SlideShare una empresa de Scribd logo

The-Evolution-of-Ransomware-White-PaperSanishLatAmSept21.pdf.pdf

H
HugoCarlosSanLuisLop

Documento para identificar las caracteristicas de un RANSOMWARE

Software
1 de 9
Descargar para leer sin conexión
LA EVOLUCIÓN DEL RANSOMWARE: CÓMO PROTEGERSE DE LAS NUEVAS TENDENCIAS Y MÉTODOS DE LOS ADVERSARIOS Productos CrowdStrike
LAEVOLUCIÓNDELRANSOMWAREYLASTENDENCIASACTUALES UN VIEJO ESQUEMA MONETIZACIÓN MÁS FÁCIL PERO AÚN COMPLICADO LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS ESTUDIODECASO ELRANSOMWAREDARKSIDE ALTERAELFUNCIONAMIENTO DECOLONIALPIPELINE Productos CrowdStrike No hay duda de que el ransomware continúa siendo una amenaza creciente. De hecho, los adversarios de ransomware que proliferaron en el 2020 continúan tan decididos como siempre, lo que se ha visto evidenciado por la introducción de tácticas, técnicas y procedimientos (TTPs, por sus siglas en inglés) cada vez más dañinos y que fueron presentados a detalle en el Informe Global de Amenazas de CrowdStrike 2021. Los ataques globales de alto perfil a los sectores público y privado muestran sólo una pequeña imagen de una industria cibercriminal que es mucho más amplia, especialmente porque no todos los ataques de ransomware acaban siendo noticia. En efecto, en la Encuesta de CrowdStrike sobre la Postura de Seguridad a Nivel Global 2020, el 56% de los encuestados admitió que su organización había sufrido un ataque de ransomware en los 12 meses anteriores. Este documento explica la evolución del ransomware por medio del análisis de las nuevas tendencias en las amenazas de extorsión en línea, ofreciendo consejos prescriptivos sobre cómo proteger y asegurar su organización contra este tipo de ataque. El ransomware ha sido titular de noticias constantemente en los últimos seis años. No obstante, tomar computadores o archivos de los usuarios como rehenes, por medio de la encriptación de archivos, dificultando el acceso al sistema u otros métodos - y luego exigiendo un rescate para devolverlos - es una idea bastante antigua. A finales de la década de 1980, los delincuentes ya tomaban computadoras o archivos como rehenes a cambio de dinero enviado a través del correo. Uno de los primeros virus ransomware documentados fue el troyano AIDS (PC Cyborg Virus), lanzado en disquete en 1989. Las víctimas debían enviar $189 dólares a una dirección en Panamá para restaurar el acceso a sus sistemas, a pesar de que era un simple virus que utilizaba criptografía simétrica. Un ataque de ransomware interrum- pió el funcionamiento de Colonial Pipeline en mayo de 2021 -el oleoducto transporta casi la mitad de todo el combustible que se consume en la costa este de Estados Unidos-, reflejando la fragilidad de las infraestructuras más importantes y la magnitud de los problemas a los que se enfrentan los líderes del sector público y privado encargados de protegerlas. El 10 de mayo, el FBI señaló pública- mente que el incidente de Colonial Pipeline estuvo relacionado con el ransomware DarkSide. Más tarde, se informó que Colonial Pipeline sufrió el robo de aproximadamente 100 GB de datos de su red y que la organiza- ción afirmó haber pagado casi 5 millones de dólares a una filial de DarkSide. Según Reuters, "El Departamento de Justicia recuperó el lunes alrededor de $2,3 millones de dólares de un rescate en criptomonedas pagado por Colonial Pipeline Co, tomando fuertes medidas contra los hackers que lanzaron uno de los ciber ataques más disruptivos registrados en Estados Unidos " (7 de junio de 2021). DarkSide está asociado a un grupo criminal rastreado por CrowdStrike Intelligence como CARBON SPIDER. Investigadores de seguridad, clientes y cualquier otra persona interesada en saber más sobre las estrategias técnicas, los sectores atacados y el origen de CARBON SPIDER pueden explorar el Universo Adversario de CrowdStrike para más información de inteligencia sobre este adversario rastreado y muchos otros. A pesar de su larga historia, los ataques de ransomware todavía no estaban tan extendidos en la década de 2000 - probablemente debido a las dificultades en el cobro de los pagos. No obstante, todo esto cambió con el surgimiento de las criptomonedas, tales como el Bitcoin en el 2010. Al proporcionar un método fácil e imposible de rastrear para recibir el pago de las víctimas, las monedas virtuales crearon la oportunidad para que el ransomware se volviera un negocio lucrativo. El eCrime — una amplia categoría de actividad maliciosa que incluye todo tipo de ciberataques, incluyendo malware, troyanos bancarios, ransomware, mineware (cryptojacking) y crimeware — aprovechó la oportunidad de monetización creada por el Bitcoin. Esto dio lugar a una proliferación sustancial del ransomware a partir del 2012. Sin embargo, este modelo de negocio de ransomware sigue siendo imperfecto. Si bien los pagos de Bitcoin son transacciones que los delincuentes pueden utilizar fácilmente, los blancos de sus ataques, que no son expertos en tecnología, no siempre pueden navegar por ellos de manera simple. Para garantizar el pago, algunos delincuentes han llegado a abrir call centers para brindar soporte técnico y ayudar a las víctimas a inscribirse en Bitcoin - pero esto lleva tiempo y cuesta dinero.
ELCAZAMAYOR MODELO DE AMENAZA DEL CAZA MAYOR Vector de Infección Inicial Despliegue del Rescate Rescate Bitcoin Movimiento Lateral Para optimizar sus esfuerzos, los operadores del eCrime decidieron pasar del estilo de ataques de "disparar a diestra y siniestra", que dominaban el espacio del ransomware, a centrarse en una "caza mayor" (BGH, por sus siglas en inglés). El BGH combina el ransomware con las tácticas, técnicas y procedimientos (TTPs) comunes en los ataques dirigidos a organizaciones más grandes. En vez de lanzar una mayor cantidad de ataques de ransomware contra blancos menores, el objetivo del BGH es centrar los esfuerzos en menos víctimas que puedan producir un mayor beneficio financiero - aquellas que valgan el tiempo y el esfuerzo de los criminales. Esta transición ha sido tan pronunciada que, en el Informe Global de Amenazas de CrowdStrike® del 2020 y 2021, el BGH fue señalado como una de las tendencias más destacadas en el ecosis- tema del eCrime. Este cambio tectónico hacia los ataques de caza mayor se ha sentido en todo el ecosistema del eCrime, siendo que la extorsión de datos y el pago de rescates se han vuelto las tácticas más comunes para la monetización en el 2020. A lo largo del 2020, el BGH siguió siendo una amenaza generalizada para las empresas de todo el mundo y de todos los sectores, siendo que CrowdStrike Intelligence ha identificado al menos 1.377 infecciones específicas de BGH. Figura 1. Los grupos adversarios están apuntándoles a las organizaciones empresariales con ataques BGH que representan enormes ganancias. LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS Productos CrowdStrike
LOSACTORESDETRÁSDELOS ATAQUESDERANSOMWARE MÁSSOFISTICACIÓNY LÍMITESBORROSOS 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 • Las primeras variantes del ransomware moderno aparecen "in the wild" • Scareware dominado por AV falsos y herramientas de utilidades rogue • 10.000 muestras de ransomware • Nacimiento del Bitcoin • Surge el ransomware de bloqueo de pantalla • Más de 250,000 muestras de ransomware • Aparece el CryptoLocker • Uso de claves de criptografía RSA de 2048-bit • Ransomware establecido en $300 • Ingresos del CryptoLocker: $30 millones de dólares en 100 días • Surge el ransomware JavaScript • Aparece el Locky • Hospital paga un rescate de $17,000 • Ingresos del ransomware > $1 mil millones de dólares • Surgimiento del caza mayor (BGH) • El BGH ataca infraestructuras • Una compañía financiera paga rescate de $40 millones de dólares • El ransomware va desde una criptografía de 56-bit hasta una de clave pública RSA de 660-bit • El malware evoluciona y pasa de introducir falsos antivirus (AV) a encriptar archivos • El programa fraudulento FileFix Pro extorsiona y pide $40 para "ayudar" a desencriptar los archivos • Más de 100,000 muestras de ransomware • Rescates alcanzan los $200 • Ransomware de imitación de aplicación de la ley • Más de 4 millones de muestras de ransomware • Aparece el ransomware como servicio • Surge el TeslaCrypt • WannaCry y NotPetya patrocinados por Estados- nación combinan técnicas tipo gusano para expandirse por todo el mundo • El BGH ataca gobiernos estatales y locales • Gobierno local paga $ 460 mil en rescate LAEVOLUCIÓNDEL RANSOMWAREMODERNO CrowdStrike® Intelligence monitorea el ecosistema eCrime haciéndole seguimiento a organizaciones del eCrime, así como a actores de amenazas independientes y sus relaciones. Por ejemplo, el creador del Samas (también conocido como Sam Sam) fue identificado como un actor de amenazas llamado BOSS SPIDER; el INDRIK SPIDER fue reconocido por la creación del Dridex; y el WIZARD SPIDER, también conocido como el operador ruso del malware bancario TrickBot - que en el pasado se había enfocado principal- mente en el fraude electrónico-, fue identificado como el grupo que creó Ryuk. Se ha observado que estos grupos despliegan ataques ransomware que hacen parte de la tendencia del BGH y obtienen enormes ganancias a través de ataques dirigidos que generan grandes recompensas. CrowdStrike también ha observado que los actores de amenazas han comenzado a trabajar juntos para facilitar los ataques dirigidos e incremen- tar las capacidades como "megacorps". El Informe Global de Amenazas