Sophos Day 2021: las cinco verdades desconocidas del ransomware

La séptima edición del Sophos Day reunió a cerca de 1.500 profesionales del sector de la ciberseguridad para analizar el panorama de ciberamenazas y mostrar las principales tendencias de seguridad en su “Informe de Ciberamenazas 2022”. Además de este repaso intensivo, Sophos Iberia anunciaba un crecimiento del 25% interanual en ingresos en el FY21, cerrado en marzo de 2021, y revela un crecimiento de los ingresos del 20% interanual para el primer semestre del FY22.

LA MULTINACIONAL dedicada a la ciberseguridad de última generación ha celebrado su Sophos Day 2021 más práctico y didáctico que nunca. Por segundo año seguido en formato online, Sophos ha batido récords de logins, con cerca de 1.500 profesionales del sector de la ciberseguridad que se conectaron en algún momento de la mañana, entre los que se encontraban clientes, partners, prensa y expertos en ciberseguridad.

Durante la jornada, expertos de Sophos han analizado en detalle el panorama actual de ciberamenazas y qué tipo de ciberataques están teniendo más presencia hoy en día en todo el mundo, con el ransomware como protagonista. Frente a un panorama de amenazas desalentador y cada vez más complejo y profesionalizado, Sophos apuesta por un cambio de paradigma, evolucionando sus soluciones de seguridad avanzada y ofreciendo su Ecosistema Adaptativo de Ciberseguridad (ACE) para que las empresas adopten una defensa estratégica en sus políticas de ciberseguridad.

El director de Sophos para el Sur de Europa, Ricardo Maté, abría la sesión compartiendo los resultados de Sophos Iberia, que ha experimentado un crecimiento de los ingresos anuales de casi un 25% en el FY21 (finalizado en marzo de 2021) y un 20% de ingresos anuales en el H1 del FY22 (cerrado el 30 de septiembre de 2021). “Estos resultados son gracias al conjunto de tecnologías de nueva generación, potentes equipos de inteligencia frente a amenazas, un ecosistema adaptativo e integrado y la gestión del portfolio cloud. El conjunto de estos componentes permite decir que hoy Sophos es una de las compañías más avanzadas en la protección de sus clientes y que proporciona un de las mejores soluciones para sus partners”, afirma Maté.

En la jornada, Sophos también ha presentado los resultados de una encuesta realizada entre sus clientes en la que reconocen que, de no contar con las soluciones de ciberseguridad del fabricante, necesitarían el doble de recursos para mantener el mismo nivel de protección. Además, con Sophos, las empresas experimentaron menos incidentes de seguridad y, en los que tuvieron, pudieron responder más rápido.

Las cinco verdades de un ciberataque que las empresas ignoran

El panorama de ciberamenazas es cada vez más complejo debido a que los cibercriminales siguen desarrollando sus técnicas y sus modelos de ataque y extorsión. El Informe de Ciberamenazas 2022 revela como el ransomware es más complejo de lo que los departamentos de TI de las empresas valoran en su día a día, lo que se suma a un perfeccionamiento de las técnicas por parte de los atacantes que hace cada vez más exigente proteger las redes empresariales.

Este mismo informe alerta de que los ataques de ransomware son cada vez más dirigidos y dañinos y, en consecuencia, tienen un impacto muy superior. Los grupos de cibercriminales se están especializando en las diferentes áreas de los ataques, como escribir código, conseguir accesos a las redes a través de Initial Broker Access o en ofrecer los diferentes módulos de los ataques en la modalidad de Ransomware-as-a-service (RaaS).

Por su turno, Peter Mackenzie, director de Incident Response de Sophos, el servicio de Respuesta Rápida (RRM) que trabaja con casos reales de empresas que son víctimas de un ciberataque, resumió en cinco puntos las actuales complejidades que conllevan los ataques de ransomware:

