Según el informe Splunk , algunas variantes de ransomware cifran archivos a una velocidad asombrosa de hasta 25 000 archivos por minuto.
Es decir, vale la pena revisar su estrategia para detectar amenazas y responder a ellas.
¿Qué tan rápido encripta los archivos el ransomware?
Saber qué tan rápido el ransomware realmente cifra los archivos lo guiará sobre la mejor manera de desarrollar un plan de mitigación adecuado. Los investigadores midieron recientemente la velocidad de cifrado de 100 muestras de ransomware de 10 familias de ransomware:
Los resultados del cifrado fueron en orden de velocidad:
El tiempo promedio promedio para cifrar estas variantes de ransomware para un conjunto de casi 100 000 archivos de 54 GB fue de 42 minutos y 52 segundos. Algunas variantes de ransomware tardaron menos de 10 minutos, mientras que otras tardaron menos de 2 horas.
El tiempo de Lockbit más rápido (para una sola muestra) es de 4:09 minutos, o aproximadamente 25 000 archivos por minuto (si tan solo las soluciones de copia de seguridad fueran tan rápidas).
| Ransomware | Tiempo de implantación |
|—————————-|———————————–|
| LockBit | 05:50 |
| Babuk | 06:34 |
| Avadón | 13:15 |
| Ryuk | 14:30 |
| Revil | 24:16 |
| Black Matter | 43:03 |
| Dark Side | 44:52 |
| Conti | 59:34 |
| Maze | 1:54:33 |
| Mespinoza (PYSA)| 1:54:54 |
¿Por qué la detección y la respuesta no ayudarán?
Una vez que el ransomware entra en la etapa de ataque, tiene poco tiempo para reaccionar.
Es decir, con el comienzo del cifrado de archivos, no tiene sentido confiar en la detección y la respuesta.
Hoy en día, el 95 % del ransomware utiliza soluciones alternativas para eludir las soluciones tradicionales hasta la etapa de ejecución. Tan pronto como se inicia el ransomware (por ejemplo, comienza a cifrar archivos), EDR debería detectar instantáneamente el comportamiento malicioso y responder.
Desafortunadamente, no habrá una reacción rápida (tomará al menos 30 minutos), lo que significa que el daño devastador ya estará hecho.
Esta es la razón por la que muchos proveedores de soluciones de detección y respuesta se esfuerzan tanto en:
Tiempo de detección reducido: cuanto más rápido EDR detecte el malware, menos daño causará.
Mitigación de ataques: los esfuerzos de mitigación ayudarán a “revertir” su sistema a su estado previo al ataque.
El cifrado es el paso final
Cuando el ransomware logra infiltrarse en un sistema (a través de un troyano, explotar una vulnerabilidad, phishing, etc.), no causa daños de inmediato.
Primero, el ransomware pasará por las etapas de su propia versión cadenas de cyberkills .
Antes de iniciar sus “acciones sobre objetivos”, el programa necesitará como mínimo:
-obtener acceso inicial a la red,
-establecer una conexión con su servidor de comando y control (C2),
-descargar carga útil adicional,
-realizar escalada de privilegios,
-realizar movimientos laterales
-infectar tantos endpoints como sea posible.
¿Cómo implementar estrategias efectivas para combatir el ransomware de manera ágil?
Para completar con éxito todos los pasos, el ransomware (o la parte del mismo que inicialmente se arraigó en el sistema) debe ser lo más “silencioso” posible para que pase desapercibido.
El 95% de las variantes de ransomware implementan uno o más métodos evasivos, tales como eludir un sandbox, la ofuscación de código, entre otros. Para hacer frente a esta amenaza, la plataforma Minerva Anti Evasion emplea técnicas evasivas contra el ransomware para neutralizar su efectividad.
La solución de Minerva Anti Evasion logra desarmar de manera permanente al ransomware, deteniéndolo antes de que pueda iniciar el cifrado de archivos.
Además, cuanto mayor sea el número de métodos evasivos utilizados por el ransomware, más fácil será para la plataforma de Minerva detenerlo.
En resumen, Minerva Anti Evasion previene el avance del ransomware a las etapas donde puede causar daños irreparables, ofreciendo así una solución altamente efectiva contra esta amenaza cibernética.