de CrowdStrike 2021 identificó que WIZARD SPIDER- un actor de BGH y una "megacorp" de eCrime establecida - mantuvo sus operaciones a un ritmo acelerado para convertirse en el adversario de eCrime más reportado por segundo año consecutivo. Al igual que cualquier desarrollador de software, los grupos de eCrime se esfuerzan constantemente por mejorar y actualizar su ransomware con nuevas funciones. El WIZARD SPIDER, por ejemplo, ha agregado muchas capacidades nuevas al Ryuk, eliminando la funcionalidad inútil y obsoleta del código. Este grupo también agregó nuevos módulos de enumeración que se descargan en los sistemas de las víctimas para localizar creden- ciales y realizar movimientos laterales dentro del entorno de ésta - con el objetivo de obtener acceso al controlador de dominio. Obtener dicho acceso con éxito le permite al WIZARD SPIDER desplegar el ransomware Ryuk en todo el entorno de la víctima. Para complicar las cosas, una tendencia observada en el 2018, y que continúa hasta hoy, es que las líneas divisorias entre el ransomware de Estado-nación y las campañas de eCrime se están desdibujando. No está claro si el código de ransomware es robado o compartido voluntariamen- te entre los actores de Estado-nación y los cibercriminales, pero CrowdStrike ha observado que ambos tipos de adversarios usan un malware similar, como el Ryuk, ya sea para obtener ganancias financieras inmediatas o para crear una distracción y ocultar el origen de un ataque de Estado-nación. LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS Productos CrowdStrike
CÓMOFUNCIONAELRANSOMWARE PSICOLOGÍA OSCURA: COMBINANDO LA INTELIGENCIA EMPRESARIAL CON IMPLACABLE INGENIERÍA SOCIAL ATAQUES SIN ARCHIVOS: RANSOMWARE SIN RANSOMWARE POP-UPS DE PÁGINAS WEB Y KITS DE EXPLOITS: UNA DAÑINA COMBINACIÓN CEPAS DE RANSOMWARE DIGNAS DE ATENCIÓN Hay muchos puntos de entrada para el ransomware, siendo los correos electróni- cos de phishing y los pop-ups de páginas web los vectores más comunes. Otra ruta de entrada implica el uso de kits de exploits que sacan provecho de vulnerabilida- des específicas. BitPaymer: ataca empresas que utilizan el módulo cargador de Dridex para obtener un punto de apoyo inicial en la red de la víctima Dridex: Una cepa de malware bancario que aprovecha las macros en Microsoft Office para infectar los sistemas KeranGer: Primer ransomware dirigido al Mac OS X, también fue capaz de encriptar archivos de backup del Time Machine. Ransom32: Escrito en Javascript, es adecuado para una infección multiplatafor- ma en sistemas Mac y Linux PowerWare: Encripta archivos rehenes a través de una infección "sin archivos" Ryuk: Similar al Samas y BitPaymer porque ataca las empresas y utiliza PowerShell-PsExec para expulsar su binario Samas: Se aprovecha de sistemas JBOSS vulnerables para expandirse en una red, atacando, inclusive, archivos de backup en ésta - ataca grandes organizaciones por BGH WannaCry: Gusano ransomware que saca provecho del exploit EternalBlue de Microsoft Windows - encripta utilizando AES Hermes: RaaS distribuido por primera vez en el 2017 — a mediados de agosto de 2018, una versión modificada del Hermes, apodada Ryuk, comenzó a aparecer en un repositorio público de malware DarkSide: Tradicionalmente, los RaaS se han enfocado en Windows y, recientemente, se han expandido a Linux, atacando entornos de empresas por medio de la ejecución de hipervisores VMware ESXi sin parchear o robando credenciales de vCenter. La tecnología y la naturaleza humana son dos caras de la misma moneda cuando se trata de ataques de ransomware. En un caso observado por CrowdStrike, el email de un CEO fue falsificado y el atacante usó ingeniería social para engañar a los empleados y llevarlos a que hicieran clic en un enlace dentro de un email falso de este ejecutivo. Para tener éxito, este ataque requería una investigación metódica sobre la administración de la empresa, sus empleados y la industria. A medida que aumentan los ataques de BGH, la ingeniería social se está convirtiendo en una presencia más común en los ataques de phishing. Las redes sociales también juegan un papel muy importante, no solo permitiéndoles a los atacantes descubrir información de las víctimas potenciales, sino, también, sirviendo de conducto para implementar un malware. Los pop-ups de páginas web y los kits de exploits pueden ser utilizados juntos para propagar el ransomware que les permite a los atacantes crear "pop-ups troyanos" o anuncios que contienen códigos maliciosos ocultos. Si los usuarios hacen clic en uno de ellos, son redirigidos a la landing page del kit de exploits de manera encubierta. Allí, un componente del kit de exploits escaneará discretamente el dispositivo para detectar vulnerabilidades que el atacante pueda explotar. Si el kit de exploits tiene éxito, éste envía una carga útil de ransomware para infectar el host. Los kits de exploits son populares entre las organizaciones de eCrime debido a su naturaleza automatizada. Además, los exploits son una técnica eficiente sin archivos, pues pueden inyectarse directamente en la memoria sin que se requiera escribir en el disco, haciéndolos indetectables a un software de antivirus tradicio- nal. Los kits de exploits también están proliferando entre los atacantes menos sofisticados, porque no requieren una gran cantidad de conocimientos técnicos para ser implementados Con una modesta inversión en la darknet, prácticamente cualquier persona puede entrar en el negocio de rescate en línea. Las técnicas de ransomware sin archivos están aumentando. Estos son ataques en los que la táctica inicial no da como resultado un archivo ejecutable escrito en el disco. El ransomware sin archivos utiliza herramientas preinstaladas del sistema operativo, como PowerShell o WMI, para permitirle al atacante realizar tareas sin tener que ejecutar un archivo malicioso en el sistema comprometido. Esta técnica es popular porque los ataques sin archivos pueden eludir la mayoría de las soluciones de AV tradicionales. Para obtener una explicación detallada sobre cómo funciona el ransomware sin archivos, descargue la infografía de CrowdStrike sobre ransomware sin archivos. LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS Productos CrowdStrike
EL RANSOMWARE COMO SERVICIO (RAAS) Y LOS BRÓKERES DE ACCESO OFUSCACIÓN DE MALWARE IMPLEMENTADA EN PROCESOS DE COMPILACIÓN ATAQUES A LA INFRAESTRUCTURA DE VIRTUALIZACIÓN Los proveedores de RaaS ofrecen todos los componentes de ataque necesarios para ejecutar campañas de ransomware, desde códigos maliciosos hasta paneles de resultados. En el 2020, CrowdStrike Intelligence observó que WIZARD SPIDER y MUMMY SPIDER implementaron herramientas de protección de software de código abierto en sus proce- sos de compilación de malware. El uso de técnicas de ofuscación en malware no es algo nuevo. Sin embargo, la inclusión de herramientas de código abierto en los procesos de compilación es algo novedoso, pues respalda adversarios avanzados que están buscando formas de mantener la agilidad en sus procesos de desarrollo. Debido a la complejidad del código abierto, esta táctica puede tener una adopción limitada por parte de los grupos de amenaza menos sofisticados. En el 2020, CrowdStrike Intelligence observó tanto a SPRITE SPIDER (los operadores de Defray777) como CARBON SPIDER (los operadores de DarkSide) desplegando las versiones Linux de sus respectivas familias de ransomware en hosts ESXi en operacio- nes de BGH. Aunque el ransomware para Linux no es algo nuevo, sí lo es que los actores de BGH ataquen a Linux y, específicamente, a ESXi. Este es un blanco de ataque natural para los operadores de ransomware, pues cada vez más organizaciones están migrando a soluciones de virtualización para consolidar los sistemas de TI tradicionales. Debido a que los ciber criminales siempre están buscando formas de optimizar sus operaciones y generar más ganancias, éstos se han inspirado en el modelo SaaS (software como servicio) para crear un modelo RaaS (ransomware como servicio). Los proveedores de RaaS ofrecen todos los componentes de ataque necesarios para ejecutar campañas de ransomware, desde códigos maliciosos hasta paneles de resultados. Algunos también incluyen un departamento de servicio al cliente, permitien- do que el ransomware esté al alcance de criminales sin experiencia técnica. Adicional- mente, el costo de la suscripción suele cubrirse con parte de las ganancias de una campaña - haciendo que este modelo sea una opción rentable para los cibercriminales. Un ejemplo de esto es el famoso RaaS CARBON SPIDER. CARBON SPIDER profundi- zó su compromiso con el BGH en agosto de 2020 utilizando su propio ransomware, DarkSide. En noviembre de 2020, éste amplió su marca en el BGH al establecer un programa de afiliados de RaaS para DarkSide. Este programa permite que otros actores de amenazas usen el ransomware DarkSide mientras le pagan una parte a CARBON SPIDER. Los brókeres de acceso son actores de amenazas que obtienen acceso backend a varias organizaciones (empresas y entidades gubernamentales) y lo venden ya sea en foros criminales o a través de canales privados. Los compradores ahorran tiempo con blancos de ataque identificados previamente y un acceso ya establecido, permitiendo tener más blancos de ataque y despliegues más rápidos que resultan en una mayor probabilidad de monetización. El uso de brókeres de acceso se ha vuelto cada vez más común entre los actores del BGH y potenciales operadores de ransomware. CrowdStrike Intelligence ha observado que algunos brókeres de acceso están asociados a grupos de RaaS. LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS Productos CrowdStrike
CÓMO PROTEGERSE DEL RANSOMWARE PASOS PRÁCTICOS INDICADORES DE ATAQUE: UNA FORMA ÚNICA Y EFICIENTE DE DETENER EL MALWARE SIN ARCHIVOS Las copias de seguridad son una buena defensa, pero también deben protegerse, pues a menudo son lo primero que los atacantes bloquean o intentan destruir en un entorno. Asegurarse de que las copias de seguridad están seguras y se pueda acceder a ellas por separado, incluso en un entorno comprometido, es una medida de precaución estándar. En septiembre de 2020, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) del Departamento de Seguridad Nacional de EE. UU.y el Centro de Análisis e Intercambio de Información Multiestatal (MS- ISAC), publicaron una guía conjunta sobre ransomware, resaltando las medidas adicionales que las organizaciones deben tomar para entender y enfrentar las amenazas del ransomware. La guía ofrece consejos sobre cómo protegerse del ransomware, cómo prepararse para un posible incidente, cómo recuperarse de un ataque y dónde encontrar ayuda. Ésta incluye recomendaciones prácti- cas que van desde mantener los sistemas parcheados y actualizados, hasta capacitar a los usuarios finales y crear y ejecutar un plan de respuesta a incidentes. USO DEL MARCO MITRE ATT&CK® PARA EVALUAR LA PREPARACIÓN El marco MITRE ATT&CK es una matriz integral que reúne y clasifica las técnicas y tácticas utilizadas por los adversarios. Éste incluye técnicas específicas de ransomware bajo una categoría llamada “Impacto.” La información provista les permite a los equipos de seguridad ver cómo pueden ser atacados, reflexionar sobre sus habilidades para detectar y detener dichas técnicas y planear una óptima protección. EL ENFOQUE DE CROWDSTRIKE Debido a que los creadores de ransomware cambian sus técnicas constantemente, la plataforma de última generación de CrowdStrike Falcon® de protección de endpoints les permite a los equipos de seguridad utilizar una variedad de métodos complementarios de prevención y detección, incluyendo los siguientes: Higiene de TI para una rápida identificación y eliminación de actividades maliciosas o que no cumplen con ciertos estándares, proporcionando una visibilidad inigualable y en tiempo real de los dispositivos, usuarios y aplicaciones dentro de su red Machine learning para la prevención de ransomware conocido y previamente desconoci- do o de "día cero", sin necesidad de actualizaciones Bloqueo de exploits para detener la ejecución y propagación de ransomware a través de vulnerabilidades sin parchear Indicadores de ataque (IOAs) para identificar y bloquear comportamientos adicionales de ransomware y proteger contra ransomware sin archivos y otras nuevas categorías Análisis de amenazas automatizado para obtener, de manera inmediata, todos los detalles sobre el ransomware encontrado, incluyendo su origen, atribución, familias similares e IOCs (indicadores de compromiso) Zero Trust para comprender datos sobre comportamiento, limitar la superficie de ataque con la segmentación, automatizar la seguridad vinculada al contexto y verificar continua- mente el acceso con la menor fricción posible El ransomware sin archivos es extremadamente difícil de detectar utilizando métodos basados en firmas, sandboxing o, inclusive, análisis de machine learning. CrowdStrike ha desarrollado un enfoque más eficiente, utilizando indicadores de ataque (IOAs, por sus siglas en inglés) para identificar y bloquear ransomware desconoci- do adicional y otro tipo de ataques. Los IOAs buscan señales de alerta temprana de que un ataque puede estar en marcha - las señales pueden incluir la ejecución de códigos, intentos de ser sigiloso y el movimiento lateral, por nombrar algunos. Al identificar la ejecución de estas actividades en tiempo real, incluida su secuencia y dependen- cias, la tecnología IOA puede reconocerlas como indicadores tempranos que revelan las verdade- ras intenciones y objetivos de un atacante. Los IOAs también proporcionan una forma confiable de evitar que el ransomware elimine las copias de seguridad. Esto les brinda a los usuarios la capacidad de restaurar archivos encriptados, incluso si dicha encriptación comenzó antes de que el ransomware fuese detenido. Esta capacidad de los IOAs de monitorear, detectar y bloquear los efectos de lo que el ransomware está tratando alcanzar permite detener los ataques antes de que se produzca algún daño. De hecho, el enfoque IOA es tan efectivo y resiliente frente a iteraciones de ransomware que un solo IOA puede cubrir contra numerosas variantes y versiones de múltiples familias de ransomware, incluyendo las nuevas que son lanzadas "in the wild". LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS Productos CrowdStrike
ESTUDIO DE CASO: CÓMO FALCON PROTEGE CONTRA EL RANSOMWARE DARKSIDE Figura 2. CrowdStrike protege contra el ransomware DarkSide con tecnologías por capas Para las organizaciones que desean que se les realice una administración, cacería de amenazas, monitoreo y remediación experimentadas, la detección y respuesta gestionadas (MDR, por sus siglas en inglés) de CrowdStrike Falcon Complete™ ofrece un ROI del 403% con 100% de confianza, así como una de las mejores garantías de prevención de brechas que alcanza hasta $1 millón de dólares. La plataforma CrowdStrike Falcon de protección de endpoints también aplica el marco MITRE ATT&CK con alertas en la plataforma Falcon. Esto les permite a los equipos de seguridad entender rápida y claramente lo que está sucediendo en sus endpoints en caso de que ocurra un ataque - incluyendo en qué etapa se encuentra el ataque y cualquier otro grupo adversario conocido que esté vinculado a éste. La plataforma Falcon de CrowdStrike incorpora informa- ción de inteligencia derivada del monitoreo continuo de las TTPs de más de 160 actores de amenazas identificados y numerosos grupos sin nombre atribuido, permitiendo proteger- se contra ataques sofisticados, incluyendo los del ransomware DarkSide. CrowdStrike emplea un enfoque por capas cuando se trata de detectar el malware, incluyendo el machine learning e IOAs. Como se evidencia en la Figura 2, el sensor Falcon es capaz de matar el proceso del ransomware tan pronto se identifica el comportamiento de encriptación de archivos. Este video expone cómo la muestra de ransomware DarkSide es bloqueada y aislada inmediatamente por la platafor- ma Falcon tras su ejecución. El motor de machine learning de CrowdStrike forma parte del agente Falcon y puede proteger el sistema online u offline. Además del machine learning, la detección de comportamientos incorporada en la plataforma Falcon también identifica la rápida encriptación de los archivos y bloquea la ejecución del ransomware para proteger el sistema. CrowdStrike lleva la seguridad en capas a un nivel más avanzado, integrando el machine learning y la detección de comportamientos en un único agente liviano para proteger los sistemas más importantes de los clientes. LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS Productos CrowdStrike
LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS CONCLUSIÓN Como los titulares de noticias continúan recordándonoslo, el ransomware sigue siendo una amenaza significativa por parte de cibercriminales y actores de Estado-nación que trabajan constantemente para aumentar sus capacidades maliciosas. CrowdStrike está comprometido en defender contra el ransomware, evolucionando e innovando su tecnología de seguridad para mantenerse un paso adelante de los adversarios más determinados e innovar su tecnología de seguridad para estar un paso por delante incluso de los adversarios más decididos. Como evidenciado por este documento, se requiere una combinación de elementos para proteger adecuadamente a su organización. Esto incluye tomar medidas prácticas para que su organización esté alineada con sólidas prácticas de seguridad, así como también implementar la innovadora tecnología de prevención y detección nativa de la nube provista por la plataforma de CrowdStrike Falcon. SOBRE CROWDSTRIKE CrowdStrike® Inc., un líder mundial en ciberseguridad, está redefiniendo la seguridad en la era de la nube con una plataforma de protección de endpoints construida desde cero para detener las brechas. La arquitectura de un agente único y liviano de la plataforma CrowdStrike Falcon® aprovecha la inteligencia artificial (IA) a escala de nube y ofrece protección y visibilidad en tiempo real en toda la empresa, previniendo ataques en endpoints, dentro o fuera de la red. Con la tecnología patentada de la CrowdStrike Threat Graph®, CrowdStrike Falcon correlaciona más de 1 billón de eventos por semana, y en tiempo real, relativos a endpoints de todo el mundo, alimentando una de las plataformas de datos más avanzadas del mundo en seguridad. Con CrowdStrike, los clientes se benefician de una mayor protección, un mejor rendimiento y un valor-tiempo inmediato ofrecidos por la plataforma Falcon en la nube. Solo hay una cosa que recordar sobre CrowdStrike: detenemos las brechas. Hable con un representante para obtener más información sobre cómo CrowdStrike puede ayudarle a proteger su entorno: Telefone: +1 (888) 512 8906 E-mail: latam@ rowd trike.com Web: www.crowdstrike.com/latam/ Más información enwww.crowdstrike.com/latam/ © 2021 CrowdStrike, Inc. Todos los derechos reservados. Productos CrowdStrike

