El ransomware es la amenaza de facto a la que se han enfrentado las organizaciones en los últimos años. Los actores de amenazas estaban ganando dinero fácil al explotar la alta valoración de las criptomonedas y la falta de preparación adecuada de sus víctimas.
Piense en las malas políticas de seguridad, las copias de seguridad no probadas, las prácticas de administración de parches que no están a la altura, etc. Resultó en un crecimiento fácil para la extorsión de ransomware, un crimen que perpetran múltiples actores de amenazas en todo el mundo.
Sin embargo, algo ha cambiado. Las valoraciones de las criptomonedas han caído, lo que reduce el atractivo monetario de los ataques de ransomware debido a que las organizaciones montan una formidable defensa contra el ransomware.
Los actores de amenazas han estado buscando otra oportunidad y la encontraron. Se llama exfiltración de datos, o exfil, un tipo de espionaje que causa dolores de cabeza en organizaciones de todo el mundo. Vamos a ver.
La amenaza de revelar información confidencial
La exfiltración de información se está volviendo rápidamente más frecuente. A principios de este año, los incidentes en Nvidia, Microsoft y varias otras empresas pusieron de manifiesto la magnitud del problema que se ha convertido y cómo, para algunas organizaciones, puede ser una amenaza incluso mayor que el ransomware.
Nvidia, por ejemplo, se enredó en un complejo intercambio de ojo por ojo con el grupo de hackers Lapsus$. Uno de los fabricantes de chips más grandes del mundo se enfrentó a la exposición pública del código fuente de una tecnología invaluable, ya que Lapsus$ filtró el código fuente de la investigación Deep Learning Super Sampling (DLSS) de la compañía.
Cuando se trata de extorsión de exfil, los atacantes no ingresan con el objetivo principal de encriptar un sistema y causar una interrupción de la forma en que lo hace un atacante de ransomware. Aunque, sí, los atacantes aún pueden usar el cifrado para cubrir sus huellas.
En cambio, los atacantes en una misión de exfiltración de información moverán grandes cantidades de datos patentados a los sistemas que controlan. Y aquí está el juego: los atacantes procederán a extorsionar a la víctima, amenazando con divulgar esa información confidencial o venderla a terceros sin escrúpulos.
Exfil puede ser mucho más dañino que el ransomware
Para las víctimas, es una amenaza grave porque los atacantes pueden adquirir las llaves de la caja fuerte. Los competidores pueden usar secretos comerciales para producir copias de productos o ayudar en sus esfuerzos de investigación y desarrollo o información que podría conducir a un costoso desastre de relaciones públicas.
De cualquier manera, la exposición pública de la información puede ser una amenaza mayor que el ransomware porque la demanda de ransomware se puede resolver pagando (o recuperando copias de seguridad). Información filtrada, bueno, eso es algo que puede ser irreparable. Es fácil ver por qué los actores de amenazas pueden encontrar la extorsión basada en la fuga de información como un objetivo aún más atractivo que el mero ransomware.
Vale la pena señalar que parte del impulso de este tipo de ataque también radica en el estado actual de los asuntos mundiales que ha creado una fuerte demanda de transferencia de propiedad intelectual a través de líneas geopolíticas opuestas. Podría decirse que también hay una mayor indulgencia contra los actores que atacan “al otro lado”, incluso cuando los sistemas judiciales locales consideran que el ataque es un delito.
En el largo plazo
Hay otro tema que está surgiendo en el espacio exfil. Es interesante notar algo que los equipos de seguridad cibernética saben desde hace mucho tiempo: para los actores maliciosos, es beneficioso que un atacante pase desapercibido durante un período prolongado de tiempo.
Permanecer en silencio, en lugar de mostrar mensajes de “ha sido pirateado” en las pantallas de las computadoras, permite a los atacantes “ver” más flujos de información en la red y hacer un reconocimiento más profundo de los sistemas después de ingresar.
Más tiempo en la red significa que los atacantes pueden identificar objetivos más deseables que una simple implementación de ransomware. Los actores de amenazas pacientes podrían hacer mucho más daño; si no se detectan.
Las medidas de protección siguen funcionando
¿Qué pueden hacer las organizaciones para protegerse contra la extorsión? Pues siguen contando los mismos principios de ciberseguridad, más aún dado el mayor riesgo.
Después de tantos años de titulares alarmantes, la mayoría de las organizaciones han implementado la protección contra ransomware en forma de mejores estrategias de copia de seguridad, acceso a datos más preciso y granular, y mejores reglas y supervisión para detectar cambios de archivos no deseados.
Ha hecho que los ataques de ransomware sean más difíciles, a menudo actuando como elemento disuasorio contra los atacantes que simplemente buscan objetivos fáciles. La protección contra infecciones de malware o exfiltración de información comienza con el mantenimiento adecuado de la infraestructura.
Los parches sin costuras permanecen en el núcleo
Eso incluye mantener los sistemas actualizados con los últimos parches. Por supuesto, no es solo una protección contra el ransomware: los sistemas parcheados también cierran los caminos fáciles a la información comercial crítica para que los actores de amenazas no estén en posición de desviar información comercial crítica.
Suponga que su organización todavía depende de operaciones de parches que involucran ventanas de mantenimiento. En ese caso, vale la pena considerar si la aplicación de parches se realiza lo suficientemente rápido como para proteger a su organización contra las amenazas de exfiltración de información.
¿No puede parchear lo suficientemente rápido? Echa un vistazo a parcheo en vivo. Empresa KernelCare de TuxCare lo ayuda a mantenerse protegido contra amenazas emergentes de inmediato, con poco retraso entre la aparición y la mitigación de amenazas. Con una adición simple y asequible a su arsenal de ciberseguridad, puede implementar la línea de defensa más simple e importante contra los atacantes que buscan retenerlo para pedir un rescate.