Llegamos a ustedes gracias a:



Reportajes y análisis

Ransomware: Cómo funcionan las negociaciones

[28/01/2021] El ransomware ha sido una de las amenazas de malware más devastadoras a las que se han enfrentado las organizaciones durante los últimos años, y no hay indicios de que los atacantes vayan a detenerse pronto. Es demasiado rentable para ellos. Las demandas de rescate han crecido de decenas de miles de dólares a millones, e incluso decenas de millones, porque los atacantes han aprendido que muchas organizaciones están dispuestas a pagar.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Muchos factores y partes están involucrados en las decisiones de pago de ransomware, desde CIOs y otros ejecutivos, hasta asesores externos y compañías de seguros, pero la creciente necesidad de realizar dichos pagos ha creado un mercado para consultores y empresas que se especializan en la negociación de ransomware y en facilitar los pagos con criptomonedas.

¿Qué sucede cuando llega el ransomware?

En un mundo ideal, un ataque de ransomware debería desencadenar un plan de recuperación ante desastres bien ensayado. Sin embargo, desafortunadamente, muchas organizaciones son tomadas por sorpresa. Si bien las grandes empresas pueden tener un equipo de respuesta a incidentes y un plan para hacer frente a los ciberataques, por lo general se carece de los procedimientos para enfrentar los muchos aspectos específicos de un ataque de ransomware -como la amenaza de un robo de datos, la comunicación externa con los clientes y los reguladores, así como la decisión de negociar con los actores de las amenazas-.

"Incluso en las grandes empresas que cotizan en la bolsa, que cuentan con planes de IR, por lo general no cubren los detalles relacionados con el ransomware, comentó Kurtis Minder, director ejecutivo de GroupSense, la firma de negociación de ransomware e inteligencia de amenazas. "Una vez que llegamos al proceso de negociación de descifrado, de tomar esa decisión de negocio, de quién debería estar involucrado, mucho de eso no está documentado. Tampoco se dispone de mensajes ni de un plan de relaciones públicas. Nada de eso existe para la mayoría de las empresas a las que llegamos, lo cual es desafortunado.

Incluso en las empresas que han practicado sus planes de IR y cuentan con procedimientos, se produce una especie de pánico irracional cuando aparece un ransomware, según Ian Schenkel, vicepresidente para EMEA de Flashpoint, otro proveedor de inteligencia de amenazas que también ofrece servicios de respuesta de ransomware. "No solo estamos lidiando con un ransomware que cifra archivos y cifra toda una red. Lo que estamos viendo últimamente es una especie de factor secundario, en el que en realidad están tratando de extorsionarlo diciendo: 'Si usted no paga el rescate, filtraremos toda la información que tenemos sobre su organización'.

En otras palabras, a medida que más grupos de ransomware adoptan esta técnica de doble extorsión, al combinar el cifrado de archivos con el robo de datos, un ataque de ransomware que, en última instancia es una denegación de servicio también, se convierte en una violación de datos que está sujeta a varias obligaciones reglamentarias, según el lugar del mundo en el que se encuentre y qué tipo de datos se vieron afectados. Si bien en el pasado las empresas privadas no tenían que divulgar públicamente los ataques de ransomware, es posible que se vean cada vez más obligadas a hacerlo debido a este componente de irrupción en sus datos.

Cuando se produce un ataque de ransomware se deben realizar dos acciones críticas y urgentes:

  1. Identificar cómo entraron los atacantes, cerrar el agujero y expulsarlos de la red.
  2. Entender con qué está tratando, lo cual significa determinar la variante de ransomware, vincularla con un actor de amenazas y establecer su credibilidad, especialmente si también hace reclamos de robo de datos.

La primera acción requiere un equipo de respuesta a incidentes, ya sea interno o externo, mientras que la segunda puede requerir una empresa que se especialice en inteligencia de amenazas.

Algunas grandes empresas mantienen estas firmas en reserva, pero muchas organizaciones no lo hacen y, a menudo, se sienten perdidas cuando enfrentan un ataque de ransomware y terminan perdiendo un tiempo precioso. En esos casos, el mejor enfoque podría ser contratar un abogado externo con experiencia en la gestión de respuestas a ciberataques. Según los abogados de Orrick, una firma internacional de abogados, en alrededor del 75% de los casos se llama primero a un abogado externo y se inicia el proceso de respuesta, que incluye:

  • Notificar a las autoridades.
  • Involucrar al personal forense.
  • Realizar una reunión informativa interna con el liderazgo de la organización.
  • Cubrir la investigación de acuerdo con los privilegios.
  • Evaluar las notificaciones al mundo exterior que puedan ser necesarias.
  • Ayudar a la organización de la víctima a ponerse en contacto con su compañía de seguros para notificarles sobre el ataque y obtener la aprobación de los costos, incluyendo abogados, análisis forense, comunicaciones de crisis y cualquier otra cosa que sea necesaria, incluido el pago del rescate si se ha tomado esa decisión.