Recomendados

Diapositiva De Informatico Piratas Claudio Gomez
Diapositiva De Informatico Piratas Claudio GomezDiapositiva De Informatico Piratas Claudio Gomez
Diapositiva De Informatico Piratas Claudio Gomezditnclaudio
 
Symantec - Innovación Hacker: del espionaje industrial por drones a estímulos...
Symantec - Innovación Hacker: del espionaje industrial por drones a estímulos...Symantec - Innovación Hacker: del espionaje industrial por drones a estímulos...
Symantec - Innovación Hacker: del espionaje industrial por drones a estímulos...Symantec LATAM
 
ESET Security Report Latinoamérica 2018
ESET Security Report Latinoamérica 2018ESET Security Report Latinoamérica 2018
ESET Security Report Latinoamérica 2018ESET Latinoamérica
 
piratas operan como empresas
piratas operan como empresaspiratas operan como empresas
piratas operan como empresasbuleria
 
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017ITS SECURITY
 
La ciberextorsión, una industria en crecimiento by @ElevenPaths
La ciberextorsión, una industria en crecimiento by @ElevenPaths La ciberextorsión, una industria en crecimiento by @ElevenPaths
La ciberextorsión, una industria en crecimiento by @ElevenPaths eraser Juan José Calderón
 
Diapositiva De Informatico Piratas Lui Talavera
Diapositiva De Informatico Piratas Lui TalaveraDiapositiva De Informatico Piratas Lui Talavera
Diapositiva De Informatico Piratas Lui Talaveraditntalavera
 
Informe sobre las amenazas para la seguridad en internet de symantec 2019
Informe sobre las amenazas para la seguridad en internet de symantec 2019Informe sobre las amenazas para la seguridad en internet de symantec 2019
Informe sobre las amenazas para la seguridad en internet de symantec 2019Yesith Valencia
 

Recomendados

Diapositiva De Informatico Piratas Claudio Gomez
Diapositiva De Informatico Piratas Claudio GomezDiapositiva De Informatico Piratas Claudio Gomez
Diapositiva De Informatico Piratas Claudio Gomezditnclaudio
 
Symantec - Innovación Hacker: del espionaje industrial por drones a estímulos...
Symantec - Innovación Hacker: del espionaje industrial por drones a estímulos...Symantec - Innovación Hacker: del espionaje industrial por drones a estímulos...
Symantec - Innovación Hacker: del espionaje industrial por drones a estímulos...Symantec LATAM
 
ESET Security Report Latinoamérica 2018
ESET Security Report Latinoamérica 2018ESET Security Report Latinoamérica 2018
ESET Security Report Latinoamérica 2018ESET Latinoamérica
 
piratas operan como empresas
piratas operan como empresaspiratas operan como empresas
piratas operan como empresasbuleria
 
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017
[ITS White Paper] Los 12 ciberataques con mayor impacto del 2017ITS SECURITY
 
La ciberextorsión, una industria en crecimiento by @ElevenPaths
La ciberextorsión, una industria en crecimiento by @ElevenPaths La ciberextorsión, una industria en crecimiento by @ElevenPaths
La ciberextorsión, una industria en crecimiento by @ElevenPaths eraser Juan José Calderón
 
Diapositiva De Informatico Piratas Lui Talavera
Diapositiva De Informatico Piratas Lui TalaveraDiapositiva De Informatico Piratas Lui Talavera
Diapositiva De Informatico Piratas Lui Talaveraditntalavera
 
Informe sobre las amenazas para la seguridad en internet de symantec 2019
Informe sobre las amenazas para la seguridad en internet de symantec 2019Informe sobre las amenazas para la seguridad en internet de symantec 2019
Informe sobre las amenazas para la seguridad en internet de symantec 2019Yesith Valencia
 
Piratas Que Operan Como Empresas
Piratas Que Operan Como EmpresasPiratas Que Operan Como Empresas
Piratas Que Operan Como EmpresasAlexis Acosta
 
Power Point Tarea 1
Power Point Tarea 1Power Point Tarea 1
Power Point Tarea 1Mackyabella
 
Articulos Seguridad Informática
Articulos Seguridad InformáticaArticulos Seguridad Informática
Articulos Seguridad InformáticaDionaYsabel
 
Empresas Piratas.Ppt
Empresas Piratas.PptEmpresas Piratas.Ppt
Empresas Piratas.PptANahiMartinez
 
Empresas Piratas.Ppt
Empresas Piratas.PptEmpresas Piratas.Ppt
Empresas Piratas.PptANahiMartinez
 
Empresas Piratas.Ppt
Empresas Piratas.PptEmpresas Piratas.Ppt
Empresas Piratas.PptANahiMartinez
 
Examen Informatico 2da. Parte
Examen Informatico 2da. ParteExamen Informatico 2da. Parte
Examen Informatico 2da. ParteIván Mauricio
 
Piratas Que Operan Como Empresas Dani
Piratas Que Operan Como Empresas DaniPiratas Que Operan Como Empresas Dani
Piratas Que Operan Como Empresas Daniditnnegro
 
Presentacion Der Informaticoderecho informatico
Presentacion Der Informaticoderecho informaticoPresentacion Der Informaticoderecho informatico
Presentacion Der Informaticoderecho informaticoMarcio Valiente
 
Tendencias en seguridad informática
Tendencias en seguridad informáticaTendencias en seguridad informática
Tendencias en seguridad informáticaKaspersky Lab
 
Piratas Que Operan Como Empresas Julian
Piratas Que Operan Como Empresas JulianPiratas Que Operan Como Empresas Julian
Piratas Que Operan Como Empresas Julianditnnegro
 
Piratas que operan como empresa
Piratas que operan como empresaPiratas que operan como empresa
Piratas que operan como empresaderechouna
 
Ciberdelincuencia 2011
Ciberdelincuencia 2011Ciberdelincuencia 2011
Ciberdelincuencia 2011Argenis Nieves Berroeta
 
Piratas
PiratasPiratas
Piratascelsoayala
 
Hacking
HackingHacking
HackingAlexMartnezCastro
 
Seguridad Piratas Que Operan Como Empresas
Seguridad Piratas Que Operan Como EmpresasSeguridad Piratas Que Operan Como Empresas
Seguridad Piratas Que Operan Como Empresasguest2e6e8e
 
Seguridad Piratas Que Operan Como Empresas
Seguridad Piratas Que Operan Como EmpresasSeguridad Piratas Que Operan Como Empresas
Seguridad Piratas Que Operan Como Empresasguest2e6e8e
 
Piratas Que Operan Como Empresas
Piratas Que Operan Como EmpresasPiratas Que Operan Como Empresas
Piratas Que Operan Como Empresasguestc30f3d
 
Cibercrimen
CibercrimenCibercrimen
CibercrimenThómas Aquino C
 
P I R A T A S Q U E O P E R A N C O M O E M P R E S A S G A B I
P I R A T A S Q U E O P E R A N C O M O E M P R E S A S G A B IP I R A T A S Q U E O P E R A N C O M O E M P R E S A S G A B I
P I R A T A S Q U E O P E R A N C O M O E M P R E S A S G A B Iditnnegro
 
superherramientas.pdf
superherramientas.pdfsuperherramientas.pdf
superherramientas.pdfHugoCarlosSanLuisLop
 
guia10habitos.pdf
guia10habitos.pdfguia10habitos.pdf
guia10habitos.pdfHugoCarlosSanLuisLop
 

Más contenido relacionado

Similar a The-Evolution-of-Ransomware-White-PaperSanishLatAmSept21.pdf.pdf

Piratas Que Operan Como Empresas
Piratas Que Operan Como EmpresasPiratas Que Operan Como Empresas
Piratas Que Operan Como EmpresasAlexis Acosta
 
Power Point Tarea 1
Power Point Tarea 1Power Point Tarea 1
Power Point Tarea 1Mackyabella
 
Articulos Seguridad Informática
Articulos Seguridad InformáticaArticulos Seguridad Informática
Articulos Seguridad InformáticaDionaYsabel
 
Empresas Piratas.Ppt
Empresas Piratas.PptEmpresas Piratas.Ppt
Empresas Piratas.PptANahiMartinez
 
Empresas Piratas.Ppt
Empresas Piratas.PptEmpresas Piratas.Ppt
Empresas Piratas.PptANahiMartinez
 
Empresas Piratas.Ppt
Empresas Piratas.PptEmpresas Piratas.Ppt
Empresas Piratas.PptANahiMartinez
 
Examen Informatico 2da. Parte
Examen Informatico 2da. ParteExamen Informatico 2da. Parte
Examen Informatico 2da. ParteIván Mauricio
 
Piratas Que Operan Como Empresas Dani
Piratas Que Operan Como Empresas DaniPiratas Que Operan Como Empresas Dani
Piratas Que Operan Como Empresas Daniditnnegro
 
Presentacion Der Informaticoderecho informatico
Presentacion Der Informaticoderecho informaticoPresentacion Der Informaticoderecho informatico
Presentacion Der Informaticoderecho informaticoMarcio Valiente
 
Tendencias en seguridad informática
Tendencias en seguridad informáticaTendencias en seguridad informática
Tendencias en seguridad informáticaKaspersky Lab
 
Piratas Que Operan Como Empresas Julian
Piratas Que Operan Como Empresas JulianPiratas Que Operan Como Empresas Julian
Piratas Que Operan Como Empresas Julianditnnegro
 
Piratas que operan como empresa
Piratas que operan como empresaPiratas que operan como empresa
Piratas que operan como empresaderechouna
 
Seguridad Piratas Que Operan Como Empresas
Seguridad Piratas Que Operan Como EmpresasSeguridad Piratas Que Operan Como Empresas
Seguridad Piratas Que Operan Como Empresasguest2e6e8e
 
Seguridad Piratas Que Operan Como Empresas
Seguridad Piratas Que Operan Como EmpresasSeguridad Piratas Que Operan Como Empresas
Seguridad Piratas Que Operan Como Empresasguest2e6e8e
 
Piratas Que Operan Como Empresas
Piratas Que Operan Como EmpresasPiratas Que Operan Como Empresas
Piratas Que Operan Como Empresasguestc30f3d
 
