Los ataques destructivos han ido en aumento y eso representa una amenaza creciente para una amplia variedad de empresas que pueden no considerarse un objetivo obvio.
Así lo ha revelado un nuevo informe de los Servicios de Inteligencia y Respuesta a Incidentes de IBM X-Force (IRIS), demostrando a su vez que los ataques destructivos siguen dejado su huella como en los últimos años, borrando datos y haciendo que millones de dispositivos empresariales no funcionen en empresas de todo el mundo.
Por ejemplo, en el pasado, el malware destructivo era utilizado principalmente por actores sofisticados de los estados nacionales. Ahora, un nuevo análisis de los datos de respuesta a incidentes de X-Force ha descubierto que estos ataques ahora se están volviendo más populares entre los cibercriminales.
Nuevas modalidades como ataques de ransomware, que incluyen elementos de limpiaparabrisas para aumentar la presión en aquellas víctimas potenciales, se utilizan para lograr el pago de un rescate.
Como resultado de este perfil en expansión, ha notado un enorme aumento del 200% en la cantidad de ataques destructivos comparando las actividades de respuesta a incidentes de IBM en la primera mitad de 2019, versus la segunda mitad de 2018. Ante esto, el equipo de la compañía ha ayudado a las empresas a responder en los últimos seis meses.
Y es que esos efectos devastadores de los ataques en las empresas han sido reflejados en el análisis de los datos de respuesta a incidentes del mundo real de X-Force IRIS. Algunos de los hallazgos claves incluyen que los ataques destructivos le cuestan a las compañías multinacionales 239 millones de dólares en promedio.
“La naturaleza debilitante de estos ataques requiere muchos recursos y tiempo para responder y remediar, y las empresas en promedio requieren 512 horas de su equipo de respuesta a incidentes. También es común que las organizaciones utilicen varias compañías para manejar la respuesta y la corrección, lo que aumentaría las horas aún más”.
Además, se ha indicado que un solo ataque destructivo acaba con 12 mil máquinas por compañía, en promedio, creando una gran pestaña en los nuevos dispositivos para que la fuerza laboral de las compañías vuelva a la acción.
Se ha definido el malware destructivo como un software malicioso con la capacidad de hacer que los sistemas afectados no funcionen. Este malware, a menudo, tiene capacidades de borrado: ya sea un programa malicioso afiliado por el estado o criminal.
El equipo ha observado, desde 2010 hasta 2018, principalmente a actores de estados nacionales que emplean malware destructivo para promover los intereses del estado, a menudo para causar daño a un oponente geopolítico y mantener su negación plausible de su lado.
“Con cepas infames como Stuxnet, Shamoon y Dark Seoul en los titulares, estos ataques dejaron un rastro de destrucción a su paso”.
Desde 2018, sin embargo, han observado que el perfil de estos ataques se expande más allá de los estados nacionales a medida que los ciberdelincuentes incorporan cada vez más componentes destructivos, como malware de limpiaparabrisas en sus ataques.
“Esto es especialmente cierto para los ciberdelincuentes que usan ransomware, incluidas cepas como LockerGoga y MegaCortex. Los atacantes con motivación financiera pueden estar adoptando estos elementos destructivos para presionar a sus víctimas a pagar el rescate o atacar a las víctimas si se sienten perjudicadas”.
Entonces, la variedad de industrias a las que se dirige el malware destructivo se ha expandido con el tiempo y ha impactado a las empresas en todos los mercados verticales, como resultado del cambio en la motivación del atacante.
El malware destructivo es cada vez más frecuente en las empresas de todo el mundo, pues los equipos de respuesta a incidentes han asistido un 200% más casos relacionados a la seguridad cibernética en la primera mitad de 2019, en comparación con la segunda mitad de 2018.
“La mitad de estos casos de malware destructivo fueron en la industria manufacturera y los ataques destructivos también se dirigieron significativamente a los sectores de petróleo y gas, y educación. La mayoría de los ataques destructivos que hemos observado son en Europa, Estados Unidos y Medio Oriente”.
A menudo, de acuerdo a las conclusiones, se encuentran presentes en dispositivos o redes comprometidas durante semanas o meses antes de atacar.
“Los adversarios destructivos de malware a menudo obtienen una entrada inicial en los sistemas a través de correos electrónicos de phishing, adivinación de contraseñas, conexiones de terceros y ataques de abrevaderos”.
Es por eso que las organizaciones deben contar con un rango de seguridad cibernética para garantizar que estén listas en lo táctico, como en lo estratégico, para un ataque destructivo de malware.
Se ha recomendado utilizar la inteligencia de amenazas para comprender el riesgo de la estructura, tomando en consideración que cada actor de amenazas tiene diferentes motivaciones, capacidades e intenciones.
“Incorpore múltiples capas de controles de seguridad en todo el Marco de preparación y ejecución de ataques cibernéticos. El costo-beneficio de MFA (autenticación multifactor) es difícil de exagerar, ya que proporciona un beneficio significativo de seguridad cibernética para reducir drásticamente el valor de las contraseñas robadas o adivinadas”.
Las compañías también deben contar con copias de seguridad, copias de seguridad de prueba y copias de seguridad sin conexión; deberían almacenarlas aparte de la red principal y sólo permitirles el acceso de lectura, no de escritura.