Ransomware: amenazas contemporáneas, cómo prevenirlas y cómo puede ayudar el FBI
En abril de 2021, los supermercados holandeses se enfrentaron a una escasez de alimentos. La causa no fue una sequía o un aumento repentino en la demanda de aguacates. Más bien, la razón fue un ataque de ransomware. En los últimos años, empresas, universidades, escuelas, instalaciones médicas y otras organizaciones han sido blanco de amenazas de ransomware, lo que ha convertido al ransomware en la crisis de seguridad más grave de Internet.
El panorama del ransomware
El ransomware existe desde hace más de 30 años, pero se convirtió en una lucrativa fuente de ingresos para ciberactores y pandillas en la última década. Desde 2015, las pandillas de ransomware se han dirigido a organizaciones en lugar de individuos. En consecuencia, las sumas de rescate han aumentado significativamente, llegando a millones de dólares.
El ransomware es eficaz porque presiona a las víctimas de dos formas complementarias. Primero, amenazando a las víctimas con destruir sus datos. En segundo lugar, amenazando con publicar el ataque. La segunda amenaza tiene un impacto indirecto, pero es igual de grave (si no más). La publicación podría desencadenar problemas normativos y de cumplimiento, así como efectos negativos de marca a largo plazo.
Estos son algunos ejemplos de notas reales de ransomware:
El ransomware como servicio (RaaS) se ha convertido en el tipo de ransomware más extendido. En los ataques RaaS, los ciberdelincuentes desarrollan la infraestructura de ransomware y luego otorgan licencias a otros atacantes para su uso. Los atacantes de los clientes pueden pagar por el uso del software o pueden dividir el botín con los creadores. Etay maor, director sénior de estrategia de seguridad en Cato Networks comentó: «Hay otras formas de RaaS. Después de recibir el pago del ransomware, algunos grupos de Ransomware venden todos los datos sobre la red de la víctima a otras pandillas. Esto significa que el próximo ataque es mucho más simple y puede automatizarse por completo, ya que no requiere semanas de descubrimiento y análisis de red por parte de los atacantes».
Algunos de los principales jugadores de RaaS, que son conocidos por convertir el panorama de RaaS en lo que es hoy, son CryptoLocker, que infectó más de un cuarto de millón de sistemas en la década de 2000 y obtuvo más de $ 3 millones en menos de cuatro meses, CryptoWall, que hizo más de $ 18 millones y provocó un aviso del FBI, y finalmente Petya, NotPetya y WannaCry que usaron varios tipos de vulnerabilidades, incluido el ransomware.
Cómo ayuda el FBI a combatir el ransomware
Una organización bajo ataque está destinada a experimentar frustración y confusión. Uno de los primeros cursos de acción recomendados es ponerse en contacto con un equipo de respuesta a incidentes. El equipo de IR puede ayudar con la investigación, la recuperación y las negociaciones. Entonces, el FBI también puede ayudar.
Parte de la misión del FBI es crear conciencia sobre el ransomware. Gracias a una amplia red local y global, tienen acceso a valiosa inteligencia. Esta información puede ayudar a las víctimas con las negociaciones y la puesta en marcha. Por ejemplo, el FBI podría proporcionar información de perfiles sobre un actor de amenazas en función de su billetera Bitcoin.
Para ayudar a las víctimas de ransomware y prevenir el ransomware, el FBI ha establecido 56 Cyber Task Forces en sus oficinas de campo. Estos grupos de trabajo trabajan en estrecha colaboración con el IRS, el Departamento de Educación, la Oficina del Inspector General, el Servicio de Protección Federal y la Policía Estatal. También están en estrecho contacto con el Servicio Secreto y tienen acceso a laboratorios forenses regionales. Para los delitos cibernéticos de seguridad nacional, el FBI tiene un escuadrón designado.
Junto con el Grupo de Trabajo Cibernético, el FBI opera un CyWatch 24/7, que es un Centro de Vigilancia para coordinar las oficinas de campo, el sector privado y otras agencias federales y de inteligencia. También hay un Centro de Quejas de Delitos en Internet, ic3.gov, para registrar quejas e identificar tendencias.