P I R A T A S Q U E O P E R A N C O M O E M P R E S A S G A B I
P I R A T A S Q U E O P E R A N C O M O E M P R E S A S G A B IP I R A T A S Q U E O P E R A N C O M O E M P R E S A S G A B I
P I R A T A S Q U E O P E R A N C O M O E M P R E S A S G A B Iditnnegro
 

Similar a The-Evolution-of-Ransomware-White-PaperSanishLatAmSept21.pdf.pdf (20)

Piratas Que Operan Como Empresas
Piratas Que Operan Como EmpresasPiratas Que Operan Como Empresas
Piratas Que Operan Como Empresas
 
Power Point Tarea 1
Power Point Tarea 1Power Point Tarea 1
Power Point Tarea 1
 
Articulos Seguridad Informática
Articulos Seguridad InformáticaArticulos Seguridad Informática
Articulos Seguridad Informática
 
Empresas Piratas.Ppt
Empresas Piratas.PptEmpresas Piratas.Ppt
Empresas Piratas.Ppt
 
Empresas Piratas.Ppt
Empresas Piratas.PptEmpresas Piratas.Ppt
Empresas Piratas.Ppt
 
Empresas Piratas.Ppt
Empresas Piratas.PptEmpresas Piratas.Ppt
Empresas Piratas.Ppt
 
Examen Informatico 2da. Parte
Examen Informatico 2da. ParteExamen Informatico 2da. Parte
Examen Informatico 2da. Parte
 
Piratas Que Operan Como Empresas Dani
Piratas Que Operan Como Empresas DaniPiratas Que Operan Como Empresas Dani
Piratas Que Operan Como Empresas Dani
 
Presentacion Der Informaticoderecho informatico
Presentacion Der Informaticoderecho informaticoPresentacion Der Informaticoderecho informatico
Presentacion Der Informaticoderecho informatico
 
Tendencias en seguridad informática
Tendencias en seguridad informáticaTendencias en seguridad informática
Tendencias en seguridad informática
 
Piratas Que Operan Como Empresas Julian
Piratas Que Operan Como Empresas JulianPiratas Que Operan Como Empresas Julian
Piratas Que Operan Como Empresas Julian
 
Piratas que operan como empresa
Piratas que operan como empresaPiratas que operan como empresa
Piratas que operan como empresa
 
Ciberdelincuencia 2011
Ciberdelincuencia 2011Ciberdelincuencia 2011
Ciberdelincuencia 2011
 
Piratas
PiratasPiratas
Piratas
 
Hacking
HackingHacking
Hacking
 
Seguridad Piratas Que Operan Como Empresas
Seguridad Piratas Que Operan Como EmpresasSeguridad Piratas Que Operan Como Empresas
Seguridad Piratas Que Operan Como Empresas
 
Seguridad Piratas Que Operan Como Empresas
Seguridad Piratas Que Operan Como EmpresasSeguridad Piratas Que Operan Como Empresas
Seguridad Piratas Que Operan Como Empresas
 
Piratas Que Operan Como Empresas
Piratas Que Operan Como EmpresasPiratas Que Operan Como Empresas
Piratas Que Operan Como Empresas
 
Cibercrimen
CibercrimenCibercrimen
Cibercrimen
 
P I R A T A S Q U E O P E R A N C O M O E M P R E S A S G A B I
P I R A T A S Q U E O P E R A N C O M O E M P R E S A S G A B IP I R A T A S Q U E O P E R A N C O M O E M P R E S A S G A B I
P I R A T A S Q U E O P E R A N C O M O E M P R E S A S G A B I
 

Más de HugoCarlosSanLuisLop

Guia para romper la paralisis emprendedora.pdf
Guia para romper la paralisis emprendedora.pdfGuia para romper la paralisis emprendedora.pdf
Guia para romper la paralisis emprendedora.pdfHugoCarlosSanLuisLop
 
Guia-de-Monedas-digitales-Equiti.pdf
Guia-de-Monedas-digitales-Equiti.pdfGuia-de-Monedas-digitales-Equiti.pdf
Guia-de-Monedas-digitales-Equiti.pdfHugoCarlosSanLuisLop
 
INSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdf
INSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdfINSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdf
INSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdfHugoCarlosSanLuisLop
 
Manual Supervisión Riesgos Cibernéticos.pdf
Manual Supervisión Riesgos Cibernéticos.pdfManual Supervisión Riesgos Cibernéticos.pdf
Manual Supervisión Riesgos Cibernéticos.pdfHugoCarlosSanLuisLop
 
Herbolaria-Cientifica-HI-E-book.pdf
Herbolaria-Cientifica-HI-E-book.pdfHerbolaria-Cientifica-HI-E-book.pdf
Herbolaria-Cientifica-HI-E-book.pdfHugoCarlosSanLuisLop
 

Más de HugoCarlosSanLuisLop (16)

superherramientas.pdf
superherramientas.pdfsuperherramientas.pdf
superherramientas.pdf
 
guia10habitos.pdf
guia10habitos.pdfguia10habitos.pdf
guia10habitos.pdf
 
habitos.pdf
habitos.pdfhabitos.pdf
habitos.pdf
 
conectarse.pdf
conectarse.pdfconectarse.pdf
conectarse.pdf
 
Guia para romper la paralisis emprendedora.pdf
Guia para romper la paralisis emprendedora.pdfGuia para romper la paralisis emprendedora.pdf
Guia para romper la paralisis emprendedora.pdf
 
EMPALMES.pptx
EMPALMES.pptxEMPALMES.pptx
EMPALMES.pptx
 
Guia Fitnes.pdf
Guia Fitnes.pdfGuia Fitnes.pdf
Guia Fitnes.pdf
 
Como-ganarle-el-juego-al-SEO.pdf
Como-ganarle-el-juego-al-SEO.pdfComo-ganarle-el-juego-al-SEO.pdf
Como-ganarle-el-juego-al-SEO.pdf
 
revista_no1_guiaSueno.pdf
revista_no1_guiaSueno.pdfrevista_no1_guiaSueno.pdf
revista_no1_guiaSueno.pdf
 
Guia-de-Monedas-digitales-Equiti.pdf
Guia-de-Monedas-digitales-Equiti.pdfGuia-de-Monedas-digitales-Equiti.pdf
Guia-de-Monedas-digitales-Equiti.pdf
 
INSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdf
INSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdfINSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdf
INSTALACIONES-ELECTRICAS-BASICAS-PARA-CASAS.pdf
 
Manual Supervisión Riesgos Cibernéticos.pdf
Manual Supervisión Riesgos Cibernéticos.pdfManual Supervisión Riesgos Cibernéticos.pdf
Manual Supervisión Riesgos Cibernéticos.pdf
 
curso_de_ingles_nivel_basico.pdf
curso_de_ingles_nivel_basico.pdfcurso_de_ingles_nivel_basico.pdf
curso_de_ingles_nivel_basico.pdf
 
Herbolaria-Cientifica-HI-E-book.pdf
Herbolaria-Cientifica-HI-E-book.pdfHerbolaria-Cientifica-HI-E-book.pdf
Herbolaria-Cientifica-HI-E-book.pdf
 
Mesa de ayuda.pdf
Mesa de ayuda.pdfMesa de ayuda.pdf
Mesa de ayuda.pdf
 
ruta-critica.pdf
ruta-critica.pdfruta-critica.pdf
ruta-critica.pdf
 

Último

SISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVO
SISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVOSISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVO
SISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVOELIAMARYTOVARFLOREZD
 
Introducción a Plone CMS - World Plone Day 2024
Introducción a Plone CMS - World Plone Day 2024Introducción a Plone CMS - World Plone Day 2024
Introducción a Plone CMS - World Plone Day 2024Leonardo J. Caballero G.
 
Semana 5-Conceptualización del lenguaje de programación C++
Semana 5-Conceptualización del lenguaje de programación C++Semana 5-Conceptualización del lenguaje de programación C++
Semana 5-Conceptualización del lenguaje de programación C++luzgaray6
 
Presentación de html, css y javascript.
Presentación de html, css y javascript.Presentación de html, css y javascript.
Presentación de html, css y javascript.CeteliInmaculada
 
MacOS SISTEMA OPERATIVO CARACTERISTICAS.pptx
MacOS SISTEMA OPERATIVO CARACTERISTICAS.pptxMacOS SISTEMA OPERATIVO CARACTERISTICAS.pptx
MacOS SISTEMA OPERATIVO CARACTERISTICAS.pptxcalzadillasluis134
 
Theme design in Plone 6 - World Plone Day 2024
Theme design in Plone 6 - World Plone Day 2024Theme design in Plone 6 - World Plone Day 2024
Theme design in Plone 6 - World Plone Day 2024Leonardo J. Caballero G.
 

Último (6)

SISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVO
SISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVOSISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVO
SISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVO
 
Introducción a Plone CMS - World Plone Day 2024
Introducción a Plone CMS - World Plone Day 2024Introducción a Plone CMS - World Plone Day 2024
Introducción a Plone CMS - World Plone Day 2024
 
Semana 5-Conceptualización del lenguaje de programación C++
Semana 5-Conceptualización del lenguaje de programación C++Semana 5-Conceptualización del lenguaje de programación C++
Semana 5-Conceptualización del lenguaje de programación C++
 
Presentación de html, css y javascript.
Presentación de html, css y javascript.Presentación de html, css y javascript.
Presentación de html, css y javascript.
 
