¿Cómo estar preparado para el aumento de los ataques contra trabajadores remotos?

 

Por Derek Manky and Aamir Lakhani, FortiGuard Labs

San José, 29 de abril del 2020. Durante las últimas semanas, el equipo de FortiGuard Labs ha estado monitoreando un aumento significativo en las amenazas relacionadas con la pandemia del COVID-19. Los eventos sociales importantes suelen ser un catalizador para que surjan nuevas amenazas (siempre hay personas malvadas que buscan explotar a otros en tiempos de crisis) y la situación actual no es diferente. Los cibercriminales entienden que los tiempos de transiciones rápidas pueden causar serias interrupciones para las organizaciones. En el apuro por garantizar la continuidad del negocio, temas como los protocolos de seguridad pueden pasarse por alto y los delincuentes buscan aprovechar cualquier brecha de seguridad accidental.

Si bien esta respuesta a la crisis actual no es inesperada, lo sorprendente es el volumen de nuevas amenazas que estamos viendo en un período de tiempo tan corto. Recorrer la Dark Web en busca de nuevas tendencias criminales, temas y malware revela una cantidad alarmante de anuncios que lanzan estafas relacionadas con la pandemia, como ofertas para proporcionar medicamentos y dispositivos médicos, todos aprovechando los temores sobre la situación actual.

También hemos visto un enorme aumento en las estafas relacionadas con el coronavirus: estafas con dinero, estafas por transferencia de dinero, estafas con tarjetas de crédito e incluso kits de estafas diseñados para ciberdelincuentes novatos conocidos como script kiddies.

Los cibercriminales están explotando el rápido cambio en nuestro mundo digital

Un número sin precedentes de usuarios y dispositivos desprotegidos están ahora en línea al mismo tiempo. En cualquier hogar, en este momento, es probable que una o dos personas se conecten de forma remota para trabajar a través de la conexión a Internet de su hogar. También puede haber niños en casa dedicados al aprendizaje remoto parte del tiempo y conectados con sus amigos el resto. Y toda la familia está involucrada en juegos multijugador, hablando con sus amigos en salas de chat en línea y en las redes sociales, así como transmitiendo música y videos.

Es una tormenta de oportunidades perfecta para los ciberdelincuentes.

Como resultado, el equipo de FortiGuard Labs está viendo un promedio de aproximadamente 600 nuevas campañas de phishing por día. Su contenido está diseñado para aprovecharse de los temores y preocupaciones de las personas, aprovechar nuevas circunstancias o pretender proporcionar información esencial. Estos ataques de phishing abarcan desde estafas relacionadas con ayudar a las personas a depositar sus cheques, hasta proporcionar acceso a suministros médicos difíciles de encontrar y proporcionar asistencia técnica para nuevos teletrabajadores.

Además de las estafas en línea dirigidas a adultos, algunos ataques de phishing se dirigen a las computadoras y sistemas de juegos para niños con ofertas de juegos en línea y películas gratis, o incluso acceso a tarjetas de crédito para comprar juegos en línea o comprar en tiendas en línea. Múltiples sitios transmiten ilegalmente películas que todavía están en los cines, pero también distribuyen en secreto malware a cualquiera que inicie sesión. Juego gratis, película gratis y el atacante está en tu red.

Las estafas de phishing son solo el comienzo

Si bien estos ataques comienzan con un ataque de phishing, su objetivo final es robar información personal o incluso atacar a las empresas a través de sus nuevos teletrabajadores. Es por eso que la mayoría de estos ataques de phishing contienen cargas maliciosas, incluidos ransomware, virus o troyanos de acceso remoto (RAT) diseñados para proporcionar a los delincuentes acceso remoto a sistemas de punto final e incluso explotaciones RDP (protocolo de escritorio remoto).

Para empeorar las cosas, no todas las organizaciones pudieron obtener suficientes computadoras portátiles para cada empleado que ahora necesita trabajar de forma remota. Como resultado, muchos trabajadores están utilizando sus dispositivos personales para conectarse a la red corporativa. Y esos dispositivos no solo se usan para cosas como las redes sociales, las compras y el entretenimiento por streaming, sino que también están mucho menos protegidos con soluciones de seguridad y de protección de puntos finales, lo que significa que son mucho más vulnerables al malware impulsado por estos ataques de phishing.

Y estos dispositivos ni siquiera necesitan ser atacados directamente. Debido a que todos están conectados a la red doméstica, los atacantes tienen múltiples vías de ataque que pueden explotarse, incluidas otras computadoras, tabletas, sistemas de juegos y entretenimiento, e incluso dispositivos IoT en línea como cámaras digitales, electrodomésticos inteligentes y herramientas domésticas inteligentes como timbres, dispositivos de control de clima, sistemas de alarma e iluminación inteligente, con el objetivo final de encontrar el camino de regreso a una red corporativa o escolar y sus valiosos recursos digitales.

