En 2020 las empresas de todo el mundo pagaron más de 18,000 millones de dólares en rescates por ataques con ransomware. Entre ellas se encontraron instituciones de educación superior, como la Universidad de California en San Francisco. Para recuperar sus datos, pagó 1.14 millones de dólares. Otra víctima fue la Universidad Estatal de Michigan, que no cedió al chantaje. En represalia, documentos financieros e información personal de sus miembros fueron difundidos en la Internet. Lo que es peor: los rescates pagados no incluyen los costos del tiempo de inactividad.
Muchos ataques con ransomware pueden destruir las operaciones comerciales de empresas grandes y pequeñas. Puede ser por un costoso revés temporal, por una marca negra indeleble en su reputación o, más a menudo, por ambos efectos. Durante los ataques con ransomware, el resultado específico puede ser incierto. Sin embargo, la interrupción es inevitable. Peor aún: la amenaza de destrucción de datos sensibles o su divulgación se cierne sobre la víctima.
La mayoría de los expertos coinciden en que la prevención es el mejor enfoque. El reto es que la tecnología sólo puede llevarnos hasta cierto punto. Los más recientes ataques con ransomware eluden los controles tradicionales. Utilizan credenciales de acceso autorizadas e insertan código malicioso en procesos de negocio legítimos.
Delincuentes oportunistas
Prepararse mejor para los ataques con ransomware requiere una buena comprensión de los motivos, modos, métodos y movimientos de los atacantes. Para ello existen recursos como la guía publicada por Bishop Fox, firma especializada en ciberseguridad ofensiva. Entre sus soluciones se cuentan pruebas de penetración continuas, red teaming, gestión de superficies de ataque, evaluaciones de seguridad de productos, de la nube y de aplicaciones.
●Motivos: ¿Qué les lleva a dirigirse a sus víctimas y a lanzar ataques?
Si algo es valioso para una empresa, entonces es valioso para los cibercriminales. Antiguamente, los atacantes se dirigían hacia activos o datos con valor intrínseco. Números de tarjetas de crédito, credenciales, información personal identificable, básicamente cualquier dato que pudiera venderse en los mercados negros. Una de las principales innovaciones de los grupos de ransomware es la monetización del acto de comprometer información. Al secuestrar información y venderla de vuelta a su propietario original pueden ganar dinero de casi cualquier compañía.
●Modo: ¿Cómo se puede caracterizar su comportamiento? ¿Qué nos dice?
Es oportunista. Los atacantes de ransomware están interesados en encontrar el camino que ofrece la menor resistencia y que les haga ganar dinero. Es más probable que exploten vulnerabilidades ya conocidas en lugar de pasar semanas probando una aplicación personalizada para encontrar algo completamente novedoso. No es que sean incapaces, sino que podrían invertir ese tiempo explotando a otra organización.
Esto contrasta con los atacantes que tienen motivos políticos o el hacktivismo. Estos hackers están interesados en un objetivo específico y evadirán la detección en su camino para conseguirlo, aunque sea por el camino difícil.
Pasos conocidos
●Los métodos: ¿Qué herramientas utilizan y cómo las utilizan?
Para que el ransomware sea rentable, la víctima tiene que pagar el rescate. Si se infligen daños permanentes o se pierden datos, ¿qué incentivo hay para pagar a quienes lo hicieron? Es todo un reto de ingeniería secuestrar una amplia gama de activos técnicos heterogéneos y que su liberación se dé en un entorno sencillo y no destructivo. Por esta razón, los grupos de ransomware están organizados y las herramientas que utilizan están probadas.
Los grupos de ransomware son conocidos por emplear líneas de atención al cliente. El propósito es guiar a sus víctimas paso a paso. Desde la compra de las Bitcoin y su transferencia, hasta el descifrado de las máquinas. Suelen emplear el idioma natal de la víctima. Después de todo, quieren que la organización sepa que tras pagar el rescate recuperará sus datos.
Por lo demás, el ransomware no difiere mucho de otros tipos de ataques desde una perspectiva puramente técnica. Los atacantes necesitan encontrar un punto de entrada inicial, pivotar en el entorno, escalar privilegios y detonar sus cargas útiles. Son pasos conocidos en el proceso de explotación.
Ciberhigiene para enfrentar los ataques con ransomware
●Movimientos: Una vez que están dentro, ¿qué es lo que sigue?
El atacante será descarado. Los atacantes de ransomware suelen operar en países fuera de las fronteras jurisdiccionales occidentales. Pueden ser más agresivos. Sólo se preocupan por ser atrapados si les hace perder dinero al ser expulsados de la red que atacan antes de infectar a tantas máquinas como sea posible.
Aunque las copias de seguridad pueden anular la necesidad de un desencriptador, no pueden impedir el chantaje o la revelación de datos sensibles, independientemente de cómo responda la víctima. Al fin y al cabo, incluso si se les atrapa y se frustra el ataque, simplemente continuarán con otro objetivo. No pasarán tiempo en la cárcel, por lo que no es un gran problema para ellos. Esto significa que acecharán alrededor de una red para tratar de recoger el mayor número de activos posible rápidamente. Cada máquina no comprometida es un potencial servidor de respaldo que puede socavar toda la operación.
Gracias al Ransomware-as-a-Service, estos ataques están disponibles para un mercado masivo con operaciones e infraestructuras de soporte de nivel empresarial. La mejor manera de protegerse contra los ataques con ransomware no es ningún secreto. Se trata de ciberhigiene. Es decir, se deben parchar las aplicaciones y los sistemas operativos. También aplicar el principio del mínimo privilegio en todas partes, por ejemplo, proteger el acceso con contraseñas seguras que no se compartan. Además, hay que desactivar los puertos, protocolos y aplicaciones innecesarias, segmentar las redes y utilizar el cifrado entre otras acciones. Por supuesto, se debe ejecutar un programa regular de copia de seguridad y recuperación del sistema.
