… y es más barato que pagar el rescate

Los ataques de ransomware están aumentando. Debido a los costos de implementación relativamente bajos, los altos retornos y el riesgo mínimo de detección (en comparación con otras formas de malware), el ransomware se ha convertido rápidamente en un ataque preferido para los ciberdelincuentes.

Este hecho está respaldado por datos recientes de Atlas VPN que establece que el monto de los pagos de rescate solicitados aumentó en un 140 por ciento entre 2018 y 2019. Más preocupante, el 57 por ciento de las organizaciones atacadas han pagado y pagado el rescate en los últimos 12 meses.

Si bien la fuente más común de infección por ransomware sigue siendo los sistemas informáticos de una organización, los dispositivos IoT también son vulnerables porque la infección puede propagarse por toda la organización con bastante rapidez, especialmente cuando la red no está segmentada adecuadamente. Más adelante en esta publicación de blog, exploraremos un ejemplo realista dentro de un gran sistema hospitalario en Europa y lo que hicieron cuando descubrieron que sus dispositivos de ultrasonido estaban infectados con WannaCry.

Con IoT, el ransomware puede tener efectos devastadores. Además de afectar los datos en los dispositivos, el ransomware puede hacer que las funciones físicas de ese dispositivo sean inaccesibles hasta que se pague el rescate.

WannaCry, la forma más infame de ransomware, ¡y aún no ha terminado!

De todos los tipos de ransomware que existen, el que la gente está más familiarizada es WannaCry. De acuerdo con Wikipedia, Se estima que WannaCry ha afectado a más de 200,000 computadoras en 150 países, con daños totales que van desde cientos de millones hasta miles de millones dolares.

Aunque WannaCry se detectó por primera vez en mayo de 2017, según Safety Detectives, tres años después, en 2020, todavía representa casi la mitad de todos los incidentes de ransomware reportados solo en los EE. UU.

Algunos hechos importantes con respecto a WannaCry:

  • WannaCry, como otras formas de malware / ransomware, utiliza un exploit conocido llamado EternoAzul,
  • EternalBlue explota una vulnerabilidad en el protocolo del Bloque de mensajes del servidor de Windows versión 1 (SMB v1), que permite que el malware se propague a todos los sistemas Windows sin parches desde XP hasta 2016 en cualquier red que tenga este protocolo habilitado.
  • Esta vulnerabilidad podría permitir la ejecución remota de código.
  • Irónicamente, el parche necesario para prevenir las infecciones de WannaCry estaba disponible antes de que comenzara el ataque: Microsoft Security Bulletin MS17-010, publicado el 14 de marzo de 2017, actualizado la implementación de Windows del protocolo SMB para prevenir la infección a través de EternalBlue.
  • Hay un matar interruptor de dominio que afortunadamente evita que WannaCry cifre archivos, esencialmente cerrándose. Esto ha reducido significativamente el impacto de este ransomware. Sin embargo, este interruptor de apagado no ayuda con dispositivos que WannaCry ya ha infectado y bloqueado. Y sin parchear directamente el sistema operativo de Microsoft, el exploit EternalBlue continúa existiendo, formando un vector de ataque significativo.
  • Todo el malware basado en EternalBlue (incluido WannaCry) usa la misma vulnerabilidad de Windows, por lo que el hecho de que estos ataques continúen aumentando tres años después sugiere que todavía hay muchos sistemas de Windows sin parches.

Si ha sido víctima de un ataque de ransomware en el pasado, es importante prestar atención a los dispositivos no administrados.Por ejemplo, los hospitales y otras organizaciones, cuyos sistemas informáticos se han visto afectados por las diversas rondas de brotes de WannaCry, deben confirmar que los dispositivos médicos (especialmente aquellos con versiones antiguas de los sistemas operativos MS Windows) tampoco están infectados.

Escenario realista de infección de dispositivos médicos con WannaCry y la solución innovadora encontrada.

En 2019, un sistema hospitalario europeo tenía una infección grave de WannaCry en su red. Lamentablemente, algunos Los dispositivos de imágenes médicas (o DICOM) también se vieron afectados porque usaban versiones antiguas del sistema operativo MS Windows. Estos dispositivos no se pueden reparar sin romper la garantía del fabricante del dispositivo y no se pueden reemplazar fácilmente debido al costo de estos dispositivos.

Enter Defender para IoT

Este sistema hospitalario europeo decidió hacer una prueba de concepto Defensor de Extreme para IoT. Defender for IoT proporciona protección y segmentación en línea de dispositivos vulnerables. El hospital quería ver si podía ayudar a resolver el posible problema de malware / ransomware.

