Los investigadores dicen que los ataques de ransomware a menudo aprovechan los datos robados de infecciones anteriores de robo de información, lo que destaca la importancia de una remediación exhaustiva de todas las infecciones de malware.
Casi un tercio de los ataques de ransomware fueron precedidos por ataques de robo de información en los últimos tres meses, según datos del Informe de defensa contra malware y ransomware 2024 de SpyCloud, una encuesta de más de 500 profesionales de la seguridad muestra que así fue.
El malware Infostealer se puede utilizar para robar no solo credenciales, sino también cookies de sesión, que pueden secuestrarse para evitar la autenticación multifactor (MFA) y hacerse cargo de las cuentas. La investigación de SpyCloud también encontró que el secuestro de sesión habilitado por cookies robadas es el tercer punto de entrada más común para el ransomware, después del phishing y el acceso de terceros.
Datos adicionales del IBM X-Force Threat Intelligence Index 2024 muestran un aumento del 266 % en el uso de ladrones de información por parte de grupos de ransomware de 2022 a 2023, y cómo se relacionan estos ataques, y cómo prevenir ataques de ladrones de información puede ayudar a prevenir futuros incidentes de ransomware.
“Para combatir completamente el ransomware y otras amenazas graves, las organizaciones deben incluir medidas de remediación posteriores a la infección, como restablecer las credenciales de la aplicación y deshabilitar las cookies de sesión robadas por el malware de robo de información. Es necesario adoptar una estrategia de múltiples capas”, Damon Fleury, director de producto en SpyCloud, dijo en un comunicado.
Sin embargo, la investigación de SpyCloud muestra que las organizaciones tienen más probabilidades de restablecer las contraseñas después de una infección de malware este año que el año pasado (76,5% en 2024, frente al 63,8% en 2023) y se encontró que la probabilidad de deshabilitar las sesiones de aplicaciones abiertas era ligeramente menor. (60,7% a 57,5%). Esto sugiere que el secuestro de sesión y las cookies robadas son un riesgo que se pasa por alto cuando se trata de remediar el robo de información.
Se observó una tendencia similar en la clasificación de los encuestados sobre las medidas anti-ransomware más importantes, con MFA aumentando del octavo lugar al segundo lugar entre las encuestas de 2023 y 2024. Aumentó considerablemente. Aunque las organizaciones parecen ser conscientes del papel de las credenciales comprometidas en las amenazas de ransomware, el monitoreo de sesiones comprometidas se considera una prioridad baja y ocupa el décimo lugar en la lista de medidas anti-ransomware.
“Para detener la evolución de las tácticas de los ataques de ransomware antes de que se intensifiquen, primero debemos comprender qué datos ya han robado los delincuentes. En segundo lugar, podemos remediar rápidamente las credenciales comprometidas y utilizar SSO, VPN, acceso a aplicaciones SaaS y otras sesiones web robadas”, Fleury. dicho.
Aunque el monitoreo de cookies robadas ha recibido menos atención que otras credenciales, los expertos en seguridad son conscientes de la amenaza de ataques posteriores después de una infección de robo de información, y casi todos los encuestados (99,8%) respondieron que estaban preocupados por este asunto. Mejorar la solución después de un ataque de malware es el segundo plan de seguridad más popular para los próximos 12 a 18 meses, citado por el 45,1% de los encuestados.
En general, SpyCloud recuperó más de 20 mil millones de registros de cookies de ataques de ladrones de información (un promedio de 2000 por dispositivo infectado) el año pasado, y los ladrones de información fueron responsables de 343,78 millones de robos de credenciales. Descubrimos que, en promedio, cada infección comprometió entre 10 y 25 tercios. -Credenciales de aplicaciones comerciales de terceros.
Los dos ladrones de información más comunes que infectaron a las víctimas en los tres meses previos al ataque de ransomware fueron LummC2 (57,69%) y RedLine (40,60%), seguidos de StealC (20,51%) y MetaStealer (19,66%). . A menudo se instalaron varios ladrones de información durante el mismo período.
SpyCloud ayuda a las organizaciones a implementar procesos para invalidar sesiones web robadas durante ataques de malware, aprovechar la automatización para responder rápidamente a las amenazas de malware y utilizar una solución continua de confianza cero para proteger las aplicaciones. Recomendamos bloquear el acceso no autorizado y adoptar una solución centrada en la identidad en lugar de en el dispositivo. enfoque de seguridad.
https://www.scmagazine.com/news/preventing-ransomware-by-fully-remediating-infostealer-attacks
