Bishop Fox publicó una guía de preparación contra el ransomware para ayudar a las organizaciones a identificar las brechas de seguridad y reducir los riesgos.

En 2020, las empresas de todo el mundo pagaron más de 18 mil millones de dólares en rescates. Esta suma no incluye los costos del tiempo de inactividad, ya que los equipos humanos se esfuerzan por volver a poner en marcha sus operaciones, proteger las relaciones críticas con los accionistas y los clientes, y navegar por un campo legal minado, todo lo anterior ocurriendo -además- en un ambiente de crisis.

Muchos ataques de ransomware pueden destruir las operaciones comerciales de empresas grandes y pequeñas, ya sea por un costoso revés temporal, por una marca negra indeleble en su reputación o, más a menudo, por ambos efectos. Durante un ataque de ransomware, el resultado específico puede ser incierto, pero la interrupción es inevitable, y la amenaza de destrucción de datos –y lo peor aún, la divulgación de datos sensibles- se cierne sobre ellas.

La mayoría de los expertos coinciden en que la prevención es el mejor enfoque, lo que hace que la preparación contra el ransomware sea esencial para las compañías de hoy. El reto es que la tecnología sólo puede llevarnos hasta cierto punto. Los más recientes ataques de ransomware eluden los controles tradicionales: utilizan credenciales de acceso autorizadas e insertan código malicioso en procesos de negocio legítimos. A pesar de los avances en las tecnologías de prevención del ransomware, los ataques siguen aumentando.

Para prepararse mejor para un ataque de ransomware, la guía publicada por Bishop Fox ayuda a las organizaciones a comprender lo siguiente sobre su adversario: 

Motivos: ¿qué les lleva a dirigirse a sus víctimas y a lanzar ataques?

Si algo es valioso para una empresa, entonces es valioso para los cibercriminales. Antiguamente, los atacantes se dirigían hacia activos o datos con valor intrínseco: números de tarjetas de crédito, credenciales, información personal identificable, básicamente cualquier dato que pudiera venderse en los mercados negros. Una de las principales innovaciones de los grupos de ransomware es la monetización del acto de comprometer información.

Por ejemplo, una empresa de arquitectura no está sentada sobre una montaña de datos sensibles, como sí lo estaría un procesador de pagos. Este simple hecho solía proteger a determinadas industrias de los ataques, ya que no poseían nada de valor para los atacantes. Al fin y al cabo, al típico ciberdelincuente no le importan los planos de un nuevo edificio.

Pero tan pronto los atacantes se dan cuenta que sí tiene valor para dicha empresa de arquitectura, ese valor puede ser extraído entonces. Al secuestrar sus información y venderla de vuelta a su propietario original, se puede hacer dinero de casi cualquier compañía.

Modo: ¿cómo se puede caracterizar su comportamiento? ¿Qué nos dice?

Es oportunista. El mantra de los atacantes es conseguir la mercancía y seguir adelante. Los atacantes de ransomware están interesados en encontrar el camino que ofrece la menor resistencia y que les haga ganar dinero.

Esto significa que lo más probable es que exploten vulnerabilidades ya conocidas en lugar de pasar semanas probando una aplicación personalizada para encontrar algo completamente novedoso. No es que sean incapaces, sino que podrían invertir ese tiempo explotando a otra organización. Si la empresa se asegura de que no haya una fruta al alcance de la mano en su entorno, puede contribuir en gran medida a disuadir este tipo de amenazas.

Esto contrasta con los atacantes que tienen motivos políticos o el hacktivismo. Estos hackers están interesados en un objetivo específico y evadirán la detección en su camino para conseguirlo. Mientras que un atacante promedio prefiere los objetivos fáciles y los buscará activamente, los adversarios con motivaciones políticas son más propensos a invertir tiempo y recursos para violar un entorno, aunque sea por el camino dífícil.

Los métodos: ¿qué herramientas utilizan y cómo las utilizan?

Es toda una operación. El ransomware es un gran negocio, también es un ecosistema próspero y competitivo.

Para que el ransomware sea rentable, la víctima tiene que pagar el rescate. Esto parece obvio, pero muestra cómo funciona toda la operación. Si se infligen daños permanentes o se pierden datos, ¿qué incentivo hay para pagar a quienes lo hicieron? Es todo un reto de ingeniería secuestrar una amplia gama de activos técnicos heterogéneos y que su liberación se dé en un entorno sencillo y no destructivo. Por esta razón, los grupos de ransomware están organizados y las herramientas que utilizan están probadas.

Los grupos de ransomware son conocidos por emplear líneas de atención al cliente que guiarán a sus víctimas a través de cada paso del proceso de descifrado, desde la compra de los Bitcoin hasta la transferencia de los mismos y el descifrado de las máquinas (también en su idioma natal). Después de todo, quieren que la organización sepa que tras pagar el rescate recuperará sus datos.

Por lo demás, el ransomware no difiere mucho de otros tipos de ataques desde una perspectiva puramente técnica. Los atacantes necesitan encontrar un punto de entrada inicial, pivotar en el entorno, escalar privilegios y detonar sus cargas útiles, todos ellos pasos conocidos en el proceso de explotación.

Movimientos: una vez que están dentro, ¿qué es lo que sigue?

El atacante será descarado. Las amenazas de rescate pueden convertirse rápidamente en chantaje y extorsión.

Los atacantes de ransomware suelen operar en países fuera de las fronteras jurisdiccionales occidentales, por lo que pueden ser más agresivos que otros tipos de actores de amenazas. Se preocupan por ser atrapados sólo en la medida en que esto les haga perder dinero al ser expulsados de la red que atacan antes de infectar tantas máquinas como sea posible.

Al fin y al cabo, incluso si se les atrapa y se frustra el ataque, simplemente pasarán al siguiente objetivo. No pasarán tiempo en la cárcel, por lo que no es un gran problema para ellos. Esto significa que oscilarán alrededor de una red para tratar de recoger el mayor número de activos posible rápidamente. Cada máquina no comprometida es un potencial servidor de respaldo que puede socavar toda la operación.

No hay nada fuera de los límites para los atacantes de ransomware. Tras obtener acceso a la red de su víctima, algunos atacantes de ransomware roban datos sensibles antes de lanzar la rutina de cifrado. Para aumentar la presión sobre la víctima y que pague rápidamente, los atacantes pueden amenazar con liberar la información sensible si el rescate no se cumple o no se paga a tiempo. Así que, aunque las copias de seguridad pueden anular la necesidad de un desencriptador, no pueden impedir que un atacante chantajee a su víctima -o revele los datos sensibles-, independientemente de cómo responda la víctima.

No se necesita ser un genio

La mejor manera de protegerse contra un ataque de ransomware no es ningún secreto: parchar las aplicaciones y los sistemas operativos; aplicar el principio del mínimo privilegio en todas partes -por ejemplo, proteger el acceso con contraseñas seguras que no se compartan; desactivar los puertos, protocolos y aplicaciones innecesarias; segmentar las redes; utilizar el cifrado; etc. -, y ejecutar un programa regular de copia de seguridad y recuperación del sistema. ¿La única diferencia ahora? La palabra de moda que utiliza el mercado: ciberhigiene.