¿Quién decide si se paga el rescate?

Las conversaciones con el proveedor de seguros deben iniciarse temprano porque, según lo que diga la póliza, es posible que tengan una mayor o menor participación en la selección del proveedor de IR y otras partes que se traigan para ayudar con el incidente. Las compañías de seguros suelen tener listas de proveedores aprobados.

Sin embargo, cuando se trata de decidir si pagar el rescate o no, según la experiencia de los abogados de Orrick, las empresas toman esa decisión por sí mismas y luego se comunican con su proveedor de seguros para ver si lo aprueban. En algunos casos, la empresa afectada puede decidir pagar independientemente de si su seguro cubre un pago de ransomware, porque el impacto del ataque en su negocio es tan malo que no puede permitirse no pagar. Esperan recuperar más tarde el dinero o parte de éste del proveedor de seguros.

El proceso de toma de decisiones generalmente involucra al asesor jurídico, al CIO y al COO. El asesor jurídico sopesa la decisión en función de la legalidad y el riesgo. El CIO y su equipo están a cargo de los procesos de backup y los planes de continuidad del negocio o recuperación ante desastres. El COO toma la decisión en función de cómo los datos afectados afectan las operaciones. Por ejemplo, el CIO puede determinar que existen backups, pero la cantidad de sistemas afectados es tan grande que restaurarlos llevará mucho tiempo, y el COO puede decidir que las operaciones comerciales no pueden sobrevivir con un tiempo de inactividad prolongado. En última instancia, se trata de una decisión de negocio, por lo que el CEO también suele opinar o, en muchos casos, tiene que dar la aprobación final para pagar el rescate, según los abogados de Orrick.

Antes de aprobar un pago de ransomware, las compañías de seguros harán varias preguntas, como el estado de los backups, si se destruyeron durante el ataque, si existen backups externos, cuántos sistemas se vieron afectados o cuánto tiempo llevará restaurarlos. También es probable que investiguen al actor de la amenaza para determinar si está en la lista de sanciones del Departamento del Tesoro y, si lo está, podría rechazar el pago porque tiene excepciones para eso en sus políticas.

En octubre, la Office of Foreign Assets Control (OFAC) del Departamento del Tesoro emitió un aviso recordándoles a las organizaciones que enfrentan penalidades civiles si violan las sanciones al realizar pagos de ransomware. Sin embargo, si el proveedor de seguros rechaza la cobertura de un pago de ransomware, es posible que la organización aún decida seguir adelante para salvar el negocio, pero el siguiente obstáculo que enfrentarán es la decisión del facilitador de pagos.

Los pagos de ransomware se realizan en criptomonedas, y las empresas no suelen tener carteras criptográficas y millones de dólares en criptomonedas por ahí. Deben depender de un tercero con la infraestructura para realizar dichos pagos. A la luz del aviso de la OFAC, estos terceros también pueden negar el pago si el grupo de amenaza está en la lista de sanciones. A menudo, las empresas que se especializan en la negociación de ransomware también facilitan el pago en nombre de la víctima.

¿Cómo funciona una negociación de ransomware?

Según Minder de GroupSense, antes de que se aborde a los atacantes mediante el método de comunicación que proporcionaron -generalmente algún servicio de correo electrónico cifrado- es importante que el equipo de IR se asegure de que el ataque haya sido aislado y los atacantes hayan sido expulsados de la red.

"Imagínese si estoy negociando con un actor de amenazas y ese actor de amenazas todavía tiene acceso a la red. Eso es mucha influencia en nuestra contra, afirma Minder. "Entonces, una de las cosas que intentamos hacer desde el principio es trabajar muy de cerca con el equipo de IR para determinar si fueron excluidos y no pueden regresar.

La segunda parte, según Minder, es obtener toda la información sobre el ataque que recopiló el equipo de IR, incluidos los datos que se han visto comprometidos, y determinar el actor de la amenaza y su perfil existente, así como sus estrategias anteriores. Saber qué rescates han pedido en el pasado, establecer su madurez, cuántas otras organizaciones es probable que tengan enganchadas en un momento dado, es información valiosa que puede dictar cómo abordar la negociación.

