Victimización repetida: la amenaza de ataques de ransomware de doble extorsión
El ransomware ya ha demostrado ser un arma poderosamente rentable en el arsenal de los ciberdelincuentes. Según Emsisoft, en 2019, los incidentes de ransomware podrían haber tenido un costo combinado de más de $ 7.5 mil millones (£ 5.65 mil millones). Eso es solo para los incidentes ocurridos en EE. UU. También.
Como se han dado cuenta los profesionales de la ciberseguridad y el público en general, el ciberdelito es ahora un gran negocio, con grupos de amenazas organizados que comparten recursos y técnicas para aumentar la rentabilidad. A pesar del ROI estelar del ransomware, los grupos de ciberdelincuentes han decidido recientemente que se puede hacer más con esta marca de malware y han cambiado sus tácticas, empleando un nuevo modelo de doble extorsión.
Doble problema
En el último año, más o menos, los ataques de doble extorsión han acelerado el ritmo y han ocupado los titulares, con los operadores del ransomware Maze a la cabeza en su utilización. En el modelo de doble extorsión, los atacantes de ransomware no solo cifran los datos y exigen un rescate para recuperar el acceso, sino que también amenazan con publicar los datos extraídos en línea si no se cumplen sus términos.
Esto ha resultado exitoso por varias razones. En primer lugar, las empresas ya son muy conscientes del ransomware. El tiempo de inactividad operativo que el ransomware puede imponer a una empresa es, por supuesto, dañino y bastante difícil de ocultar, lo que genera una atención negativa de los medios. Incluso si una empresa afectada por el ransomware finalmente se deshace del ransomware a través de los esfuerzos de los profesionales de la seguridad, todavía puede existir una percepción pública (incluso si es errónea) de que una empresa pagó el rescate, lo que genera un sentimiento más negativo.
Claramente, los grupos de ransomware como la organización detrás de Maze se han dado cuenta de que el daño causado por el ransomware se extiende mucho más allá del bloqueo de los sistemas. Después de todo, incluso el conocimiento de que un atacante está en la red y la amenaza de que se presione un botón de cifrado es suficiente para que algunas empresas paguen.
Los grupos de ransomware también están diversificando su enfoque al tomar copias de los datos antes de realizar el cifrado. Esto les da una serie de opciones, cada una de las cuales se ha visto desarrollada en la naturaleza.
En primer lugar, le demuestra a la víctima y / o al mundo en general que realmente han violado la organización. También agrega una segunda capa de extorsión, es decir, pagar o filtraremos los datos. Lo que es particularmente amenazante acerca de este enfoque es que, incluso si una empresa decide restaurar desde la copia de seguridad en lugar de pagar, esos datos siguen siendo valiosos y la amenaza de fugas no disminuye. En los casos en que una empresa paga el rescate, los ciberdelincuentes pueden ofrecer una garantía inútil de que han eliminado su copia de los datos. Estos datos podrían terminar filtrados más adelante o usarse nuevamente para aprovechar otro pago.
Claramente, se trata de delincuentes sin escrúpulos que buscan aprovechar cualquier oportunidad que tengan para obtener ganancias financieras. La pandilla Maze, al referirse al ataque a la red de LG a principios de año, presentó un barniz de ética en sus acciones, alegando que no ejecutaron el ransomware ya que los clientes de LG son “socialmente importantes y no queremos crear interrupciones para sus operaciones «. En cambio, filtraron más de 50 GB de datos robados.
Duplicando la seguridad
Afortunadamente para las posibles víctimas, existen varias formas de prevenir, o al menos mitigar, los ataques de ransomware. En muchos casos, los intrusos han estado en la red durante lo que puede ser un período prolongado antes de iniciar el ataque de malware real, y un objetivo fundamental de cualquier programa de ciberseguridad es minimizar el tiempo que los intrusos permanecen sin ser detectados en la red corporativa.
Minimizar el tiempo que los atacantes pasan dentro de la red de la empresa depende de que se les informe sobre el proceso mediante el cual se ejecutan los ataques de ransomware. Hay cinco etapas distintas que definen un ataque de ransomware y, al estar familiarizados con cada fase y sus indicadores de compromiso (IOC), los equipos de seguridad pueden responder rápidamente a una intrusión. Esto permite a las empresas limitar o incluso evitar por completo que los actores de amenazas accedan a datos que luego pueden conducir a un ataque de ransomware de doble extorsión.
Las cinco fases de un ataque de ransomware son:
- Explotación e infección
- Entrega y ejecución
- Despojo de respaldo
- Cifrado de archivos
- Notificación y limpieza al usuario
Para hacer frente a esta amenaza, también hay cinco fases de defensa contra ransomware, que son preparación, detección, contención, erradicación y recuperación. Los brotes a gran escala son el resultado de una contención inadecuada, donde el host local debe bloquearse y aislarse inmediatamente de la red, lo que evita que se cifren archivos adicionales en la red.
La capacidad de una organización para reconocer los COI que apuntan a las cinco fases del ataque y luego emplear las cinco fases de la defensa, radica en la supervisión eficaz de las redes de la empresa. Es crucial que las empresas reconozcan la naturaleza cruda de la amenaza del ransomware y adquieran las soluciones tecnológicas y los equipos de seguridad necesarios para garantizar este monitoreo integral.
Contribuido por Andrew Hollister, director de Laboratorios LogRhythm