Paso 1: confirme la existencia de la infección en las máquinas de imágenes. El hospital seleccionó uno de los dispositivos DICOM sospechosos, que es una ecografía en la sala de maternidad del hospital. El peligro de infectar este dispositivo es que algunas imágenes e informes pueden ser robados y retenidos por rescate, o peor aún, el dispositivo se puede administrar y dejar inutilizable.

  • Usando la solución Defender for IoT, se realizó un registro de tráfico en el ultrasonido. Se encontró un número significativo de flujos de ultrasonidos a la red utilizando SMB sobre TCP (puerto 445). Dado que este es el puerto preferido y el exploit conocido para EternalBlue / WannaCry, confirmó que la máquina estaba infectada.
  • Para examinar más a fondo el ultrasonido, un Escáner de seguridad nmap se utilizó para verificar todos los puertos abiertos y buscar vulnerabilidades. Esto mostró muchos puertos UDP / TCP abiertos que no deberían haber sido, lo que indica que el dispositivo Windows no se había endurecido en absoluto y podría permitir que la infección se propague a otros sistemas operativos no parcheados vulnerables a la explotación de EternalBlue.

Paso 2: Verifique si el dispositivo ultrasónico puede funcionar de manera segura mientras está infectado con Defender for IoT. Dado que el dispositivo ultrasónico no puede ser parcheado o actualizado, la infección persiste. Sin embargo, al usar Defender para IoT, la infección puede quedar atrapada en el dispositivo ultrasónico, evitando la propagación a través de la red.

Lo que hizo el hospital:

  • Defender for IoT utiliza para aplicar políticas al dispositivo ultrasónico para garantizar que no se abran puertos UDP / TCP, EXCEPTO permitido explícitamente por el personal de imágenes y los administradores de TI. Defender for IoT se implementó como una superposición en su red de terceros existente, lo que permitió al hospital implementarlo de manera rápida y fácil.
  • Segmentado las máquinas de imágenes dentro de su propio segmento seguro de red encriptada que abarca hospitales existentes 3rd party network lo aísla del resto de la red de TI.
  • NO se espera que futuros ataques o vulnerabilidades a través del exploit EternalBlue afecten a este dispositivo ultrasónico en el futuro.

En resumen, con Defender for IoT, este sistema hospitalario puede continuar utilizando sus dispositivos médicos infectados sin preocuparse por la reinfección de su red más amplia y sin preocuparse por la corrupción de datos o la pérdida de imágenes y archivos de ultrasonido. Mediante la combinación de la aplicación de perfiles de seguridad y la segmentación de los dispositivos, Defender for IoT se aseguró de que este hospital pudiera continuar usando sus activos de manera segura.

norte¿Ew ransomware especialmente diseñado para atacar dispositivos IoT?

Todos los expertos en ciberseguridad están de acuerdo en que los ataques de ransomware solo se acelerarán y representarán una mayor amenaza para los dispositivos IoT en 2020 y más allá. El reciente titular que publica ataques cibernéticos Honda ilustra esta tendencia alarmante. ¿Por qué?

  • Honda parece ser la primera víctima de una familia de ransomware de cifrado de archivos relativamente nuevo EKANS o SERPIENTE, que solo se descubrió en diciembre de 2019.
  • Los expertos no están seguros de si el ataque tuvo como objetivo la red de TI o los propios sistemas de control industrial. Pero el resultado fue que algunos de los sistemas de producción de Honda fueron forzados a desconectarse.
  • Los expertos están preocupados por esto Esta forma de ransomware puede usarse para atacar otros sistemas operativos industriales para servicios públicos, fabricación, energía e infraestructura crítica.

Si bien queda más información por recopilar sobre esta violación de alto perfil y esta nueva forma de ransomware, las empresas que utilizan sistemas de control industrial deben revisar las prácticas de seguridad existentes e incluso realizar evaluaciones de riesgos para ver dónde pueden existir vulnerabilidades. Especialmente cuando ha habido cierta convergencia de TI / OT. Puede encontrar orientación útil con la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. Mejore la ciberseguridad de los sistemas operativos industriales con estrategias en profundidad.

resumido

Además de proteger sus sistemas informáticos y los datos comerciales de la amenaza de un ataque de ransomware, también es fundamental revisar y actualizar sus prácticas actuales de seguridad de IoT, especialmente para puntos finales de misión crítica, como dispositivos médicos y sistemas de control industrial.

Defender for IoT puede ser una parte importante de una estrategia de defensa de varias capas para puntos finales sin supervisión. Y al igual que en el ejemplo que se muestra con el sistema hospitalario europeo, también se usa para contener ransomware, malware y virus en dispositivos infectados de alta calidad que no se pueden reparar para que puedan continuar utilizándose de manera segura.

Para más información:



Source link