Por: Juan Mario Posada Daza, Líder de Ciberseguridad de Accenture Colombia
Los atacantes de ransomware han intensificado su impacto intentando, y a menudo consiguiendo, robar datos para coaccionar los pagos exigidos para liberar la información o tecnologías secuestradas. El inicio de la pandemia fue el catalizador de esta táctica, con el consiguiente debilitamiento de la seguridad de las organizaciones y el aumento de los niveles de miedo y ansiedad entre los trabajadores, condiciones clave para el éxito de los intentos de extorsión. Como resultado, estamos viendo que un mayor número de empresas son objetivo de varias técnicas de extorsión nuevas.
¿Cómo han evolucionado las tácticas de extorsión del ransomware? Los grupos de ransomware intentan aumentar la presión sobre las víctimas para que paguen los rescates mediante el aumento de las interrupciones del servicio, y el daño a la reputación. Al mismo tiempo, algunos grupos también buscan crear confianza con sus víctimas, estableciendo un marco de «principios» a los que se adhieren, o proporcionando un conjunto de «garantías», para aumentar las posibilidades de que se paguen los rescates.
Hay una serie de tendencias que están marcando los ataques de ransomware:
Tendencia 1: Ampliación de la interrupción del servicio
El principal impacto de un ataque de ransomware siempre ha sido la interrupción del servicio que causa. Cuando su red corporativa o una parte de ella es «rehén» de los ciberatacantes, una organización se enfrenta a la presión de tener que aceptar las demandas de rescate con la esperanza de restaurar las operaciones. La buena noticia es que muchas organizaciones son ahora más eficaces para defenderse y recuperarse del ransomware. Por desgracia, los ciberatacantes también están mejorando sus tácticas.
Un tipo de táctica son los ataques DDOS: Una nueva táctica preocupante es la adición de ataques de denegación de servicio distribuidos (DDOS) a los intentos de ransomware y robo de datos. Para las organizaciones que ya sufren una interrupción del servicio debido al ransomware, un ataque DDOS puede exacerbar la interrupción y complicar la mitigación. Esto es especialmente problemático para las empresas de sectores en los que cualquier tiempo de inactividad prolongado puede ser muy perjudicial, como la salud, servicios públicos (energía, acueducto, etc.), la logística y los servicios financieros.
Para protegerse de este tipo de ataques, las empresas deben establecer sólidas relaciones de trabajo conjunto con sus proveedores de servicios de Internet, al tiempo que preparan un enfoque coordinado de prevención y respuesta a los ataques DDOS. Es necesario desplegar las tecnologías adecuadas para reconocer las señales que anticipan un ataque DDOS de forma temprana. Preparar y probar manuales de respuesta a incidentes y planes de mitigación de este tipo de ataques.
Tendencia 2: Aumento del daño a la reputación
Los atacantes de ransomware son cada vez más eficaces a la hora de exponer al público los ataques que han tenido éxito para obtener el pago. Para presionar a las víctimas para que paguen, sobre todo a las que consiguen minimizar la interrupción del servicio, los grupos suelen amenazar primero con dañar la reputación de la víctima y, si no lo consiguen, divulgar información sensible. Exponer públicamente la información puede llevar a la base de clientes de la víctima a creer que ésta miente sobre el compromiso, que tiene una seguridad de red deficiente o que aún podría estar comprometida, todo lo cual puede conducir a un daño de reputación a mediano o largo plazo para la víctima.
Para enfrentar este tipo de ataques, las empresas deben implementar una estrategia de medios clara para transmitir la información sobre un incidente de ciberseguridad. Se debe ser prudente a la hora de hacer declaraciones negando el alcance de cualquier ataque hasta que se conozcan todos los detalles, ya que los atacantes sacarán a la luz cualquier error de comunicación o falsedad.
Tendencia 3: Aumento de los costos de los ataques
El robo de datos está ahora en el centro del arsenal de las tácticas de extorsión de la mayoría de las bandas de ransomware, lo que puede aumentar el costo del ataque. Los ciberdelincuentes están extorsionando con rescates más altos y obteniendo el pago rápido. A esto hay que añadir el costo personal de los individuos expuestos en la violación: los atacantes suelen buscar pólizas de seguros, datos de tarjetas de crédito, pasaportes, correos electrónicos personales y otros, para exponerlos en su sitio web.
Para enfrentar este tipo de ataques, las organizaciones deben incorporar políticas estrictas de manejo de la información personal identificable (PII) y asegurarse de que se almacenan los mínimos datos personales sensibles en las redes corporativas. Tomar medidas para proteger las redes contra el robo de datos: mantener el software actualizado, realizar evaluaciones de riesgo periódicas, cifrar y hacer copias de seguridad de los datos y formar al personal en las prácticas líderes de protección y seguridad.
Tendencia 4: Facilitar el pago del rescate para resolver una brecha
En marcado contraste con las tendencias anteriores, algunos atacantes intentan distinguirse como dignos de confianza, caritativos y con quienes es fácil hacer negocios, con el fin de fomentar la cooperación en el pago de rescates. Estas bandas agilizan el proceso de pago y descifrado y declaran públicamente su modelo de negocio «ético», que supuestamente se traduce en una menor posibilidad de cobertura mediática, menos tiempo de inactividad y ninguna exposición de los datos.
El debate sobre el pago de rescates es complicado. Las víctimas deben sopesar los pros y los contras del pago del rescate con la presión de resolver rápidamente la interrupción de la red. A pesar de tratar de aparentar principios, los atacantes no siempre son fieles a su palabra. Las bandas de ransomware han dicho que no atacarán hospitales, pero luego han atacado un hospital. Han prometido borrar los datos robados que posteriormente han aparecido en foros de la web oscura.
Llamado a la acción: definir el nivel de exposición, así como identificar posibles impactos para definir las acciones de prevención, detección y respuesta ante ataques de Ransomware.
En este contexto, es clave contar con una estrategia clara para reducir el impacto de estas técnicas de extorsión si se produce un ataque. Esto incluye manuales completos de respuesta a incidentes, planes de continuidad del negocio y de recuperación de desastres, y la implementación de una estrategia de medios clara.