:
Higiene de TI para una rápida identificación y eliminación de actividades maliciosas o que
no cumplen con ciertos estándares, proporcionando una visibilidad inigualable y en tiempo
real de los dispositivos, usuarios y aplicaciones dentro de su red
Machine learning para la prevención de ransomware conocido y previamente desconoci-
do o de "día cero", sin necesidad de actualizaciones
Bloqueo de exploits para detener la ejecución y propagación de ransomware a través de
vulnerabilidades sin parchear
Indicadores de ataque (IOAs) para identificar y bloquear comportamientos adicionales de
ransomware y proteger contra ransomware sin archivos y otras nuevas categorías
Análisis de amenazas automatizado para obtener, de manera inmediata, todos los detalles
sobre el ransomware encontrado, incluyendo su origen, atribución, familias similares e
IOCs (indicadores de compromiso)
Zero Trust para comprender datos sobre comportamiento, limitar la superficie de ataque
con la segmentación, automatizar la seguridad vinculada al contexto y verificar continua-
mente el acceso con la menor fricción posible
El ransomware sin archivos es
extremadamente difícil de detectar
utilizando métodos basados en
firmas, sandboxing o, inclusive,
análisis de machine learning.
CrowdStrike ha desarrollado un
enfoque más eficiente, utilizando
indicadores de ataque (IOAs, por
sus siglas en inglés) para identificar
y bloquear ransomware desconoci-
do adicional y otro tipo de ataques.
Los IOAs buscan señales de alerta
temprana de que un ataque puede
estar en marcha - las señales
pueden incluir la ejecución de
códigos, intentos de ser sigiloso y el
movimiento lateral, por nombrar
algunos. Al identificar la ejecución
de estas actividades en tiempo real,
incluida su secuencia y dependen-
cias, la tecnología IOA puede
reconocerlas como indicadores
tempranos que revelan las verdade-
ras intenciones y objetivos de un
atacante.
Los IOAs también proporcionan una
forma confiable de evitar que el
ransomware elimine las copias de
seguridad. Esto les brinda a los
usuarios la capacidad de restaurar
archivos encriptados, incluso si
dicha encriptación comenzó antes
de que el ransomware fuese
detenido. Esta capacidad de los
IOAs de monitorear, detectar y
bloquear los efectos de lo que el
ransomware está tratando alcanzar
permite detener los ataques antes
de que se produzca algún daño. De
hecho, el enfoque IOA es tan
efectivo y resiliente frente a
iteraciones de ransomware que un
solo IOA puede cubrir contra
numerosas variantes y versiones de
múltiples familias de ransomware,
incluyendo las nuevas que son
lanzadas "in the wild".
LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE
DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS
Productos CrowdStrike
8. ESTUDIO DE CASO:
CÓMO FALCON PROTEGE CONTRA EL RANSOMWARE DARKSIDE
Figura 2. CrowdStrike protege contra el ransomware DarkSide con tecnologías por capas
Para las organizaciones que desean que se les realice una administración, cacería de amenazas, monitoreo
y remediación experimentadas, la detección y respuesta gestionadas (MDR, por sus siglas en inglés) de
CrowdStrike Falcon Complete™ ofrece un ROI del 403% con 100% de confianza, así como una de las
mejores garantías de prevención de brechas que alcanza hasta $1 millón de dólares.
La plataforma CrowdStrike Falcon de protección de endpoints también aplica el marco MITRE ATT&CK
con alertas en la plataforma Falcon. Esto les permite a los equipos de seguridad entender rápida y
claramente lo que está sucediendo en sus endpoints en caso de que ocurra un ataque - incluyendo en qué
etapa se encuentra el ataque y cualquier otro grupo adversario conocido que esté vinculado a éste.
La plataforma Falcon de
CrowdStrike incorpora informa-
ción de inteligencia derivada del
monitoreo continuo de las TTPs
de más de 160 actores de
amenazas identificados y
numerosos grupos sin nombre
atribuido, permitiendo proteger-
se contra ataques sofisticados,
incluyendo los del ransomware
DarkSide.
CrowdStrike emplea un enfoque
por capas cuando se trata de
detectar el malware, incluyendo
el machine learning e IOAs.
Como se evidencia en la Figura 2,
el sensor Falcon es capaz de
matar el proceso del
ransomware tan pronto se
identifica el comportamiento de
encriptación de archivos.
Este video expone cómo la
muestra de ransomware
DarkSide es bloqueada y aislada
inmediatamente por la platafor-
ma Falcon tras su ejecución. El
motor de machine learning de
CrowdStrike forma parte del
agente Falcon y puede proteger
el sistema online u offline.
Además del machine learning, la
detección de comportamientos
incorporada en la plataforma
Falcon también identifica la rápida
encriptación de los archivos y
bloquea la ejecución del
ransomware para proteger el
sistema.
CrowdStrike lleva la seguridad en
capas a un nivel más avanzado,
integrando el machine learning y
la detección de comportamientos
en un único agente liviano para
proteger los sistemas más
importantes de los clientes.
LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE
DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS
Productos CrowdStrike