Identificar a la primera vĆctima que generĆ³ su actĆŗa ataque de ransomware puede mostrarle las debilidades de su sistema de seguridad.
CIO AMĆRICA LATINA | Por Elibeth Eduardo | @ely_e
Ya hemos visto gracias a la conferencia “AnatomĆa de un ataque” del investigador senior de seguridad de Cisco, Brad Antoniewicz que detrĆ”s de una gans de ransomware hay una sofisticada vertical industrial que incluye:
- “Malware como servicio“
- Base de datos de informaciĆ³n (credenciales) de usuarios para alquiler y;
- Una elaborada plataforma de soporte para garantizar que Ʃl/los hacker(s) monetizarƔn su esfuerzo, cubrirƔn sus costos y obtendrƔn algunos bitcoins de beneficio.
Y es que conocer al enemigo es esencial para no “distraernos” en medidas de seguridad que no le hagan justicia a tan elaborado emporio.
Sin embargo, este conocimiento serĆ” insuficiente si no podemos usarlo para proteger a nuestras empresas y sus activos digitales.
En este sentido, Antoniewicz y su equipo recomiendan que una de las primeras medidas que deben tomar los investigadores de seguridad tras un ataque comprobado es ubicar el origen: el paciente cero. Es decir, la primera persona en infectarse.
MĆ”s allĆ” de la identificaciĆ³n
ĀæPor quĆ©? En primer lugar porque nos permitirĆ” identificar a las vĆctimas latentes de la infecciĆ³n y que mĆ”s en la red podrĆa estar afectado.
Saber quiĆ©n y por dĆ³nde comenzĆ³ el ransomware nos permite crear firmas para detectar brechas futuras y evitar nuevos ataques.
“En realidad, el ataque no comenzĆ³ cuando el paciente cero fue golpeado“, explica Antoniewicz.
SeƱala que hubo una fase previa anterior a todo esto:
“Cuando el atacante comprometiĆ³ ese primer sitio web, cuando el atacante tuvo que configurar la infraestructura que sirve a estas hazaƱas, es cuando el atacante necesita establecer un reconocimiento para Averiguar a quiĆ©n estĆ”n apuntando y entender la red“, destacĆ³.
Entender al paciente cero, por tanto, nos permite entender al hacker, segĆŗn los expertos de Cisco.