Si han comprometido a 30 o 40 empresas, eso puede cambiar su comportamiento y pueden ser menos pacientes al negociar, porque tienen muchas otras opciones, señala Minder.

Muchos grupos de hackers personalizan sus demandas de rescate según el perfil de la víctima, por lo general buscando un porcentaje de los ingresos anuales estimados de la organización, si se trata de una empresa. Sin embargo, eso puede sobrestimarse enormemente si se obtiene de fuentes no confiables o sin mayores detalles respecto a la estructura comercial. Por ejemplo, la empresa matriz de la víctima podría ser un conglomerado internacional multimillonario, pero la víctima real podría ser una operación de una pequeña empresa en un determinado país. A nivel de gobierno, existen diferencias significativas entre los recursos financieros de las agencias federales y los municipios pequeños que podrían no ser evidentes para los atacantes.

Según Minder, los negociadores pueden tener una conversación con los atacantes para educarlos sobre las circunstancias financieras reales de la víctima, pero es mejor tratarlo objetivamente como cualquier transacción comercial y no confiar en las emociones, que es lo que una víctima, que intenta negociar por su cuenta, podría estar inclinada a hacer.

Dicho esto, todas las comunicaciones que suceden con los atacantes están disponibles para la organización víctima a través de un portal seguro en tiempo real, y pueden intervenir y hacer comentarios o sugerencias.

En algunos casos, la víctima puede restaurar algunos de sus sistemas a partir de backups, y eso puede usarse como palanca en la negociación, porque la víctima no estará dispuesta a pagar el rescate completo solo para poder descifrar los datos de solo unos cuantos sistemas restantes. Esta es otra razón por la cual es muy importante tener la capacidad para detectar ataques lo antes posible y tener un plan de IR para responder y limitar el daño.

"Algo importante que debe considerarse en las primeras etapas, a medida que identifica un ataque en curso o ve que se implementa ransomware en todo el ambiente, es contenerlo y aislarlo lo más rápido posible, sostiene Tim Bandos de Digital Guardian, una empresa de protección de datos. "Eso se reduce a analizar el incidente y revisar los registros e identificar a dónde se ha ido y dónde podemos cortarlo de manera efectiva. Hemos tenido esa instancia en la que pudimos detenerlo. Se movió a 10 o 15 servidores en una flota de alrededor de tres mil. En casos como ese, es posible que la víctima ni siquiera tenga que pagar el rescate porque restaurar 10 o 15 servidores a partir de los backups no llevará mucho tiempo; mientras que, en el caso de miles de sistemas, pagar el rescate y descifrar los datos podría ser más rápido.

Incluso si existen backups, puede haber dificultades para restaurar un sistema afectado porque las aplicaciones y sus stacks de software están desactualizadas. Bandos se encontró con esa situación con un cliente en el sector manufacturero que tenía backups de datos, pero también tenía un servidor que ejecutaba una aplicación interna, hecha para ellos, en una versión obsoleta del servidor de Windows, por lo que ese sistema habría tenido que reconstruirse por completo. El tiempo de inactividad de ese servidor le estaba costando a la empresa diez mil dólares la hora, por lo que pagaron el rescate.

También es importante probar el proceso de restauración de los backups y crear imágenes del sistema con todo el software que un sistema necesita para funcionar correctamente. También es muy valioso contar con capacidades de detección y software de punto final que pueda detectar y bloquear rutinas de cifrado de archivos y aislar sistemas de la red rápidamente.

Tanto Minder como Schenkel de Flashpoint afirmaron que los grupos de ransomware generalmente están dispuestos a negociar y, en la mayoría de los casos, los rescates que terminan pagando las víctimas son un pequeño porcentaje de la cantidad original que piden. Eso es porque los atacantes también están bajo presión de tiempo. Cuanto más se prolonga la discusión, más tiempo tiene el equipo de IR de la víctima para restaurar los sistemas. Además de eso, según Schenkel, los datos muestran que solo se paga entre el 25% y el 30% de los rescates, y los atacantes son conscientes de ello.

"Por mucho que digamos que lo malos son los actores de amenazas, siguen siendo solo personas que intentan vender algo, por lo que tendrán un precio inicial, afirma Schenkel. "A veces eso es el 10% de los ingresos, a veces hasta el 20% de los ingresos, pero ese es un punto de partida. Siempre están abiertos a la negociación y a ser 'razonables', si esa es la palabra correcta, porque existe nada razonable, en absoluto, en esa situación.