Si el dispositivo de un trabajador remoto puede verse comprometido, puede convertirse en un conducto de regreso a la red central de la organización, permitiendo la propagación de malware a otros trabajadores remotos. La interrupción del negocio resultante puede ser tan efectiva como el ransomware dirigido a sistemas de red internos para desconectar un negocio. Dado que los servicios de asistencia ahora son remotos, los dispositivos infectados con ransomware o virus pueden incapacitar a los trabajadores durante días.

Un pico repentino en los virus

Hasta este momento, hemos visto un aumento significativo en los virus, muchos de los cuales están incluidos en estos archivos adjuntos de phishing maliciosos. Durante el primer trimestre de 2020, por ejemplo, hemos documentado un aumento del 17% en los virus en enero, un aumento del 52% en febrero y un aumento alarmante del 131% en marzo en comparación con los mismos meses en 2019.

Curiosamente, también hemos visto una reducción en los métodos de ataque más tradicionales. Durante el primer trimestre, por ejemplo, hemos visto una reducción de botnets por mes de -66%, -65% y -44% en comparación con el mismo período de tiempo en 2019. Del mismo modo, los ataques basados en IPS también han disminuido: -71% en enero y -58% en marzo en comparación con 2019, con un ligero repunte en febrero del 29%. Esto parece indicar que los cibercriminales están ajustando sus estrategias de ataque para aprovechar la crisis actual.

Soluciones y contramedidas

Es esencial que las organizaciones tomen medidas para proteger a sus trabajadores remotos y ayudarlos a proteger sus dispositivos y redes domésticas. Considere adoptar la misma estrategia para los cibervirus que estamos adoptando en el mundo real. El distanciamiento social cibernético se trata de reconocer los riesgos y mantener nuestra distancia. Aquí hay algunos pasos críticos a considerar:

• Eduque a sus trabajadores remotos y a sus familias sobre cosas como el phishing y los sitios web maliciosos, y cómo detenerlos. Fortinet ha puesto a disposición una serie de recursos de capacitación para usuarios de forma gratuita para ayudar a los teletrabajadores a ponerse al día sobre temas de seguridad esenciales, incluidos los dos primeros niveles de nuestro programa de capacitación NSE.
• Luego, coloque contramedidas de seguridad. Asegúrese de que los trabajadores remotos tengan una solución VPN FortiClient gratuita. Para una seguridad más avanzada, considere agregar FortiEDR para detectar y desactivar amenazas en vivo. Indique a los usuarios que habiliten la seguridad incluida en la mayoría de los enrutadores domésticos y puntos de acceso inalámbrico. También deben comunicarse con su proveedor de servicios de cable o internet para ver qué servicios de seguridad brindan y habilitarlos.
• Asegúrese que su sede corporativa también esté protegida. Además de FortiToken y FortiAuthenticator para habilitar la autenticación multifactor y el inicio de sesión única, puede aprovechar sus dispositivos FortiGate existentes para el despliegue de VPNs escalables y para la inspección del tráfico. Considere también una solución FortiNAC para garantizar que los dispositivos autenticados solo tengan acceso a los recursos de red que requieren y para responder automáticamente a los dispositivos que se comportan mal. FortiNAC también puede garantizar que solo los dispositivos que han sido parcheados y actualizados puedan acceder a la red, lo que ayuda a resolver los problemas crónicos de la falta de higiene en seguridad.
• Y finalmente, realice una revisión de sus otras herramientas de seguridad. Dado que tantos ataques están basados en phishing, es fundamental que su gateway de correo electrónico seguro sea capaz de detectar y filtrar ataques de phishing y spam, y eliminar los archivos adjuntos maliciosos. FortiMail proporciona capacidades sólidas de protección de datos para evitar la pérdida de información, y en pruebas independientes realizadas por NSS Labs se descubrió que proporciona una detección del 100 por ciento de los ataques de phishing con cero falsos positivos.

Comience ahora

Las organizaciones tienen prisa por pasar a un modelo de trabajador remoto para mantener la continuidad del negocio y pueden cometer errores que los delincuentes explotarán. Conocer los riesgos es un primer paso fundamental. El siguiente paso, y a menudo el más difícil, es hacer algo al respecto. Los ciberdelincuentes están muy dispuestos y son capaces de aprovechar esta crisis para su beneficio personal. La continuidad operativa y comercial es sumamente crítica, el de la seguridad es un desafío que no puede posponerse