MacOS SISTEMA OPERATIVO CARACTERISTICAS.pptx
MacOS SISTEMA OPERATIVO CARACTERISTICAS.pptxMacOS SISTEMA OPERATIVO CARACTERISTICAS.pptx
MacOS SISTEMA OPERATIVO CARACTERISTICAS.pptx
 
Theme design in Plone 6 - World Plone Day 2024
Theme design in Plone 6 - World Plone Day 2024Theme design in Plone 6 - World Plone Day 2024
Theme design in Plone 6 - World Plone Day 2024
 

The-Evolution-of-Ransomware-White-PaperSanishLatAmSept21.pdf.pdf

  • 1. LA EVOLUCIÓN DEL RANSOMWARE: CÓMO PROTEGERSE DE LAS NUEVAS TENDENCIAS Y MÉTODOS DE LOS ADVERSARIOS Productos CrowdStrike
  • 2. LAEVOLUCIÓNDELRANSOMWAREYLASTENDENCIASACTUALES UN VIEJO ESQUEMA MONETIZACIÓN MÁS FÁCIL PERO AÚN COMPLICADO LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS ESTUDIODECASO ELRANSOMWAREDARKSIDE ALTERAELFUNCIONAMIENTO DECOLONIALPIPELINE Productos CrowdStrike No hay duda de que el ransomware continúa siendo una amenaza creciente. De hecho, los adversarios de ransomware que proliferaron en el 2020 continúan tan decididos como siempre, lo que se ha visto evidenciado por la introducción de tácticas, técnicas y procedimientos (TTPs, por sus siglas en inglés) cada vez más dañinos y que fueron presentados a detalle en el Informe Global de Amenazas de CrowdStrike 2021. Los ataques globales de alto perfil a los sectores público y privado muestran sólo una pequeña imagen de una industria cibercriminal que es mucho más amplia, especialmente porque no todos los ataques de ransomware acaban siendo noticia. En efecto, en la Encuesta de CrowdStrike sobre la Postura de Seguridad a Nivel Global 2020, el 56% de los encuestados admitió que su organización había sufrido un ataque de ransomware en los 12 meses anteriores. Este documento explica la evolución del ransomware por medio del análisis de las nuevas tendencias en las amenazas de extorsión en línea, ofreciendo consejos prescriptivos sobre cómo proteger y asegurar su organización contra este tipo de ataque. El ransomware ha sido titular de noticias constantemente en los últimos seis años. No obstante, tomar computadores o archivos de los usuarios como rehenes, por medio de la encriptación de archivos, dificultando el acceso al sistema u otros métodos - y luego exigiendo un rescate para devolverlos - es una idea bastante antigua. A finales de la década de 1980, los delincuentes ya tomaban computadoras o archivos como rehenes a cambio de dinero enviado a través del correo. Uno de los primeros virus ransomware documentados fue el troyano AIDS (PC Cyborg Virus), lanzado en disquete en 1989. Las víctimas debían enviar $189 dólares a una dirección en Panamá para restaurar el acceso a sus sistemas, a pesar de que era un simple virus que utilizaba criptografía simétrica. Un ataque de ransomware interrum- pió el funcionamiento de Colonial Pipeline en mayo de 2021 -el oleoducto transporta casi la mitad de todo el combustible que se consume en la costa este de Estados Unidos-, reflejando la fragilidad de las infraestructuras más importantes y la magnitud de los problemas a los que se enfrentan los líderes del sector público y privado encargados de protegerlas. El 10 de mayo, el FBI señaló pública- mente que el incidente de Colonial Pipeline estuvo relacionado con el ransomware DarkSide. Más tarde, se informó que Colonial Pipeline sufrió el robo de aproximadamente 100 GB de datos de su red y que la organiza- ción afirmó haber pagado casi 5 millones de dólares a una filial de DarkSide. Según Reuters, "El Departamento de Justicia recuperó el lunes alrededor de $2,3 millones de dólares de un rescate en criptomonedas pagado por Colonial Pipeline Co, tomando fuertes medidas contra los hackers que lanzaron uno de los ciber ataques más disruptivos registrados en Estados Unidos " (7 de junio de 2021). DarkSide está asociado a un grupo criminal rastreado por CrowdStrike Intelligence como CARBON SPIDER. Investigadores de seguridad, clientes y cualquier otra persona interesada en saber más sobre las estrategias técnicas, los sectores atacados y el origen de CARBON SPIDER pueden explorar el Universo Adversario de CrowdStrike para más información de inteligencia sobre este adversario rastreado y muchos otros. A pesar de su larga historia, los ataques de ransomware todavía no estaban tan extendidos en la década de 2000 - probablemente debido a las dificultades en el cobro de los pagos. No obstante, todo esto cambió con el surgimiento de las criptomonedas, tales como el Bitcoin en el 2010. Al proporcionar un método fácil e imposible de rastrear para recibir el pago de las víctimas, las monedas virtuales crearon la oportunidad para que el ransomware se volviera un negocio lucrativo. El eCrime — una amplia categoría de actividad maliciosa que incluye todo tipo de ciberataques, incluyendo malware, troyanos bancarios, ransomware, mineware (cryptojacking) y crimeware — aprovechó la oportunidad de monetización creada por el Bitcoin. Esto dio lugar a una proliferación sustancial del ransomware a partir del 2012. Sin embargo, este modelo de negocio de ransomware sigue siendo imperfecto. Si bien los pagos de Bitcoin son transacciones que los delincuentes pueden utilizar fácilmente, los blancos de sus ataques, que no son expertos en tecnología, no siempre pueden navegar por ellos de manera simple. Para garantizar el pago, algunos delincuentes han llegado a abrir call centers para brindar soporte técnico y ayudar a las víctimas a inscribirse en Bitcoin - pero esto lleva tiempo y cuesta dinero.
  • 3. ELCAZAMAYOR MODELO DE AMENAZA DEL CAZA MAYOR Vector de Infección Inicial Despliegue del Rescate Rescate Bitcoin Movimiento Lateral Para optimizar sus esfuerzos, los operadores del eCrime decidieron pasar del estilo de ataques de "disparar a diestra y siniestra", que dominaban el espacio del ransomware, a centrarse en una "caza mayor" (BGH, por sus siglas en inglés). El BGH combina el ransomware con las tácticas, técnicas y procedimientos (TTPs) comunes en los ataques dirigidos a organizaciones más grandes. En vez de lanzar una mayor cantidad de ataques de ransomware contra blancos menores, el objetivo del BGH es centrar los esfuerzos en menos víctimas que puedan producir un mayor beneficio financiero - aquellas que valgan el tiempo y el esfuerzo de los criminales. Esta transición ha sido tan pronunciada que, en el Informe Global de Amenazas de CrowdStrike® del 2020 y 2021, el BGH fue señalado como una de las tendencias más destacadas en el ecosis- tema del eCrime. Este cambio tectónico hacia los ataques de caza mayor se ha sentido en todo el ecosistema del eCrime, siendo que la extorsión de datos y el pago de rescates se han vuelto las tácticas más comunes para la monetización en el 2020. A lo largo del 2020, el BGH siguió siendo una amenaza generalizada para las empresas de todo el mundo y de todos los sectores, siendo que CrowdStrike Intelligence ha identificado al menos 1.377 infecciones específicas de BGH. Figura 1. Los grupos adversarios están apuntándoles a las organizaciones empresariales con ataques BGH que representan enormes ganancias. LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS Productos CrowdStrike
  • 4. LOSACTORESDETRÁSDELOS ATAQUESDERANSOMWARE MÁSSOFISTICACIÓNY LÍMITESBORROSOS 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 • Las primeras variantes del ransomware moderno aparecen "in the wild" • Scareware dominado por AV falsos y herramientas de utilidades rogue • 10.000 muestras de ransomware • Nacimiento del Bitcoin • Surge el ransomware de bloqueo de pantalla • Más de 250,000 muestras de ransomware • Aparece el CryptoLocker • Uso de claves de criptografía RSA de 2048-bit • Ransomware establecido en $300 • Ingresos del CryptoLocker: $30 millones de dólares en 100 días • Surge el ransomware JavaScript • Aparece el Locky • Hospital paga un rescate de $17,000 • Ingresos del ransomware > $1 mil millones de dólares • Surgimiento del caza mayor (BGH) • El BGH ataca infraestructuras • Una compañía financiera paga rescate de $40 millones de dólares • El ransomware va desde una criptografía de 56-bit hasta una de clave pública RSA de 660-bit • El malware evoluciona y pasa de introducir falsos antivirus (AV) a encriptar archivos • El programa fraudulento FileFix Pro extorsiona y pide $40 para "ayudar" a desencriptar los archivos • Más de 100,000 muestras de ransomware • Rescates alcanzan los $200 • Ransomware de imitación de aplicación de la ley • Más de 4 millones de muestras de ransomware • Aparece el ransomware como servicio • Surge el TeslaCrypt • WannaCry y NotPetya patrocinados por Estados- nación combinan técnicas tipo gusano para expandirse por todo el mundo • El BGH ataca gobiernos estatales y locales • Gobierno local paga $ 460 mil en rescate LAEVOLUCIÓNDEL RANSOMWAREMODERNO CrowdStrike® Intelligence monitorea el ecosistema eCrime haciéndole seguimiento a organizaciones del eCrime, así como a actores de amenazas independientes y sus relaciones. Por ejemplo, el creador del Samas (también conocido como Sam Sam) fue identificado como un actor de amenazas llamado BOSS SPIDER; el INDRIK SPIDER fue reconocido por la creación del Dridex; y el WIZARD SPIDER, también conocido como el operador ruso del malware bancario TrickBot - que en el pasado se había enfocado principal- mente en el fraude electrónico-, fue identificado como el grupo que creó Ryuk. Se ha observado que estos grupos despliegan ataques ransomware que hacen parte de la tendencia del BGH y obtienen enormes ganancias a través de ataques dirigidos que generan grandes recompensas. CrowdStrike también ha observado que los actores de amenazas han comenzado a