Llegamos a ustedes gracias a:



Reportajes y análisis

9 consejos para una negociación eficaz contra el ransomware

[04/11/2021] Los analistas de ciberseguridad y amenazas de Fox-IT (parte de NCC Group) han arrojado luz sobre la mecánica de las negociaciones de ransomware para ayudar a las organizaciones a mejorar el resultado de un ataque. Los conceptos fueron presentados por Pepijn Hack y Zong-Yu Wu en Black Hat Europe 2021, y ampliados en una detallada publicación del blog de NCC Group poco después. Los datos provienen de una investigación de más de 700 negociaciones entre atacantes y víctimas entre el 2019 y el 2020 y un documento que explora tres temas principales. Estos son:

  • Cómo los adversarios utilizan los modelos económicos para maximizar sus beneficios.
  • Lo que esto indica sobre la posición de la víctima durante la fase de negociación
  • Estrategias que las víctimas de ransomware pueden aprovechar para igualar el terreno de juego

"Esta investigación empírica sugiere que el ecosistema del ransomware se ha convertido en un sofisticado negocio", escribieron los investigadores. "Cada banda de ransomware ha creado sus propias estrategias de negociación y fijación de precios destinadas a maximizar sus beneficios".

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Grupos de ransomware al mando de las negociaciones

El conjunto de datos se centró principalmente en dos cepas diferentes de ransomware. La primera se recopiló en el 2019, cuando los adversarios eran relativamente inexpertos y las demandas de rescate eran menores. Consistía en 681 negociaciones entre las víctimas y el grupo de ransomware. El segundo conjunto de datos, compuesto por 30 negociaciones, se recogió a finales del 2020 y principios del 2021, cuando los ataques se convirtieron en una gran amenaza para las empresas de todo el mundo.

El análisis reveló que la madurez de las operaciones de ransomware ha mejorado. Los grupos clandestinos están calculando el costo de un ataque e implementando estrategias de precios de rescate basadas en múltiples variables sobre las organizaciones víctimas, incluyendo el número de dispositivos/servidores infectados, los empleados, los ingresos estimados y el impacto potencial de la exposición a los medios. De este modo, los atacantes pueden predecir con exactitud cuánto pagarán las víctimas incluso antes de iniciar las negociaciones. Una vez que lo hacen, las organizaciones víctimas quedan inmediatamente en desventaja. "Normalmente, en una negociación, cada jugador tiene sus cartas en la mano. El actor del ransomware conoce el costo de su negocio y cuánto necesita ganar para alcanzar el equilibrio. Mientras tanto, la víctima hace una estimación del costo de remediación", se lee en el blog. Esto crea una situación en la que la víctima debe atravesar un "juego de negociación injusto" que la guía hacia un rango de rescate preestablecido pero razonable sin que la víctima lo sepa. "Es un juego amañado. Si el adversario juega bien, siempre ganará. Esta conclusión contribuye en última instancia a un ecosistema de ransomware desenfrenado".

Una observación interesante dentro de la investigación es que las empresas más pequeñas suelen pagar más desde la perspectiva del rescate por ingresos anuales. Esto significa que pagan menos en cantidad absoluta, pero más en porcentaje de sus ingresos. Por el contrario, la cantidad más alta de rescate dentro del conjunto de datos (14 millones de dólares) fue pagada por una empresa de la lista Fortune 500. "Por lo tanto, es comprensible que un actor con motivación financiera pueda elegir objetivos valiosos, y beneficiarse de unos pocos rescates grandes en lugar de atacar a pequeñas empresas. Esta situación hace que algunos grupos de ransomware decidan, de hecho, atacar únicamente a empresas grandes y rentables".

4 pasos de preparación antes de un ataque de ransomware

La investigación estableció las mejores prácticas y enfoques que pueden ayudar a inclinar la balanza de la negociación (al menos en cierta medida) a favor de la víctima, empezando por la preparación antes de que surjan las negociaciones. Las organizaciones deben:

  1. Enseñar a sus empleados a no abrir las notas de rescate y hacer clic en el enlace que contiene. Esto suele iniciar una cuenta atrás hasta que se exige el pago. Al no abrir la nota se gana tiempo para determinar qué partes de la infraestructura han sido afectadas, qué consecuencias tiene el ataque y los probables costes que conlleva.
  2. Establecer sus objetivos de negociación, teniendo en cuenta los respaldos, y los mejores y peores escenarios de pago.
  3. Establecer líneas claras de comunicación interna y externa en las que participen los equipos de gestión de crisis, el consejo de administración, los asesores jurídicos y el departamento de comunicación.
  4. Informarse sobre el atacante para conocer sus tácticas y ver si hay una clave de descifrado disponible.

5 enfoques para la negociación del ransomware

Armadas con esta preparación, las organizaciones estarán mejor situadas para entrar en las negociaciones del ransomware, si es que toman la decisión de hacerlo. A partir de este punto, se les aconseja que consideren cinco enfoques de negociación diseñados para disminuir el daño.

  1. Ser respetuoso en las conversaciones y utilizar un lenguaje profesional, dejando las emociones fuera de las negociaciones.
  2. Las víctimas deben estar dispuestas a pedir más tiempo a los agresores, lo que puede permitirles explorar todas las posibilidades de recuperación. Una estrategia es explicar que se necesita el tiempo extra para reunir los fondos de criptomoneda necesarios.
  3. En lugar de dilatar el tiempo, las organizaciones pueden ofrecer el pago de una pequeña cantidad anticipada en lugar de una cantidad mayor más adelante, ya que se sabe que los adversarios aceptan fuertes descuentos en favor de obtener un beneficio rápido y pasar a otro objetivo.
  4. Una de las estrategias más eficaces es convencer al atacante de que no se está en condiciones financieras de pagar la cantidad inicialmente solicitada, y esto puede resultar incluso eficaz para organizaciones muy grandes que los adversarios saben que disponen de enormes cantidades de dinero. La investigación señaló que hay una diferencia entre tener una cierta cantidad de ingresos y tener millones de dólares en criptodivisas por ahí sólo para la ocasión.
  5. Evitar decir al adversario que tiene una póliza de ciberseguro. No deben guardar los documentos del ciberseguro en ningún servidor accesible. La presencia de un ciberseguro puede hacer que los atacantes sean menos flexibles con las negociaciones, ya que la mayoría de las pólizas cubren los costos.

La investigación también citó algunos consejos sencillos y prácticos para complementar los procesos de negociación mencionados. Estos incluyen solicitar un archivo de prueba para descifrarlo, una prueba de la eliminación de los archivos si se acaba pagando, y una explicación de cómo el adversario hackeó la organización. Una empresa también debe prepararse para una situación en la que los archivos se filtren o se vendan incluso si se paga.

Puede ver también: