Detección y prevención de ransomware con IBM Security QRadar SIEM
IBM Security® QRadar® SIEM ayuda a detectar el ransomware antes de que pueda tomar sus datos como rehenes
Solicite una demostración
Persona escribiendo en pizarra en la oficina
Detectar y responder al ransomware

El ransomware se ha convertido en uno de los modelos de negocio más importantes de la ciberdelincuencia, costando a las organizaciones miles de millones de dólares al año. En un ataque de ransomware, los ciberdelincuentes roban o cifran datos valiosos y luego exigen un pago para devolverlos a salvo. Estos ataques han pasado de ser una molestia a nivel del consumidor a convertirse en un sofisticado malware con avanzadas capacidades de cifrado, y ningún sector, zona geográfica o tamaño de empresa es inmune.

Proteger a su organización del ransomware y otros tipos de malware requiere una respuesta rápida, porque cada segundo que pasa se cifran más archivos y se infectan más dispositivos, lo que aumenta tanto los daños como los costos. IBM Security QRadar SIEM le ayuda a detectar estas amenazas rápidamente para que pueda tomar medidas informadas e inmediatas para evitar o minimizar los efectos del ataque.

Obtenga más información sobre el riesgo de ransomware

Leer La guía definitiva del ransomware

Leer el informe sobre el costo de una filtración de datos 2022

Obtener el resumen de la solución QRadar SIEM
La amenaza del ransomware

En la batalla contra el ransomware, la detección y prevención tempranas son fundamentales. QRadar SIEM ofrece análisis de seguridad inteligentes que le proporcionan información procesable contra las amenazas críticas.

21 %

El 21 % de todos los ciberataques son ransomware¹.

4.54

El costo promedio de un ataque de ransomware es de 4.54 millones de USD.2

146 %

Se ha producido un aumento del 146 % en el ransomware para Linux con código nuevo.3

Cómo ayuda QRadar SIEM a proteger contra el ransomware

El ransomware, como la mayoría del malware, progresa a través de varias fases. QRadar SIEM puede detectar ransomware conocido y desconocido a lo largo de dichas fases. La detección temprana puede ayudar a prevenir los daños ocasionados en fases posteriores. QRadar proporciona extensiones de contenido que incluyen cientos de casos de uso para generar alertas a través de estas fases. Las extensiones de contenido se entregan a través de la aplicación Exchange y ofrecen la posibilidad de obtener los casos de uso más recientes. Las colecciones de IBM Security® X-Force® Threat Intelligence se utilizan como referencia en los casos de uso para ayudar a encontrar los últimos indicadores de compromiso (IOC) conocidos, como direcciones IP, hashes de archivos de malware, URL y mucho más.

La mayoría del malware y ransomware “conocidos” pueden encontrarse en las fases iniciales. Para detectar ransomware desconocido, QRadar SIEM proporciona casos de uso que se enfocan en detectar comportamientos de ransomware. La visibilidad a través de puntos finales, servidores de aplicaciones (en las instalaciones y en la nube) y dispositivos de red (firewalls) permite al Use Case Manager de QRadar SIEM detectar patrones de comportamiento de ransomware que abarcan su infraestructura de TI y OT. El Case Manager puede ayudarle a visualizar si tiene casos de uso, o reglas, que abarquen estas fases utilizando la matriz de MITRE ATT&CK.


Fase de distribución (Tácticas de MITRE ATT&CK: Acceso inicial)

El ransomware se parece a otros programas de malware durante esta fase. Utiliza técnicas de phishing para atraer a sus empleados desprevenidos para que hagan clic en un enlace o ejecutable en un correo electrónico, Honeypot, redes sociales o mensaje de texto.

Ejemplos de casos de uso de QRadar SIEM para encontrar comportamientos de distribución y ransomware conocidos:

  • Ejecutable integrado en el correo electrónico
  • Comunicación por correo electrónico o web con el host agresor
  • Asunto de correo electrónico sospechoso

Fase de infección (Tácticas de MITRE ATT&CK: Ejecución, Persistencia)

Este es el momento en que comienza a correr el cronómetro. El ransomware está ahora en su entorno. Si el ransomware utilizó un “dropper” para evitar la detección en la fase de distribución, es en este momento cuando el dropper llama a casa y descarga el “ejecutable real” y lo ejecuta.

Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de infección:

  • Detección de archivo o proceso malicioso
  • Detección de IOC malicioso
  • Descodificación o descarga de archivos seguida de actividad sospechosa

Fase de almacenamiento temporal (Tácticas de MITRE ATT&CK: Persistencia, Escalada de privilegios, Evasión de defensas, Acceso a credenciales)

El ransomware está escaneando la máquina para analizar los derechos administrativos que podría obtener, hacer ejecutar en el arranque, desactivar el modo de recuperación, borrar las copias ocultas y mucho más.

Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de almacenamiento temporal:

    • Intento de eliminar copias ocultas, respaldos
    • Recuperación desactivada en la configuración de arranque

    Fase de reconocimiento (Tácticas de MITRE ATT&CK: Descubrimiento, Movimiento lateral, Recopilación)

    Ahora que el ransomware es dueño de la máquina desde la fase inicial, comenzará una fase de reconocimiento de la red (rutas de ataque), carpetas y archivos con extensiones predefinidas, entre otros.

    Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de reconocimiento:

    • Intento de eliminar copias ocultas, respaldos
    • Límites de tamaño de transferencia de datos
    Aspectos esenciales de la supervisión de puntos finales para QRadar

    Fase de cifrado (Tácticas de MITRE ATT&CK: Exfiltración, Impacto)

    El verdadero daño comienza ahora. Las acciones típicas incluyen crear una copia de cada archivo, cifrar las copias, colocar los nuevos archivos en la ubicación original. Los archivos originales pueden ser exfiltrados y borrados del sistema, lo que permite a los atacantes extorsionar a la víctima con amenazas de hacer pública su infracción, o incluso filtrar los documentos robados. 

    Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de cifrado:

    • Eliminación o creación excesiva de archivos
    • Cantidad sospechosa de archivos renombrados o movidos en la misma máquina (UNIX)
    • Límites de tamaño de transferencia de datos
    ¿Necesita ayuda para supervisar la exfiltración de datos?

    Notificación de rescate

    El daño está hecho y el usuario recibe una notificación sobre cómo pagar el rescate para obtener la clave de descifrado. En este punto no hay mucho más que detectar, salvo la creación del archivo de instrucciones de descifrado.

    Ejemplo de casos de uso de QRadar SIEM para encontrar comportamientos de notificación de rescate:

    • Creación de instrucciones de descifrado de ransomware

    Los casos de uso para encontrar ransomware están disponibles en las siguientes extensiones de contenido que se encuentran en la aplicación Exchange (enlace externo a ibm.com):

    Obtenga más información sobre los casos de uso de QRadar SIEM para cada fase
    Planificación de un ataque de ransomware

    Después de la fase inicial de infección, el tiempo es fundamental. Cuanto antes lo detecte, antes podrá iniciar su plan de respuesta a incidentes (IR). Cuanto mejor sea el plan de IR, más rápido podrá impedir que el ransomware avance por las fases. El NIST (enlace externo a ibm.com) y el SANS (enlace externo a ibm.com) cuentan con pautas de IR que han resistido la prueba del tiempo. Existen algunos aspectos clave en cualquier plan de IR.

    Respaldos en su sitio. Los respaldos fuera de línea son fundamentales durante un ataque de ransomware. Asegúrese de saber dónde están esos respaldos y cómo restaurar sus sistemas. Incluya en su proceso de IR los pasos sobre a quién contactar para cada uno de sus activos informáticos críticos.

    Equipos, herramientas y roles identificados. A medida que el ransonware avanza por sus distintas fases, desde la infección inicial hasta el cifrado, la composición del equipo de respuesta cambia. Esto suele significar que más personas de toda la organización deben implicarse. A menudo, eso puede incluir el uso de servicios de terceros para ayudar o, en el caso de una infracción, puede significar ponerse en contacto con el departamento legal, los reguladores externos y los clientes. Saber con quién ponerse en contacto y cuándo es fundamental. Mantener una lista de contactos actualizada es importante, pero integrar esas funciones de contacto en su proceso es vital para una respuesta eficaz. El papel y los PDF son adecuados, pero es clave disponer de las herramientas adecuadas y de una automatización que proporcione a todo el equipo acceso al proceso de respuesta al ransomware, a las acciones y a la documentación histórica.

    Un proceso bien definido y automatización. Un proceso de IR puede contener muchas tareas y puede incluir múltiples puntos de decisión. Es una buena práctica alinear su proceso con las fases descritas por el NIST y SANS. Por ejemplo, puede organizar su proceso de IR según las siguientes fases:

    1. Descubrimiento e identificación
    2. Enriquecimiento y validación
    3. Contención y corrección
    4. Recuperación y comunicación

    QRadar SOAR proporciona manuales de estrategias para definir su proceso de IR y automatizar las numerosas acciones que un analista puede necesitar ejecutar para avanzar rápidamente por las fases. La respuesta ante infracciones de QRadar SOAR puede crear las tareas de elaboración de informes necesarias para el regulador en función de la PI expuesta.

    Inventario de activos de TI, propietarios, PI.  Cuando se infecta un sistema, un analista de seguridad necesita conocer al propietario del sistema y las aplicaciones y datos. Las soluciones de gestión de activos como ServiceNow o SAP pueden ayudar a gestionar los contactos de los sistemas. IBM Security® Discover and Classify puede ayudar a encontrar fuentes de datos y PI en cada fuente. Así, en caso de que se produzca una filtración de datos, los analistas sabrán si hay alguna normativa implicada.

    Obtenga más información sobre la planificación de un ataque de ransomware
    Casos de estudio Mejorar la defensa de la ciudad con inteligencia sobre amenazas

    La ciudad de Los Ángeles, LA Cyber Lab e IBM unieron fuerzas para ofrecer inteligencia sobre amenazas y reforzar a las empresas locales más vulnerables.

    Acelerar la corrección de amenazas con QRadar SIEM

    Integrar los datos, analizar los registros y priorizar los incidentes ayuda a la empresa de inversión y desarrollo inmobiliario de Vietnam a detectar y responder a las amenazas.

    Gestión de la ciberseguridad con soluciones combinadas de IBM

    Al alojar una solución QRadar SIEM en el almacenamiento de alto rendimiento IBM FlashSystem®, Data Action (DA) ofrece una seguridad mejorada a los bancos alternativos.

    Casos de uso relacionados

    La detección de amenazas desde el centro hasta el punto final con QRadar SIEM protege a su organización de varias maneras.

    Búsqueda de amenazas

    Incorpore las soluciones de búsqueda de amenazas cibernéticas de IBM Security en su estrategia de seguridad para combatir y mitigar las amenazas más rápidamente.

    Cumplimiento normativo

    Integre paquetes de cumplimiento normativo en QRadar SIEM para garantizar el cumplimiento normativo y automatizar la generación de informes.

    Detección de amenazas

    Detenga los ciberataques rápidamente con la detección de amenazas casi en tiempo real de QRadar SIEM. 

    Dé el siguiente paso

    Programe tiempo para obtener una demostración personalizada de QRadar SIEM o consulte con uno de nuestros expertos en productos.

    Solicite una demostración
    Más formas de explorar Documentación Soporte Comunidad Socios Recursos