trabajar juntos para facilitar los ataques dirigidos e incremen- tar las capacidades como "megacorps". El Informe Global de Amenazas de CrowdStrike 2021 identificó que WIZARD SPIDER- un actor de BGH y una "megacorp" de eCrime establecida - mantuvo sus operaciones a un ritmo acelerado para convertirse en el adversario de eCrime más reportado por segundo año consecutivo. Al igual que cualquier desarrollador de software, los grupos de eCrime se esfuerzan constantemente por mejorar y actualizar su ransomware con nuevas funciones. El WIZARD SPIDER, por ejemplo, ha agregado muchas capacidades nuevas al Ryuk, eliminando la funcionalidad inútil y obsoleta del código. Este grupo también agregó nuevos módulos de enumeración que se descargan en los sistemas de las víctimas para localizar creden- ciales y realizar movimientos laterales dentro del entorno de ésta - con el objetivo de obtener acceso al controlador de dominio. Obtener dicho acceso con éxito le permite al WIZARD SPIDER desplegar el ransomware Ryuk en todo el entorno de la víctima. Para complicar las cosas, una tendencia observada en el 2018, y que continúa hasta hoy, es que las líneas divisorias entre el ransomware de Estado-nación y las campañas de eCrime se están desdibujando. No está claro si el código de ransomware es robado o compartido voluntariamen- te entre los actores de Estado-nación y los cibercriminales, pero CrowdStrike ha observado que ambos tipos de adversarios usan un malware similar, como el Ryuk, ya sea para obtener ganancias financieras inmediatas o para crear una distracción y ocultar el origen de un ataque de Estado-nación. LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS Productos CrowdStrike
  • 5. CÓMOFUNCIONAELRANSOMWARE PSICOLOGÍA OSCURA: COMBINANDO LA INTELIGENCIA EMPRESARIAL CON IMPLACABLE INGENIERÍA SOCIAL ATAQUES SIN ARCHIVOS: RANSOMWARE SIN RANSOMWARE POP-UPS DE PÁGINAS WEB Y KITS DE EXPLOITS: UNA DAÑINA COMBINACIÓN CEPAS DE RANSOMWARE DIGNAS DE ATENCIÓN Hay muchos puntos de entrada para el ransomware, siendo los correos electróni- cos de phishing y los pop-ups de páginas web los vectores más comunes. Otra ruta de entrada implica el uso de kits de exploits que sacan provecho de vulnerabilida- des específicas. BitPaymer: ataca empresas que utilizan el módulo cargador de Dridex para obtener un punto de apoyo inicial en la red de la víctima Dridex: Una cepa de malware bancario que aprovecha las macros en Microsoft Office para infectar los sistemas KeranGer: Primer ransomware dirigido al Mac OS X, también fue capaz de encriptar archivos de backup del Time Machine. Ransom32: Escrito en Javascript, es adecuado para una infección multiplatafor- ma en sistemas Mac y Linux PowerWare: Encripta archivos rehenes a través de una infección "sin archivos" Ryuk: Similar al Samas y BitPaymer porque ataca las empresas y utiliza PowerShell-PsExec para expulsar su binario Samas: Se aprovecha de sistemas JBOSS vulnerables para expandirse en una red, atacando, inclusive, archivos de backup en ésta - ataca grandes organizaciones por BGH WannaCry: Gusano ransomware que saca provecho del exploit EternalBlue de Microsoft Windows - encripta utilizando AES Hermes: RaaS distribuido por primera vez en el 2017 — a mediados de agosto de 2018, una versión modificada del Hermes, apodada Ryuk, comenzó a aparecer en un repositorio público de malware DarkSide: Tradicionalmente, los RaaS se han enfocado en Windows y, recientemente, se han expandido a Linux, atacando entornos de empresas por medio de la ejecución de hipervisores VMware ESXi sin parchear o robando credenciales de vCenter. La tecnología y la naturaleza humana son dos caras de la misma moneda cuando se trata de ataques de ransomware. En un caso observado por CrowdStrike, el email de un CEO fue falsificado y el atacante usó ingeniería social para engañar a los empleados y llevarlos a que hicieran clic en un enlace dentro de un email falso de este ejecutivo. Para tener éxito, este ataque requería una investigación metódica sobre la administración de la empresa, sus empleados y la industria. A medida que aumentan los ataques de BGH, la ingeniería social se está convirtiendo en una presencia más común en los ataques de phishing. Las redes sociales también juegan un papel muy importante, no solo permitiéndoles a los atacantes descubrir información de las víctimas potenciales, sino, también, sirviendo de conducto para implementar un malware. Los pop-ups de páginas web y los kits de exploits pueden ser utilizados juntos para propagar el ransomware que les permite a los atacantes crear "pop-ups troyanos" o anuncios que contienen códigos maliciosos ocultos. Si los usuarios hacen clic en uno de ellos, son redirigidos a la landing page del kit de exploits de manera encubierta. Allí, un componente del kit de exploits escaneará discretamente el dispositivo para detectar vulnerabilidades que el atacante pueda explotar. Si el kit de exploits tiene éxito, éste envía una carga útil de ransomware para infectar el host. Los kits de exploits son populares entre las organizaciones de eCrime debido a su naturaleza automatizada. Además, los exploits son una técnica eficiente sin archivos, pues pueden inyectarse directamente en la memoria sin que se requiera escribir en el disco, haciéndolos indetectables a un software de antivirus tradicio- nal. Los kits de exploits también están proliferando entre los atacantes menos sofisticados, porque no requieren una gran cantidad de conocimientos técnicos para ser implementados Con una modesta inversión en la darknet, prácticamente cualquier persona puede entrar en el negocio de rescate en línea. Las técnicas de ransomware sin archivos están aumentando. Estos son ataques en los que la táctica inicial no da como resultado un archivo ejecutable escrito en el disco. El ransomware sin archivos utiliza herramientas preinstaladas del sistema operativo, como PowerShell o WMI, para permitirle al atacante realizar tareas sin tener que ejecutar un archivo malicioso en el sistema comprometido. Esta técnica es popular porque los ataques sin archivos pueden eludir la mayoría de las soluciones de AV tradicionales. Para obtener una explicación detallada sobre cómo funciona el ransomware sin archivos, descargue la infografía de CrowdStrike sobre ransomware sin archivos. LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS Productos CrowdStrike
  • 6. EL RANSOMWARE COMO SERVICIO (RAAS) Y LOS BRÓKERES DE ACCESO OFUSCACIÓN DE MALWARE IMPLEMENTADA EN PROCESOS DE COMPILACIÓN ATAQUES A LA INFRAESTRUCTURA DE VIRTUALIZACIÓN Los proveedores de RaaS ofrecen todos los componentes de ataque necesarios para ejecutar campañas de ransomware, desde códigos maliciosos hasta paneles de resultados. En el 2020, CrowdStrike Intelligence observó que WIZARD SPIDER y MUMMY SPIDER implementaron herramientas de protección de software de código abierto en sus proce- sos de compilación de malware. El uso de técnicas de ofuscación en malware no es algo nuevo. Sin embargo, la inclusión de herramientas de código abierto en los procesos de compilación es algo novedoso, pues respalda adversarios avanzados que están buscando formas de mantener la agilidad en sus procesos de desarrollo. Debido a la complejidad del código abierto, esta táctica puede tener una adopción limitada por parte de los grupos de amenaza menos sofisticados. En el 2020, CrowdStrike Intelligence observó tanto a SPRITE SPIDER (los operadores de Defray777) como CARBON SPIDER (los operadores de DarkSide) desplegando las versiones Linux de sus respectivas familias de ransomware en hosts ESXi en operacio- nes de BGH. Aunque el ransomware para Linux no es algo nuevo, sí lo es que los actores de BGH ataquen a Linux y, específicamente, a ESXi. Este es un blanco de ataque natural para los operadores de ransomware, pues cada vez más organizaciones están migrando a soluciones de virtualización para consolidar los sistemas de TI tradicionales. Debido a que los ciber criminales siempre están buscando formas de optimizar sus operaciones y generar más ganancias, éstos se han inspirado en el modelo SaaS (software como servicio) para crear un modelo RaaS (ransomware como servicio). Los proveedores de RaaS ofrecen todos los componentes de ataque necesarios para ejecutar campañas de ransomware, desde códigos maliciosos hasta paneles de resultados. Algunos también incluyen un departamento de servicio al cliente, permitien- do que el ransomware esté al alcance de criminales sin experiencia técnica. Adicional- mente, el costo de la suscripción suele cubrirse con parte de las ganancias de una campaña - haciendo que este modelo sea una opción rentable para los cibercriminales. Un ejemplo de esto es el famoso RaaS CARBON SPIDER. CARBON SPIDER profundi- zó su compromiso con el BGH en agosto de 2020 utilizando su propio ransomware, DarkSide. En noviembre de 2020, éste amplió su marca en el BGH al establecer un programa de afiliados de RaaS para DarkSide. Este programa permite que otros actores de amenazas usen el ransomware DarkSide mientras le pagan una parte a CARBON SPIDER. Los brókeres de acceso son actores de amenazas que obtienen acceso backend a varias organizaciones (empresas y entidades gubernamentales) y lo venden ya sea en foros criminales o a través de canales privados. Los compradores ahorran tiempo con blancos de ataque identificados previamente y un acceso ya establecido, permitiendo tener más blancos de ataque y despliegues más rápidos que resultan en una mayor probabilidad de monetización. El uso de brókeres de acceso se ha vuelto cada vez más común entre los actores del BGH y potenciales operadores de ransomware. CrowdStrike Intelligence ha observado que algunos brókeres de acceso están asociados a grupos de RaaS. LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS Productos CrowdStrike
