El ransomware remoto se dispara a 62%: descubra el punto débil de la red de su empresa antes de que sea tarde

¡Reveladoras cifras de Sophos!

Bogotá, enero 2024. Sophos, líder mundial en innovación y prestación de ciberseguridad como servicio,
publicó hoy un informe titulado “CryptoGuard: An Ametric Approach to the Ransomware Battle”, en el
cual encontró que algunos de los programas más prolíficos y los grupos de ransomware activos,
incluidos Akira, ALPHV/BlackCat, LockBit, Royal, Black Basta, están activando deliberadamente el cifrado
remoto para sus ataques. En los ataques de cifrado remoto, también conocidos como ransomware
remoto, los adversarios aprovechan un punto final comprometido y a menudo desprotegido para cifrar
datos en otros dispositivos conectados a la misma red.
Sophos CryptoGuard es la tecnología anti-ransomware que Sophos adquirió en 2015* y está incluida en
todas las licencias de Sophos Endpoint. CryptoGuard monitorea el cifrado malicioso de archivos y brinda
protección inmediata y capacidades de reversión, incluso cuando el ransomware nunca aparece en un
host protegido. La exclusiva tecnología anti-ransomware es una última línea de defensa en la protección
de endpoints por capas de Sophos, y solo se activa si un adversario la activa más adelante en la cadena
de ataque CryptoGuard detectó un aumento interanual del 62% en ataques de cifrado remoto
intencionales desde 2022.
“Las empresas pueden tener miles de computadoras conectadas a su red y, con el ransomware remoto,
todo lo que se necesita es un dispositivo desprotegido para comprometer toda la red. Los atacantes lo
saben, por lo que buscan ese ‘punto débil’, y la mayoría de las empresas tienen al menos uno. El
cifrado remoto seguirá siendo un problema constante para los defensores y, según las alertas que
hemos visto, el método de ataque está aumentando constantemente”, afirmó Mark Loman,
vicepresidente de investigación de amenazas de Sophos y cocreador de CryptoGuard.
Dado que este tipo de ataque implica cifrar archivos de forma remota, los métodos tradicionales de
protección anti-ransomware implementados en dispositivos remotos no ‘ven’ los archivos maliciosos ni
su actividad, y no los protegen del cifrado no autorizado y la posible pérdida de datos. Sin embargo, la
tecnología Sophos CryptoGuard adopta un enfoque innovador para detener el ransomware remoto,
como se explica en el artículo de Sophos X-Ops: analizar el contenido de los archivos para ver si algún
dato se cifró para detectar la actividad del ransomware en cualquier dispositivo de una red, incluso si no
hay malware en el dispositivo.
En 2013, CryptoLocker fue el primer ransomware prolífico que utilizó cifrado remoto con cifrado
asimétrico, también conocido como criptografía de clave pública. Desde entonces, los adversarios han
podido intensificar el uso de ransomware, debido a las continuas y omnipresentes brechas de seguridad
en organizaciones de todo el mundo y la llegada de las criptomonedas.
“Cuando notamos por primera vez que CryptoLocker aprovechaba el cifrado remoto hace diez años,
previmos que esta táctica se convertiría en un desafío para los defensores. Otras soluciones se centran

en detectar binarios maliciosos o su ejecución. En el caso del cifrado remoto, el malware y la ejecución
residen en una computadora diferente (desprotegida) a la que tiene los archivos cifrados. La única forma
de detenerlo es observar los archivos y protegerlos. Por eso innovamos en CryptoGuard”, dijo Loman.
“CryptoGuard no busca ransomware; en cambio, se concentra en los objetivos principales: los
archivos. Aplica un escrutinio matemático de los documentos, detectando signos de manipulación y
cifrado. En particular, esta estrategia autónoma no depende deliberadamente de indicadores de
infracción, firmas de amenazas, inteligencia artificial, búsquedas en la nube o conocimientos previos
para ser efectiva. Al centrarnos en los archivos, podemos cambiar el equilibrio de poder entre los
atacantes y los defensores. Estamos aumentando el costo y la complejidad para que los atacantes cifren
los datos con éxito, de modo que abandonen sus objetivos. Esto es parte de nuestra estrategia de
enfoque de defensa asimétrica” agregó el experto de Sophos.
“El ransomware remoto es un problema importante para las organizaciones y contribuye a la
longevidad del ransomware en general. Dado que la lectura de datos a través de una conexión de red
es más lenta que desde un disco local, hemos visto a atacantes, como LockBit y Akira, cifrar
estratégicamente solo una fracción de cada archivo. Este enfoque tiene como objetivo maximizar el
impacto en un tiempo mínimo, reduciendo aún más la ventana para que los defensores noten el ataque
y respondan. El enfoque de Sophos hacia la tecnología anti-ransomware detiene tanto los ataques
remotos como aquellos que cifran sólo el 3% de un archivo. Esperamos informar a los defensores sobre
este método de ataque persistente, para que puedan proteger adecuadamente los dispositivos”
mencionó finalmente Loman.