[07/06/2023] El ransomware sigue siendo una de las mayores amenazas a la ciberseguridad a las que se enfrentan las organizaciones y los gobiernos. Sin embargo, los hackers están diseñando nuevas formas de lograr el rescate de sus víctimas en momentos en que las organizaciones toman un llamado consciente para rechazar las demandas de pago de rescates.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Con la caída de la pandilla de ransomware más notoria, Conti, en mayo del 2022, se asumió que los ataques de ransomware experimentarían una disminución importante. Sin embargo, Tenable encontró que el 35,5% de las filtraciones en el 2022 fueron el resultado de un ataque de ransomware, una disminución de menos de 2,5% desde el 2021.
Mientras tanto, los pagos de las víctimas de ransomware disminuyeron 38% en el 2022, y esto ha llevado a los hackers a adoptar tácticas más profesionales y corporativas para garantizar mayores ganancias, según el Informe anual de ciberseguridad de Trend Micro.
"Los ciberdelincuentes tienen cada vez más KPI y objetivos que alcanzar. Hay objetivos específicos que necesitan penetrar dentro de un período de tiempo específico. Se ha convertido en un crimen muy organizado debido al modelo de negocios que siguen los grupos de ransomware, por lo que han comenzado a aumentar la presión”, afirmó Maheswaran S., country manager de Varonis Systems.
La táctica de la doble extorsión
Una de las tácticas que utilizan cada vez más los grupos de ransomware es la doble extorsión. En el método de doble extorsión, el grupo de ransomware, además de cifrar los archivos en los sistemas de la víctima, también descarga información confidencial de la máquina de la víctima.
"Esto les da más influencia, ya que ahora la cuestión no es solo descifrar los datos bloqueados, sino también filtrarlos”, afirmó Mehardeep Singh Sawhney, investigador de amenazas en CloudSEK.
Un ejemplo de esto es la banda de ransomware, BlackCat. Esta pandilla de ransomware puede cifrar y robar datos de las máquinas de la víctima y otros activos que se ejecutan en él, por ejemplo, servidores ESXi, afirmó CloudSEK.
En marzo, el grupo de ransomware BianLian cambió el enfoque principal de sus ataques de cifrar los archivos de sus víctimas, a centrarse más en la extorsión como medio para obtener pagos, según la firma de seguridad cibernética, Redacted.
El método de la triple extorsión
Algunas pandillas de ransomware van un paso más allá y despliegan el método de triple extorsión.
En el método de triple extorsión, las pandillas de ransomware cifran archivos, extraen datos confidenciales, y luego agregan ataques de denegación de servicio distribuido (DDoS) a la mezcla. A menos que se pague el rescate, no solo todos los archivos permanecerán bloqueados, sino que incluso los servicios regulares se verán interrumpidos a través de DDoS.
"Antes, los grupos de ransomware se centraban en el cifrado, pero ahora, en colaboración con otros grupos, están involucrados en la filtración de datos y comprometen la página web de la organización víctima o realizan ataques DDOS. La idea detrás de esto es agregar más y más presión sobre la organización víctima”, afirma Maheswaran.
Ponerse en contacto con los grupos de interés de las organizaciones víctimas
Otra táctica que utilizan los grupos de ransomware para aumentar la presión sobre las organizaciones víctimas es contactar directamente a los clientes o grupos de interés de la empresa atacada.
Dado que esto afecta negativamente la reputación de la organización víctima y, a veces, puede provocar pérdidas financieras que pueden ascender más que el rescate real, las organizaciones víctimas tienden a pagar, afirma Maheswaran.
Los grupos de ransomware buscan personalmente a los clientes de la víctima por correo electrónico o llamadas, afirma Sawhney. Un ejemplo de esto es cómo el grupo de ransomware Cl0p envió un correo electrónico a los grupos de interés y a los clientes de sus víctimas, informándoles que incluso sus datos se filtrarían.
"Cl0p también mantuvo una página web donde se actualizaba todos los días una lista de sus víctimas y grupos de interés. Esto agrega más presión sobre la empresa víctima, lo que hace que parezca que la forma más rápida de terminar el ataque es pagar el monto del rescate”, afirma Sawhney.
Además de ponerse en contacto con los clientes y los grupos de interés, Lorenz ransomware y LockBit también filtraron sus negociaciones de rescate con las organizaciones víctimas en su sitio de fuga. "Puede dañar aún más la reputación de la empresa y aumentar la urgencia percibida de la demanda de rescate”, afirma la firma de ciberseguridad Cyble en un informe.
Modificación de la anatomía del malware
La forma en que se escribe el malware también ha cambiado, lo que dificulta su detección. Los creadores de malware ahora han comenzado a usar múltiples técnicas para evadir la detección mediante sandbox y demorar en gran medida los protocolos de respuesta a incidentes.
