«CryptoGuard: un enfoque asimétrico en la lucha contra el ransomware» es el informe de Sophos que revela como algunos de los grupos más prolíficos y activos, tales como Akira, ALPHV/BlackCat, LockBit, Royal y Black Basta, están recurriendo deliberadamente al cifrado remoto para sus ataques.
«Las empresas pueden tener miles de ordenadores conectados a su red y, con el ransomware remoto, basta un dispositivo desprotegido para comprometerla. Por eso CryptoGuard no busca ransomware, sino que se centra en los objetivos principales: los archivos”, explica Mark Loman, vicepresidente de investigación de amenazas de Sophos y cocreador de CryptoGuard.
CryptoGuard supervisa el cifrado malicioso de archivos y proporciona protección inmediata y funcionalidades de restitución, incluso cuando el propio ransomware no se inicia desde un host protegido. La exclusiva tecnología anti-ransomware es la última línea de defensa en la protección por capas de Sophos Endpoint, y sólo se activa si un ciberatacante la acciona en la cadena de ataque. CryptoGuard detectó un aumento interanual del 62% en los ataques de cifrado remoto intencional desde 2022.
Un enfoque innovador
Dado que este tipo de ataque implica el cifrado de archivos de forma remota, los métodos tradicionales de protección contra ransomware desplegados en dispositivos remotos no ‘ven’ los archivos maliciosos ni su actividad, por lo que no consiguen protegerlos del cifrado no autorizado y la posible pérdida de datos. La tecnología CryptoGuard de Sophos, sin embargo, adopta un enfoque innovador para detener el ransomware remoto, como explica la investigación de Sophos X-Ops. Este enfoque se basa en analizar el contenido de los archivos para ver si se ha cifrado algún dato y así detectar la actividad del ransomware en cualquier dispositivo de una red, incluso si no hay malware en el dispositivo.
«El ransomware remoto es un importante problema para las empresas, y está contribuyendo a la longevidad del ransomware en general. Dado que la lectura de datos a través de una conexión de red es más lenta que desde un disco local, hemos visto a atacantes, como LockBit y Akira, cifrar estratégicamente sólo una fracción de cada archivo. Este enfoque tiene como objetivo maximizar el impacto en un tiempo mínimo, reduciendo aún más la ventana para que los defensores se den cuenta del ataque y respondan. El enfoque de la tecnología antiransomware de Sophos detiene tanto los ataques remotos como los que cifran sólo el 3% de un archivo. Apostamos por informar a los defensores sobre este método de ataque persistente para que puedan proteger adecuadamente los dispositivos«, ha comentado Loman.