Por Eur Ing Mark Hawksworth, jefe del grupo de especialistas en tecnología global
Tras un ciberataque, una organización puede perder rápidamente el acceso a activos y datos críticos.
Al igual que en el caso del ransomware, cuando el malware se propaga, las organizaciones se enfrentan a innumerables retos desde el punto de vista de las reclamaciones. Hay indicios -observados inicialmente a finales de febrero- que sugieren que está circulando una nueva oleada de malware destructor de datos. ¿Cómo podemos asegurarnos de que la historia no se repita?
Preocupaciones recientes
Esta nueva oleada de malware de borrado de datos utiliza en parte servidores comprometidos para difundir software legítimo de gestión de discos. A su vez, éste se utiliza para corromper los datos de los dispositivos de almacenamiento, haciendo que el sistema sea irreparable mediante las técnicas tradicionales de recuperación de discos. Una vez desplegado, el malware destructor permite a sus autores propagarse lateralmente por la red dañada antes de causar daños irreparables a todos los sistemas objetivo dentro de ella. Aunque inicialmente dirigido a redes específicas, este malware tiende a escapar más allá de los confines del objetivo original designado, lo que provoca daños colaterales generalizados. El malware destructivo de este tipo puede representar una amenaza directa para las operaciones al impedir el acceso a activos y datos críticos.
Los orígenes de este malware siguen sin confirmarse. Las investigaciones aún no han podido atribuirlo a un único grupo o actor de amenazas conocido debido a la falta de similitudes en la estructura del código en comparación con otros programas maliciosos vistos en el pasado.
Mejores prácticas futuras
El aumento de los incidentes de ciberseguridad en los últimos años es alarmante y no hará más que continuar. Para las organizaciones de todo el mundo, es esencial comprender el impacto de los posibles incidentes de malware de destrucción de datos y planificarlos. La concienciación y la creación de un plan pueden proteger a las partes inocentes. Se recomienda:
- Implante la autenticación multifactor para todos los puntos de acceso externos.
- Revisar el nivel de filtrado de spam para reducir la posibilidad de que lleguen correos electrónicos de phishing a los usuarios.
- Asegúrate de que los programas antivirus y antimalware están actualizados y realizan automáticamente análisis periódicos del dispositivo.
- Compruebe que se han aplicado todas las actualizaciones y parches de seguridad de las aplicaciones y del sistema operativo.
- Identificar las estrategias de copia de seguridad y garantizar que las copias de seguridad están protegidas de la corrupción/acciones malintencionadas. Implementar un air gap u otro esfuerzo estratégico para proteger las copias de seguridad.
- Probar las copias de seguridad de los datos para garantizar a la organización que las copias de seguridad pueden utilizarse para reinstalar los datos y la arquitectura comprometidos del sistema en caso de que sean atacados.
- Únase al Centro de Análisis e Intercambio de Información (ISAC) de su sector. Hay uno para la mayoría de las organizaciones: por ejemplo, el FS-ISAC da servicio a los sectores financiero y de seguros.
- Supervise las fuentes de información sobre amenazas y asegúrese de que los indicadores de peligro (IOC) se bloquean de forma proactiva.
Con la evolución de las amenazas, un mercado en rápido cambio y una base de conocimientos en constante crecimiento, está garantizado que la cibernética seguirá siendo un tema candente. Además de los riesgos emergentes, seguimos escuchando preocupaciones sobre la cobertura y la capacidad en el espacio cibernético. Los expertos de Sedgwick permanecen conectados y preparados para consultar con los clientes mientras buscan estrategias de prevención, exploran el lenguaje y los límites de las pólizas y se preparan para riesgos conocidos y desconocidos.