"Por ejemplo, el ransomware de BlackCat, visto recientemente, se ejecuta solo si se proporciona un token de acceso de 32 caracteres al ejecutable”, afirma Sawhney. Esto significa que las herramientas de sandboxing automatizadas fallarán al analizar la muestra, a menos y hasta que se proporcionen los argumentos necesarios.
Esta información solo se puede encontrar con el análisis manual de la muestra, lo que requiere mucho tiempo y experiencia, por lo que ejerce una gran presión sobre la empresa víctima durante los momentos de un incidente.
Grupos de ransomware como Agenda, BlackCat, Hive y RansomExx también han desarrollado versiones de su ransomware en el lenguaje de programación Rust. "Este lenguaje multiplataforma les permite a los grupos personalizar el malware para sistemas operativos como Windows y Linux, que son ampliamente utilizados por las empresas”, afirma Trend Micro en un informe.
El uso del lenguaje de programación Rust hace que sea más fácil apuntar a Linux y más difícil que el antivirus analice y detecte el malware, lo que lo hace más atractivo para los actores de amenazas.
El grupo ALPHV vinculado a Rusia fue el primer ransomware escrito en Rust. Este grupo, que fue el segundo ransomware más activo en el 2022, según Malwarebytes, también creó una base de datos de búsqueda en su sitio de filtraciones donde los empleados y clientes de sus víctimas pueden buscar sus datos. Las "Colecciones ALPHV” del grupo permiten que cualquier persona use palabras clave para buscar información confidencial robada.
Otro grupo de ransomware, LockBit, incluso inició su propio programa de recompensas por errores. Los programas de recompensas por errores generalmente están a cargo de organizaciones que invitan a los hackers éticos a identificar vulnerabilidades en su software e informarle a cambio de una recompensa. "Con los grupos de ransomware, se convierte en una plataforma para que los hackers o los ciberdelincuentes muestren su talento y descubran nuevo malware para implementar”, afirma Vijendra Katiyar, country manager para India de Trend Micro.
Protección contra ataques de ransomware
Si bien las organizaciones están implementando más y más controles para proteger los activos que almacenan o acceden a datos críticos, esencialmente no implementan los controles adecuados alrededor de los datos, lo cual es extremadamente importante para dificultar el trabajo de un atacante y así obtener acceso o corromper los datos, según Maheswaran.
Para que las organizaciones respondan de manera efectiva a los incidentes de ransomware, sus soluciones de ciberseguridad deben ser receptivas, ágiles y de fácil adaptación en cuanto a escala, y esto se logra mejor a través de una combinación de la nube y la analítica del aprendizaje automático, afirma Harshil Doshi, director de país de Securonix.
"Es más fácil evitar pagar el rescate si detecta el riesgo antes de que ocurra el cifrado. O puede evitar por completo los flujos de trabajo de respuesta al ransomware si tiene una estrategia eficaz de backup de puntos finales”, agrega Doshi.
Las organizaciones deben tomar los siguientes pasos para asegurarse de que los empleados no sean víctimas de un atacante inteligente:
- Reduzca el radio de explosión al minimizar el daño que los atacantes podrían causar bloqueando el acceso a datos críticos y asegurando que los empleados y contratistas puedan acceder solo a los datos que necesitan para hacer su trabajo.
- Encuentre e identifique datos críticos que estén en riesgo. Busque todo lo que buscan los atacantes, incluidos datos personales, datos financieros y contraseñas.
- Adopte la autenticación de factores múltiples. Habilitar MFA hace que una organización sea un 99% menos probable de ser hackeada.
- Supervise lo que más importa. Supervise cómo cada usuario y cuenta utilizan datos críticos y esté atento a cualquier actividad inusual que pueda indicar un posible ciberataque.
"También es importante que las organizaciones tengan SOPs para responder y remediar incidentes de ransomware, y tener programas de concientización efectivos destinados a educar a los usuarios para detectar e informar filtraciones”, afirma Maheswaran.
CloudSEK sugiere que las organizaciones creen un backup de los datos críticos y los almacenen en una ubicación segura. De esta manera, incluso si su sistema está infectado con ransomware, pueden restaurar sus datos desde el backup.
Las organizaciones también deben asegurarse de que su sistema operativo, software y herramientas de seguridad estén actualizados con los últimos parches y actualizaciones de seguridad. Deben usar software antivirus y antimalware de buena reputación y asegurarse de que se actualice regularmente, afirmó CloudSEK.
Basado en el artículo de Apurva Venkat (CSO) y editado por CIO Perú