  • 7. CÓMO PROTEGERSE DEL RANSOMWARE PASOS PRÁCTICOS INDICADORES DE ATAQUE: UNA FORMA ÚNICA Y EFICIENTE DE DETENER EL MALWARE SIN ARCHIVOS Las copias de seguridad son una buena defensa, pero también deben protegerse, pues a menudo son lo primero que los atacantes bloquean o intentan destruir en un entorno. Asegurarse de que las copias de seguridad están seguras y se pueda acceder a ellas por separado, incluso en un entorno comprometido, es una medida de precaución estándar. En septiembre de 2020, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) del Departamento de Seguridad Nacional de EE. UU.y el Centro de Análisis e Intercambio de Información Multiestatal (MS- ISAC), publicaron una guía conjunta sobre ransomware, resaltando las medidas adicionales que las organizaciones deben tomar para entender y enfrentar las amenazas del ransomware. La guía ofrece consejos sobre cómo protegerse del ransomware, cómo prepararse para un posible incidente, cómo recuperarse de un ataque y dónde encontrar ayuda. Ésta incluye recomendaciones prácti- cas que van desde mantener los sistemas parcheados y actualizados, hasta capacitar a los usuarios finales y crear y ejecutar un plan de respuesta a incidentes. USO DEL MARCO MITRE ATT&CK® PARA EVALUAR LA PREPARACIÓN El marco MITRE ATT&CK es una matriz integral que reúne y clasifica las técnicas y tácticas utilizadas por los adversarios. Éste incluye técnicas específicas de ransomware bajo una categoría llamada “Impacto.” La información provista les permite a los equipos de seguridad ver cómo pueden ser atacados, reflexionar sobre sus habilidades para detectar y detener dichas técnicas y planear una óptima protección. EL ENFOQUE DE CROWDSTRIKE Debido a que los creadores de ransomware cambian sus técnicas constantemente, la plataforma de última generación de CrowdStrike Falcon® de protección de endpoints les permite a los equipos de seguridad utilizar una variedad de métodos complementarios de prevención y detección, incluyendo los siguientes: Higiene de TI para una rápida identificación y eliminación de actividades maliciosas o que no cumplen con ciertos estándares, proporcionando una visibilidad inigualable y en tiempo real de los dispositivos, usuarios y aplicaciones dentro de su red Machine learning para la prevención de ransomware conocido y previamente desconoci- do o de "día cero", sin necesidad de actualizaciones Bloqueo de exploits para detener la ejecución y propagación de ransomware a través de vulnerabilidades sin parchear Indicadores de ataque (IOAs) para identificar y bloquear comportamientos adicionales de ransomware y proteger contra ransomware sin archivos y otras nuevas categorías Análisis de amenazas automatizado para obtener, de manera inmediata, todos los detalles sobre el ransomware encontrado, incluyendo su origen, atribución, familias similares e IOCs (indicadores de compromiso) Zero Trust para comprender datos sobre comportamiento, limitar la superficie de ataque con la segmentación, automatizar la seguridad vinculada al contexto y verificar continua- mente el acceso con la menor fricción posible El ransomware sin archivos es extremadamente difícil de detectar utilizando métodos basados en firmas, sandboxing o, inclusive, análisis de machine learning. CrowdStrike ha desarrollado un enfoque más eficiente, utilizando indicadores de ataque (IOAs, por sus siglas en inglés) para identificar y bloquear ransomware desconoci- do adicional y otro tipo de ataques. Los IOAs buscan señales de alerta temprana de que un ataque puede estar en marcha - las señales pueden incluir la ejecución de códigos, intentos de ser sigiloso y el movimiento lateral, por nombrar algunos. Al identificar la ejecución de estas actividades en tiempo real, incluida su secuencia y dependen- cias, la tecnología IOA puede reconocerlas como indicadores tempranos que revelan las verdade- ras intenciones y objetivos de un atacante. Los IOAs también proporcionan una forma confiable de evitar que el ransomware elimine las copias de seguridad. Esto les brinda a los usuarios la capacidad de restaurar archivos encriptados, incluso si dicha encriptación comenzó antes de que el ransomware fuese detenido. Esta capacidad de los IOAs de monitorear, detectar y bloquear los efectos de lo que el ransomware está tratando alcanzar permite detener los ataques antes de que se produzca algún daño. De hecho, el enfoque IOA es tan efectivo y resiliente frente a iteraciones de ransomware que un solo IOA puede cubrir contra numerosas variantes y versiones de múltiples familias de ransomware, incluyendo las nuevas que son lanzadas "in the wild". LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS Productos CrowdStrike
  • 8. ESTUDIO DE CASO: CÓMO FALCON PROTEGE CONTRA EL RANSOMWARE DARKSIDE Figura 2. CrowdStrike protege contra el ransomware DarkSide con tecnologías por capas Para las organizaciones que desean que se les realice una administración, cacería de amenazas, monitoreo y remediación experimentadas, la detección y respuesta gestionadas (MDR, por sus siglas en inglés) de CrowdStrike Falcon Complete™ ofrece un ROI del 403% con 100% de confianza, así como una de las mejores garantías de prevención de brechas que alcanza hasta $1 millón de dólares. La plataforma CrowdStrike Falcon de protección de endpoints también aplica el marco MITRE ATT&CK con alertas en la plataforma Falcon. Esto les permite a los equipos de seguridad entender rápida y claramente lo que está sucediendo en sus endpoints en caso de que ocurra un ataque - incluyendo en qué etapa se encuentra el ataque y cualquier otro grupo adversario conocido que esté vinculado a éste. La plataforma Falcon de CrowdStrike incorpora informa- ción de inteligencia derivada del monitoreo continuo de las TTPs de más de 160 actores de amenazas identificados y numerosos grupos sin nombre atribuido, permitiendo proteger- se contra ataques sofisticados, incluyendo los del ransomware DarkSide. CrowdStrike emplea un enfoque por capas cuando se trata de detectar el malware, incluyendo el machine learning e IOAs. Como se evidencia en la Figura 2, el sensor Falcon es capaz de matar el proceso del ransomware tan pronto se identifica el comportamiento de encriptación de archivos. Este video expone cómo la muestra de ransomware DarkSide es bloqueada y aislada inmediatamente por la platafor- ma Falcon tras su ejecución. El motor de machine learning de CrowdStrike forma parte del agente Falcon y puede proteger el sistema online u offline. Además del machine learning, la detección de comportamientos incorporada en la plataforma Falcon también identifica la rápida encriptación de los archivos y bloquea la ejecución del ransomware para proteger el sistema. CrowdStrike lleva la seguridad en capas a un nivel más avanzado, integrando el machine learning y la detección de comportamientos en un único agente liviano para proteger los sistemas más importantes de los clientes. LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS Productos CrowdStrike
  • 9. LAEVOLUCIÓNDELRANSOMWARE:CÓMOPROTEGERSE DELASNUEVASTENDENCIASYMÉTODOSDELOSADVERSARIOS CONCLUSIÓN Como los titulares de noticias continúan recordándonoslo, el ransomware sigue siendo una amenaza significativa por parte de cibercriminales y actores de Estado-nación que trabajan constantemente para aumentar sus capacidades maliciosas. CrowdStrike está comprometido en defender contra el ransomware, evolucionando e innovando su tecnología de seguridad para mantenerse un paso adelante de los adversarios más determinados e innovar su tecnología de seguridad para estar un paso por delante incluso de los adversarios más decididos. Como evidenciado por este documento, se requiere una combinación de elementos para proteger adecuadamente a su organización. Esto incluye tomar medidas prácticas para que su organización esté alineada con sólidas prácticas de seguridad, así como también implementar la innovadora tecnología de prevención y detección nativa de la nube provista por la plataforma de CrowdStrike Falcon. SOBRE CROWDSTRIKE CrowdStrike® Inc., un líder mundial en ciberseguridad, está redefiniendo la seguridad en la era de la nube con una plataforma de protección de endpoints construida desde cero para detener las brechas. La arquitectura de un agente único y liviano de la plataforma CrowdStrike Falcon® aprovecha la inteligencia artificial (IA) a escala de nube y ofrece protección y visibilidad en tiempo real en toda la empresa, previniendo ataques en endpoints, dentro o fuera de la red. Con la tecnología patentada de la CrowdStrike Threat Graph®, CrowdStrike Falcon correlaciona más de 1 billón de eventos por semana, y en tiempo real, relativos a endpoints de todo el mundo, alimentando una de las plataformas de datos más avanzadas del mundo en seguridad. Con CrowdStrike, los clientes se benefician de una mayor protección, un mejor rendimiento y un valor-tiempo inmediato ofrecidos por la plataforma Falcon en la nube. Solo hay una cosa que recordar sobre CrowdStrike: detenemos las brechas. Hable con un representante para obtener más información sobre cómo CrowdStrike puede ayudarle a proteger su entorno: Telefone: +1 (888) 512 8906 E-mail: latam@ rowd trike.com Web: www.crowdstrike.com/latam/ Más información enwww.crowdstrike.com/latam/ © 2021 CrowdStrike, Inc. Todos los derechos reservados. Productos CrowdStrike