Sin embargo, antes de que se lleve a cabo cualquier transacción, el actor de amenazas debe demostrar su capacidad para descifrar archivos. Eso generalmente se hace en un conjunto de datos de muestra, pero no significa que no haya riesgo. En algunos casos, el descifrador proporcionado por los atacantes puede tener errores o puede no funcionar en ciertos sistemas, o volúmenes, o algunos datos pueden estar dañados. Algunas empresas se especializan en la ingeniería inversa de dichos descifradores, y los vuelven a implementar en una herramienta más eficiente que solo usa la clave de descifrado proporcionada por los atacantes.

También puede haber situaciones en las que los atacantes usen diferentes claves en diferentes sistemas de la red, por lo que es importante tener ese componente de inteligencia forense y de amenazas para comprender al atacante y su modus operandi antes de acercarse a él.

Una vez que el pago se realiza a través de la infraestructura suministrada o acordada con el negociador, el registro completo de la comunicación, la información recopilada sobre el actor de la amenaza y la información sobre la transacción se proporciona al cliente por razones legales y de mantenimiento de registros.

Las amenazas de filtración de datos complican las negociaciones y la recuperación

Cuando se trata de un robo de datos como parte del mismo ataque, donde los atacantes también amenazan con filtrar los datos, las cosas se complican un poco más porque no hay forma de garantizar que los atacantes hayan destruido los datos robados. La firma de seguridad Coveware, que también se especializa en respuesta y negociación de ransomware, informó el año pasado que han visto muchos casos en los que las víctimas que ya habían pagado los rescates fueron extorsionadas con el mismo conjunto de datos posteriormente, o donde los datos se filtraron en línea de todos modos.

A medida que más grupos de ransomware adopten esta técnica, los incidentes de ransomware deberán tratarse como violaciones de datos y pasar por todos los procesos necesarios en tales casos. Es posible que las víctimas también deban considerar pagarle a una empresa de inteligencia de amenazas para monitorear foros y mercados clandestinos en busca de sus datos robados. De esta manera pueden anticipar dónde podrían terminar y cómo podrían usarse para tomar medidas preventivas adicionales.

Algunas bandas de ransomware lo han llevado aún más lejos, empleando tácticas de triple extorsión. Grief, un grupo de ransomware conocido anteriormente por el ransomware DoppelPaymer, advirtió a las víctimas que, si se ponían en contacto con la policía o contrataban a negociadores profesionales de ransomware, o expertos en recuperación de datos, iban a destruir la clave de descifrado.

El ransomware Grief está vinculado a Evil Corp, un grupo que el Departamento del Tesoro de Estados Unidos incluyó en la lista de sanciones. Si se contacta a las fuerzas del orden o a los negociadores de ransomware, existe una gran posibilidad de que la víctima sepa con quién está tratando y será mucho menos probable que pague el rescate porque podría enfrentar sanciones civiles y es posible que su aseguradora no cubra el pago. Evil Corp tiene claros incentivos para disuadir a las víctimas de contactar a terceros, pero no es el único grupo de ransomware que recientemente ha tomado esta postura. Otros grupos están molestos porque los registros de negociación de rescate a veces se filtran y aparecen en artículos de los medios o en Twitter.

"El hecho de que los actores de amenazas no quieran que sus víctimas se comuniquen con las fuerzas del orden es una indicación muy fuerte de que deberían hacerlo, señala Brett Callow, analista de amenazas de Emsisoft. "Los organismos encargados de hacer cumplir la ley pueden brindarles a las víctimas una valiosa asistencia y, en algunos casos, incluso ayudarlos a recuperar sus datos sin necesidad de pagar el rescate.

Un aviso actualizado de la OFAC de septiembre pone aún más énfasis en contactar a las fuerzas del orden público, presentándolo como uno de los principales factores atenuantes al considerar la respuesta de las autoridades por no cumplir con las sanciones.

Las autopsias identifican las lecciones aprendidas

Cada incidente también tendrá una revisión post mortem entre las diversas partes involucradas -el equipo legal, los equipos de IR y TI, el especialista en negociación de ransomware- donde se revisará toda la información. Las lecciones aprendidas de este proceso deben convertirse en un proyecto para mejorar las capacidades de la organización para bloquear o ralentizar este tipo de ataques en el futuro.

Puede ver también: