El auge del ransomware de doble extorsión

Publicado: 2022-01-11

Durante años, las empresas han tenido que enfrentarse a la amenaza de los ataques de ransomware. Los hacks rentables provocan estragos en las funciones diarias de trabajo de una organización, apagando dispositivos y robando información privada y particular. En respuesta, avanzan los conocimientos tecnológicos y los sistemas de prevención, pero también las formas utilizadas por los delincuentes. Los últimos doce meses han notado un aumento notable en la selección de estos ataques, ya que los atacantes oportunistas se aprovechan de los entornos de estabilidad debilitados del funcionamiento híbrido. El 30-7 por ciento de las empresas de las islas británicas informaron un incidente de violación de datos a la Oficina del Comisionado de Datos (ICO) este año.

La mejora de los enfoques y el reconocimiento de la seguridad cibernética ha obligado a los atacantes a evolucionar sus procedimientos, creciendo en nuevos territorios de empresas que hacen que sus pasos sean más difíciles de controlar. Las motivaciones de los ciberdelincuentes también están cambiando, pasando de retener negocios para obtener un rescate por dinero, a causar la mayor interrupción posible, por factores políticos, como cierres masivos de servicios de expertos importantes de la vida cotidiana.

A principios de este año, vimos una paralización en los productos y servicios de Colonial Pipeline en los EE. UU. gracias a un ataque de ransomware que obligó a la compañía privada a desembolsar aproximadamente $ 5 millones en Bitcoin para recuperar el control y mantener soluciones. En el mismo mes, el Gobierno de Servicios de Salud de Irlanda estuvo bajo presión para entregar un pago de rescate de $ 20 millones en compras para ayudar a mantener la información de sus pacientes probablemente pública. Incluso después de que se diseñó un plan, los datos 520 aún se abrieron paso en la tenue Internet, destacando aún más la imprevisibilidad de los delincuentes.

La evolución de los ataques de ransomware ha sido significativa en los últimos años. Ahora, en lugar de encriptar información y pedir rescate al propietario, el ransomware de doble extorsión implica que el atacante exfiltre la información primero y desactualice las copias de seguridad de datos estandarizados y los diseños de restauración de datos para obligar a los empresarios. Los delincuentes han identificado una vía diferente para la extorsión y las empresas quieren estar preparadas para conquistar este nuevo peligro.

¿Qué es el ransomware de doble extorsión y qué tan real es el riesgo?

El ransomware de doble extorsión hace posible que los delincuentes no solo exijan a los clientes un rescate por los datos robados, sino que también lo utilicen como una promesa falsa para evitar que se divulguen públicamente. Si el rescate no se paga en el plazo requerido, los delincuentes lo publicarán para que todos lo vean, junto con los posibles competidores.

Amenazan con una campaña de marketing de “nombre y vergüenza” de la comunidad y/o del cliente si nunca paga y, de acuerdo con la investigación de Emisoft, la gama de ciberdelincuentes que adoptan la táctica de “nombre y vergüenza” se está expandiendo. La exploración encontró que de los 100,101 informes obtenidos de ataques de ransomware en empresas y organismos del sector social, el 11,6% de esas personas han sido por equipos que roban y publican datos en ataques de estilo "nombre y vergüenza".

También hay un desarrollo en el crimeware-as-a-service por parte de actores del estado-nación, que se están introduciendo cada vez más a las tensiones geopolíticas. Los países-estado están comprando equipos y servicios expertos de la web oscura, mientras que los instrumentos desarrollados por los estados-nación también se están abriendo camino en la industria negra.

Entonces, ¿cómo pueden las corporaciones superar este riesgo creciente?

El doble de peligro, el doble de preparación necesaria para la restauración

Para que un atacante tenga éxito en la extorsión de un rescate, primero debe asegurarse de que recuperar información útil sea imposible; de lo contrario, corre el riesgo de que los tomadores de decisiones no lo paguen. Por lo tanto, deshabilitan o arruinan las copias de seguridad, construyéndolas sobre una base extremadamente difícil de recuperar cualquier detalle útil. Luego, convierten sus armas a los detalles de fabricación disponibles.

Al establecer una estrategia de gestión de posibilidades de información comprometida enfocada, las empresas están listas para aumentar sus probabilidades y hacer que la recuperación de información comprometida cibernética sea mucho más posible en comparación con si estuvieran utilizando un enfoque estandarizado de restauración de información. Las necesidades de ransomware nunca han sido mayores y preparar a un grupo requiere repensar los planes de restauración de datos existentes.

Para hacer frente a estos problemas recurrentes, las empresas deberán planificar los cinco métodos más importantes para recuperar información dañada:

Reconocer: averiguar y justificar las pertenencias de información vital (VDA) de la organización. Esta es la información que necesita un grado extra de seguridad. Son las organizaciones que deberían tener detalles.
Seguro: capacidades para aumentar las probabilidades de que tenga detalles completamente limpios recientes para restaurar, por ejemplo, un duplicado a prueba de fallas que está protegido contra un ataque cibernético.
Detectar: descubrir vulnerabilidades o debilidades en sus controles que pueden maximizar el riesgo de la organización de obtener sus VDA.
Reaccionar: los planes, los procedimientos, las estrategias a seguir después de una fiesta de compromiso de detalles rentables.
Mejorar ―Los ensayos, evaluaciones y rutinas que preparan a los equipos para esta eventualidad.

Estableciendo un plan eficiente

Todas las empresas corren el riesgo de sufrir ataques de ransomware. El panorama de peligros que cambia rápidamente ha puesto en duda las herramientas de detección actuales. Ya no son un medio exitoso para combatir todos los ataques y evitar una gran caída de los hechos. Dejando a un lado a los actores de amenazas externas, todas las empresas también compiten con la posibilidad de amenazas internas, con posibles empleados descontentos que obtienen acceso privilegiado al interior de la comunidad, información y hechos. La educación en ciberseguridad ha ocurrido a pasos agigantados en los últimos años, pero el error humano sigue siendo un gran riesgo para las empresas, especialmente para las personas que trabajan en entornos híbridos.

Al final, depende de cada empresa individual mirar el panorama general y, en función de sus puntos de vista únicos, establecer un sistema de recuperación de información en el lugar. La importancia de un ataque de ransomware clásico simplemente no se puede subestimar, pero las trampas asociadas con las nuevas tácticas son, sin duda, mucho más importantes para las pequeñas empresas. La reputación de marca arruinada y la confianza del comprador dañada generalmente pueden ser irreparables. Antes de permitir que los delincuentes oportunistas elijan quedarse con una empresa, los líderes de pequeñas empresas deben acelerar el protocolo de toda la organización y trabajar con cuidado con la administración pública sobre qué información debe ser la prioridad durante una misión de recuperación. En esta etapa, las empresas pueden comenzar a sentir que sus datos, pertenencias e infraestructuras permanecerán intactos incluso frente a la adversidad.

Chris Huggett, vicepresidente sénior de EMEA, proveedores de disponibilidad de Sungard