Incluso el ransomware más rápido conocido, LockBit, no puede superar la efectividad de Minerva Anti Evasion.
De hecho, la plataforma de Minerva es capaz de prevenir eficazmente las amenazas de LockBit 2.0 y otros tipos de ransomware.
Para conocer más sobre las capacidades de prevención de amenazas de Minerva para LockBit 2.0, se puede consultar la investigación del fabricante, que ofrece información detallada sobre cómo la plataforma de Minerva puede proteger eficazmente contra este tipo de amenazas cibernéticas.
Las estrategias tradicionales de respuesta a amenazas son importantes, pero no son muy efectivas contra adversarios que utilizan tácticas evasivas.
En su lugar, las empresas deberían enfocarse en la prevención de amenazas, un enfoque en el que Minerva Anti Evasion destaca.
Al prevenir el avance de las amenazas cibernéticas a través de técnicas evasivas, Minerva Anti Evasion ofrece una solución altamente efectiva que puede proteger proactivamente los sistemas y datos empresariales.
En lugar de simplemente reaccionar ante las amenazas, las empresas pueden adoptar un enfoque preventivo para protegerse contra el ransomware y otras amenazas cibernéticas.
Minerva Labs es una empresa de ciberseguridad que se enfoca en proteger las empresas contra ataques de malware avanzados y sofisticados.
Su enfoque principal es en la prevención de amenazas, es decir, evitando que el malware se ejecute en primer lugar, en lugar de simplemente detectarlo después de que ya haya causado daño.
Entre los productos que ofrece Minerva Labs se encuentran:
Minerva Anti-Evasion Platform: es una solución de seguridad diseñada para prevenir eludir soluciones de seguridad tradicionales. La plataforma utiliza técnicas de engaño para hacer que el malware se piense que está en un entorno seguro, lo que evita que se active y cause daño.
Minerva Labs Endpoint Security: es una solución que protege endpoints, como computadoras y servidores, contra ataques de malware. La solución utiliza tecnología anti-evasión para evitar que el malware eluda la detección y la protección.
Minerva Labs Threat Emulation: es una solución de seguridad que simula el comportamiento del malware para detectar y prevenir ataques. La solución utiliza técnicas avanzadas de análisis de malware para detectar incluso los ataques más sofisticados.
En general, la oferta de valor de Minerva Labs se enfoca en la prevención de amenazas, lo que ayuda a las empresas a protegerse contra los ataques de malware avanzados y sofisticados que pueden ser difíciles de detectar y prevenir.
Sus soluciones utilizan tecnología anti-evasión para evitar que el malware se eluda, lo que las hace útiles en entornos donde las soluciones de seguridad tradicionales no son efectivas.Además, Minerva Labs ofrece las siguientes características y beneficios:
Fácil integración: sus soluciones se pueden integrar fácilmente en los entornos existentes, lo que significa que no se requiere una reconfiguración importante de la infraestructura de seguridad existente.
Protección en tiempo real: las soluciones de Minerva Labs protegen contra ataques de malware en tiempo real, lo que significa que pueden detectar y prevenir ataques antes de que se produzcan.
Mínimo impacto en el rendimiento: las soluciones de Minerva Labs están diseñadas para tener un impacto mínimo en el rendimiento de los sistemas, lo que significa que no afectan significativamente el rendimiento de las aplicaciones o sistemas.
Monitoreo y análisis: Minerva Labs proporciona monitoreo y análisis de amenazas en tiempo real para ayudar a las empresas a identificar y solucionar rápidamente los problemas de seguridad.
En resumen, la oferta de valor de Minerva Labs se centra en ofrecer soluciones de seguridad avanzadas y efectivas que ayudan a las empresas a protegerse contra los ataques de malware sofisticados y avanzados.
Sus soluciones se integran fácilmente en los entornos existentes, ofrecen protección en tiempo real con un impacto mínimo en el rendimiento, y proporcionan monitoreo y análisis de amenazas en tiempo real para ayudar a las empresas a mantenerse seguras en todo momento.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre ciberseguridad en;
Adobe Acrobat Sign:una herramienta para distribuir malware en 2023
Metasploit 6.1.9: Aprovechalo al máximo y mejora tus pentest
Certificados Digitales: 8 tácticas para optimizar la gestión