Ransomware: código abierto al rescate


Automóvil, Energía, Medios, Ransomware?

Al pensar en verticales, es posible que uno no piense instantáneamente en la ciberdelincuencia. Sin embargo, cada movimiento realizado por gobiernos, clientes y contratistas privados grita hacia la normalización de esos amenazas como una nueva vertical.

Ransomware tiene todos los rasgos de la vertical económica clásica. Un próspero ecosistema de aseguradoras, negociadores, proveedores de software y expertos en servicios administrados.

Esta rama de ciberdelincuencia analiza un alijo de botín que cuenta por billones de dólares. La industria de la ciberseguridad está demasiado feliz de proporcionar servicios, software y seguros para adaptarse a esta nueva normalidad.

El intenso cabildeo de las aseguradoras en Francia llevó al Ministerio de Finanzas a dar una opinión positiva sobre el reembolso de los rescates, en contra de los consejos de la rama de ciberseguridad de su gobierno. El mercado es tan grande y jugoso que nadie puede interponerse en el camino del “desarrollo del mercado de seguros cibernéticos”.

En los EE. UU., Colonial Pipeline busca reducciones de impuestos por las pérdidas sufridas por la campaña de ransomware de 2021 de la que fueron víctimas. Pero espera… ¿hasta qué punto el gobierno (y, por extensión, todos los contribuyentes) está patrocinando indirectamente el ciberdelito?

Todos los gobiernos y corporaciones de seguros olvidan un hecho simple en esta ecuación: la impunidad. Un estado-nación puede permitirse cubrir el riesgo y reembolsar las pérdidas si puede hacer cumplir la ley y el orden. Es la definición misma de una nación: un monopolio de las fuerzas armadas para garantizar la protección de la propiedad de todos. Este sistema encuentra un límite en el ciberespacio ya que la gran mayoría de los ciberdelincuentes nunca son encontrados y, menos aún, juzgados.

La posibilidad de ataques aéreos contra cualquier objetivo hace que sea extremadamente difícil tener una citación internacional para analizar cada rastro.

Mientras la industria de la ciberseguridad (y, por extensión, la economía) obtenga una parte justa de esta terrible e increíble oportunidad de pesadilla, puede esperar que el ransomware se convierta en la nueva normalidad.

Y por cierto, deja de llamarlo un nuevo vector de ataque, es cualquier cosa menos esto. Las formas en que los ciberdelincuentes ingresan son las mismas que hace diez años: exploits, ingeniería social, travesuras web y fuerza bruta de contraseñas, por nombrar algunas.

Una industria miope llorará

Sobre el papel, este fantástico mercado de seguros cibernéticos es un creador de riqueza generacional. Claro, pero ¿sabías que la mayoría de las últimas infracciones destacadas fueron posibles gracias a una técnica increíble llamada “Reutilización de credenciales”?

¿No? Bueno, déjame decirte por qué llorarás muy pronto y por qué la mayoría de las empresas deberían obtener ese tipo de seguros antes de que su costo se multiplique por diez.

En pocas palabras, la reutilización de credenciales consiste en comprar credenciales legítimas de usuarios reales y… reutilizarlas. Sin embargo, es posible que no entiendas el verdadero impacto de esto. Déjame explicarte mejor.

Presentamos a Robert, de 50 años, un contador que trabaja en el equipo del director financiero de “Big Juicy corp a la que le vendí un contrato”. Robert tiene que pagar el alquiler, el seguro médico y una pensión, aparte del hecho de que odia a muerte a Big Juicy. Ahora, una fuente anónima se pone en contacto con Robert y le dice que obtendrá 2 bitcoins si proporciona su nombre de usuario y contraseña de VPN reales… O si hace clic en un enlace que recibió por correo electrónico… Robert solo tiene que esperar 24 horas y decírselo al departamento de TI. servicios alguien robó su computadora portátil en el metro.

¿Cómo se defiende contra la amenaza interna? La póliza de seguro de Big Juicy es un porcentaje de su facturación, los ciberdelincuentes lo saben. Pueden ajustar el precio de la lealtad de Robert para decir… ¿10% de lo que esperan que sea la cobertura del seguro? Esos 2 bitcoins también pueden ser 10 o 20 si Robert trabaja para SpaceX o Apple.