Prevención de ataques de ransomware a tiempo
Muchos ataques de ransomware no tienen que llegar al punto en que se necesita al FBI. Más bien, se pueden evitar de antemano. El ransomware no es un ataque de un solo disparo. En cambio, una serie de tácticas y técnicas contribuyen a su ejecución. Al identificar las vulnerabilidades de red y seguridad por adelantado que permiten el ataque, las organizaciones pueden bloquear o limitar la capacidad de los actores de amenazas para realizar ransomware. Etay Maor agregó: «Necesitamos repensar el concepto de que «los atacantes deben tener razón solo una vez, los defensores deben tener razón todo el tiempo». Un ataque cibernético es una combinación de múltiples tácticas y técnicas. Como tal, solo puede ser contrarrestado con un enfoque holístico, con múltiples sistemas de seguridad convergentes que comparten contexto en tiempo real. arquitectura SASEy no otra, ofrece a los defensores».
Por ejemplo, estos son todos los pasos de un ataque REvil contra un fabricante conocido, asignados al marco MITRE ATT&CK. Como puede ver, hay numerosas fases que tuvieron lugar antes del rescate real y fueron esenciales para su «éxito». Al mitigar esos riesgos, el ataque podría haberse evitado.
Aquí hay un mapeo similar de un ataque de Sodinokobi:
Asignación de ataques de laberinto al marco MITRE:
Otra forma de mapear los ataques de ransomware es a través de mapas de calor, que muestran con qué frecuencia se utilizan diferentes tácticas y técnicas. Aquí hay un mapa de calor de los ataques de Maze:
Una forma de utilizar estas asignaciones es para el análisis de redes y pruebas de sistemas. Al probar la resistencia de un sistema a estas tácticas y técnicas e implementar controles que pueden mitigar cualquier riesgo, las organizaciones reducen el riesgo de un ataque de ransomware por parte de un determinado actor en sus recursos críticos.
Cómo Evitar los Ataques – De la Boca del Caballo
Pero no confíe en nuestra palabra. Algunos atacantes de ransomware son lo suficientemente «amables» como para proporcionar a las organizaciones las mejores prácticas para protegerse de futuros ataques de ransomware. Las recomendaciones incluyen:
- Desactivar contraseñas locales
- Uso de contraseñas seguras
- Forzar el final de las sesiones de administración
- Configuración de políticas de grupo
- Comprobación del acceso de los usuarios privilegiados
- Garantizar que solo se ejecutan las aplicaciones necesarias
- Limitar la dependencia del antivirus
- Instalación de EDR
- Administradores de sistemas las 24 horas
- Protección de puertos vulnerables
- Vigilancia de cortafuegos mal configurados
- Y más
Etay Maor de Cato Networks destaca: «Nada de lo que varios grupos de Ransomware dicen que las organizaciones deben hacer es nuevo. Estas mejores prácticas se han discutido durante años. «No funciona y no funcionará. Una arquitectura SASE, nativa de la nube, donde todas las soluciones de seguridad comparten contexto y tienen la capacidad de ver el flujo de cada red y obtener una visión holística del ciclo de vida del ataque puede nivelar el campo de juego contra los ataques cibernéticos».
Prevención de ransomware: una actividad continua
Al igual que cepillarse los dientes o hacer ejercicio, la higiene de seguridad es una práctica constante y metódica. Se sabe que los atacantes de ransomware vuelven a visitar la escena del crimen y exigen un segundo rescate, si los problemas no se han resuelto. Mediante el empleo de controles de seguridad que puedan mitigar eficazmente las amenazas de seguridad y contar con un plan de respuesta a incidentes adecuado, se pueden minimizar los riesgos, así como el día de pago de los atacantes. El FBI está aquí para ayudar y proporcionar información que pueda ayudar, esperemos que no se necesite asistencia.
Para obtener más información sobre los ataques de ransomware y cómo prevenirlos, La serie de clases magistrales de seguridad cibernética de Cato Networks está disponible para su visualización.