1. El ataque empieza semanas antes de que lo sepas. De media los atacantes pasan en la red de la víctima once días. En los ataques más breves detectados por Sophos, los atacantes estuvieron en la red empresarial tan solo tres horas antes de lanzar el ataque y en los más largos permanecieron hasta un año ocultos. Muchas veces las empresas creen que el ataque comienza horas antes de que los sistemas se bloqueen, pero la inteligencia de amenazas de Sophos revela que los atacantes están anidados ahí mucho antes, esperando el momento oportuno de desplegar el ataque lateral.
2. El ransomware no se propaga, es desplegado. Es habitual pensar que el ransomware se lanza de forma descontrolada sobre una red empresarial. Sin embargo, a excepción de WannaCry y alguna otra familia de ransomware, los ataques están constantemente bajo el control de los cibercriminales. Cuando lanzan el ataque ya han escaneado la red, identificado los servidores críticos y han usado las cuentas y herramientas de la propia empresa para lanzar el ransomware a sus dispositivos seleccionados previamente.
3. El ransomware es solo una parte del ataque. La mayoría de los ataques de ransomware dirigidos por humanos actuales incluyen la exfiltración de datos, a veces robando cientos de gigabytes o incluso terabytes de datos. Pero eso no es todo, ya que después de que el ransomware haya sido detenido y la empresa haya comenzado su recuperación, pueden comenzar a recibir correos electrónicos amenazantes, llamadas telefónicas y ataques DDoS. Los atacantes también pueden contactar con clientes, proveedores, e incluso publicarlo en redes sociales, para informar de que su red no es segura y mermar la credibilidad de la compañía, exponiendo los datos robados.
4. Las copias de seguridad desaparecen con el ataque. Es fácil pensar cuando se habla de un ataque de ransomware: ¿por qué no tenían copias de seguridad? La realidad es que la mayoría de las empresas cuentan con copias de seguridad, pero los ciberdelincuentes, aprovechan el ataque y el acceso a las cuentas de administrador y, antes de lanzar el propio ataque de ransomware, borran las copias de seguridad e incluso desinstalan el software de backup al completo.
5. Los atacantes siguen teniendo acceso. Después de un ataque es probable que la empresa borre las máquinas cifradas y crea que con eso se resuelve el problema. Normalmente este no es el caso. Los atacantes quieren mantener el acceso a la red vulnerada, para poder controlar la recuperación y lanzar otro ataque más adelante, dejando muy claro a sus víctimas que o pagan el rescate o continuarán atacando. En un incidente reciente con el ransomware Conti, el equipo de Rapid Response de Sophos identificó siete puertas traseras diferentes instaladas por los atacantes, muchas de ellas en máquinas que no habían sido cifradas y que no mostraban signos evidentes de estar involucradas en ese ataque.

“Desafortunadamente no hay una vía sencilla para evitar convertirse en una víctima del ransomware. Hay cientos de cosas que se pueden hacer, pero, lo importante, es concentrarse en las cosas básicas primero. En primer lugar, no puedes luchar contra lo que no ves, por lo que es necesario encontrar los equipos desprotegidos y protegerlos. En segundo lugar, no hay que ponérselo fácil a los atacantes. Es fundamental asegurar los sistemas de operaciones heredadas, actualizarlos y utilizar conexiones seguras. Por último, cuando te enfrentas a atacantes no humanos que están en tu red, la tecnología sola no es suficiente, es necesario contar con equipos humanos expertos en busca de alertas, monitorizando los sistemas de seguridad”, explica MacKenzie.

¿Cómo puede ayudar Sophos?

Frente a esta complejidad, Sophos apuesta por una evolución en los sistemas de seguridad, basada en la protección por capas y la monitorización continua de la red, en la que la tecnología tiene que evolucionar para estar a la altura de las amenazas. En este sentido Sophos ha mostrado durante el Sophos Day su Ecosistema Adaptativo de Ciberseguridad (ACE), una arquitectura de seguridad abierta que aprovecha la automatización y los equipos de analistas y expertos en seguridad de Sophos, así como la información colectiva de todos los productos del fabricante.

El nuevo paradigma de ciberseguridad impulsado por ACE se basa en un lago de datos que actúa como un repositorio de información que correlaciona los datos procesables de los productos y servicios de Sophos, así como la Inteligencia frente amenazas de SophosLabs, Sophos IA y los equipos de operaciones de seguridad de Sophos.

Entre las soluciones integradas en ACE destacan Sophos XDR, la nueva protección Extended Detection and Response del fabricante para la protección de todos los puntos de la red que convierte las soluciones de Sophos en más seguras que nunca y el Sophos Firewall que con su nueva serie XGS impulsada por la estructura XStream lleva al siguiente nivel la seguridad de la red.

Actualmente Sophos protege a más de 500.000 empresas y millones de usuarios por todo el mundo, lo que le facilita un conocimiento “al pie del cañón” en todos los husos horarios según surgen y se extienden las amenazas. Además de aplicar las últimas tendencias de next generation (threat intelligence, IA, Machine Learning…) a este tracking en sus centros de detección temprana SophosLabs y SophosAI, ofrecen un completo portfolio de productos y servicios avanzados para proteger a los usuarios, las redes y los endpoints contra el ransomware, malware, exploits, phishing y la amplia gama de ciberataques que se pueden gestionar desde una única consola cloud, Sophos Central, la pieza central de un ecosistema de ciberseguridad adaptativo.

El entorno ACE cuenta con un data lake que recoge todos los imputs a analizar, y que gracias a un amplio conjunto de APIs abiertas disponibles para clientes, partners, desarrolladores y terceros fabricantes de ciberseguridad proporciona un potente escudo en todos los puntos. Sophos ofrece sus productos y servicios a través de partners resellers y managed service providers (MSPs), facilitando al canal la venta por suscripción y pago por uso.