¿Todavía está seguro de esto del seguro o de que la normalización del Ransomware es un ángulo para obtener ganancias más significativas? Bueno, estoy seguro corto y bitcoin largo entonces.

Una asimetría más rica vs pobre

El problema aquí no es fundamentalmente Big Juicy Corp. Inteligentemente colocarán el seguro y los costos de defenderse en la cuenta adecuada en el balance general. Su ganancia se verá un poco disminuida, pero al final, de alguna manera es el contribuyente el que estará cubriendo las pérdidas de una recaudación de impuestos más pequeña.

Pero hospitales? No me refiero a las clínicas privadas que cuestan millones al año, no muy diferente de lo que describe Cyberpunk Traumateam. No, los verdaderos hospitales gratuitos para todos que cumplen una función: la salud de todos. En Francia, donde vivo, son joyas que los sucesivos gobiernos están tratando de romper, con cierto éxito. Están muy mal financiados y ya no pueden hacer frente a sus deudas y mantener su infraestructura de TI obsoleta. Sin embargo, una vez que se violan, son la comidilla de la ciudad. ¿Cuánto valen tus datos de salud? Probablemente no mucho. De lo contrario, ¿por qué Apple y Samsung invertirían tanto en coleccionarlos?

¿Y qué pasa con las ONG, las NPO, las pequeñas empresas, los medios de comunicación, los sitios de comercio electrónico, etc.?

Uno pensaría que están por debajo del radar. Absolutamente no. Están menos defendidos, requieren menos inversión y generan menos ganancias, pero bueno, los ciberdelincuentes también necesitan subir la escalera.

Del perímetro externo a los límites desconocidos

Más allá de la reutilización de credenciales, el perímetro de TI externo también se volvió más complejo que nunca. El dispositivo Android de los más pequeños está plagado de malware, pero está conectado al mismo Wi-Fi doméstico desde el que estás trabajando.

La VPN en todas partes se convirtió en la norma y, de repente, explotan exploits inéditos en toda la red oscura para violarlos. La autenticación de dos factores es tan compleja de usar que oye… simplemente deshabilitémosla, al menos para el jefe.

Sysadmin ya tuvo dificultades para migrar al sistema de virtualización de próxima generación. Aún así, todos se convierten en SecOPS a tiempo parcial y necesitan saber sobre contenedores, máquinas virtuales, nuevos protocolos y quién ha estado usando un SaaS externo sin notificar al departamento de TI porque es “muy útil, no nos importa si lo ha hecho”. no ha sido auditado”. ¿Qué espacio queda para capacitar al equipo y explicarles que “contraseña” no es en realidad una contraseña y que cualquiera puede enviar un correo electrónico desde [email protected]?

Y… por cierto… Una detección de comportamiento en su perímetro externo puede indicarle que Robert debería conectarse desde Detroit y no desde Dubai, Delhi o Moscú.

Crowdsourcing del esfuerzo

Bienvenidos a la era del darwinismo digital, donde sobrevivirán los más adaptados.

¿Tuvimos nosotros, como humanidad, alguna vez una gran victoria como lidiar con una pandemia, enviar personas a la luna o inventar dispositivos informáticos complejos, sin trabajo en equipo? ¿Sin la división del trabajo?

Entonces, ¿por qué la ciberseguridad sería el mejor campo para adoptar la actitud solitaria y ganar?

Bueno, alerta de spoiler, no lo es.

Hay una salida: un esfuerzo colectivo y participativo.

Si quieres derrotar a un ejército de ciberdelincuentes, adoptemos una buena táctica clásica y tengamos un ejército más grande y mejor equipado (la historia reciente nos mostró que esto último es igualmente importante).

Al igual que la vigilancia vecinal, el código abierto hace posible el esfuerzo colaborativo, formar equipos y detectar todas las direcciones IP malévolas en todo el mundo. Para disuadir cualquier mal comportamiento, como rebaño digital. Cualquiera puede participar en el esfuerzo y ayudar a quienes no tienen presupuesto a defender mejor lo que es preciado para nosotros: medios de comunicación gratuitos, hospitales seguros y ONG seguras.

El código abierto y las redes participativas pueden romper este círculo vicioso en el que participan los ciberdelincuentes y las industrias de ciberseguridad.

Nota – Este artículo está escrito y contribuido por Philippe Humeau, director ejecutivo y cofundador de CrowdSec.



ttn-es-57