Es probable que 2021 pase a la historia de la ciberseguridad como el año del ransomware. La lista global de víctimas destacadas abarca desde operadores de oleoductos y distritos enteros hasta editoriales y cadenas minoristas.
Varonis Threat Labs ha identificado tres tendencias clave que también nos mantendrán ocupados en 2022. Porque una cosa es segura: tendremos que lidiar con ransomware nuevamente este año, probablemente aún más fuerte y con más ataques que 2021.
Ransomware como servicio
El año pasado, hubo un cambio significativo hacia el modelo comercial de ransomware como servicio (RaaS), donde los grupos reclutan socios para ejecutar ciertas partes de las operaciones. Estas múltiples ofertas dan acceso incluso a los ciberdelincuentes menos expertos a potentes juegos de herramientas y programas maliciosos, lo que reduce la barrera de entrada para muchos posibles atacantes.
Básicamente, hay dos modelos diferentes: por un lado, las suscripciones, donde el ransomware se puede usar por una tarifa, y por otro lado, las participaciones porcentuales en las ganancias. La segunda variante en particular genera todo un ecosistema de socios individuales, los llamados afiliados, y subgrupos que se especializan en ciertas áreas de ataque.
Las técnicas de escaneo masivo buscan acceso
Un ejemplo de la creciente distribución de tareas y especialización son los "Initial Access Brokers" (IAB). Aunque no se trata de un fenómeno nuevo, actualmente están experimentando un cierto auge. Por lo general, emplean técnicas de escaneo masivo para identificar hosts vulnerables y, por lo tanto, obtener acceso inicial a los sistemas de las víctimas potenciales. Tradicionalmente, estos accesos se venden a través de foros y mercados clandestinos, con precios basados en el valor percibido: por ejemplo, acceder a una empresa grande, conocida y financieramente sólida es más costoso que acceder a una empresa pequeña. Esto permite que los grupos de ransomware apunten a sus víctimas de manera muy específica. Muchos IAB ahora también se están afiliando o asociando con grupos de ransomware, convirtiéndose en subcontratistas. A cambio, reciben una parte del rescate. Esto suele ser más lucrativo que el modelo de ventas clásico.
Una alta participación en los beneficios siempre refleja un mayor riesgo. En última instancia, los socios como "órganos ejecutivos" corren un mayor riesgo de ser descubiertos, mientras que los proveedores de RaaS en segundo plano corren un riesgo mucho menor, especialmente porque a menudo ocultan su identidad a sus socios. Si, no obstante, son el foco de atención de las autoridades de persecución penal, los grupos generalmente se esconden por un corto tiempo para reagruparse más tarde, generalmente bajo un nombre diferente.
Ransomware hecho a medida
Varonis Threat Labs ha identificado un número cada vez mayor de ransomware diseñado específicamente para víctimas específicas durante el último año. Esto debería dificultar mucho la detección y aumentar la eficacia del ataque.
La mayoría de las amenazas de ransomware son archivos ejecutables que se dirigen a Windows y, a menudo, se distribuyen mediante botnets. Sin embargo, los ataques también se dirigen cada vez más a los hosts basados en Linux, incluidos los que se utilizan para el almacenamiento de archivos y la virtualización (como VMware ESX).
ALPHV (BlackCat) sastre ransomware
El grupo de ransomware ALPHV (BlackCat) recientemente identificado está desarrollando variantes para Linux y Windows. El ransomware se recrea para cada víctima. Esto incluye, por ejemplo, el tipo de cifrado utilizado (como cifrar solo partes de archivos grandes) o incrustar las credenciales de la víctima para permitir la propagación automática del ransomware a otros servidores.
Pero no solo el ransomware en sí, sino también la cantidad del rescate exigido se adapta específicamente a la víctima: los datos financieros capturados de la empresa se analizan para determinar una suma financiable. En algunos casos, incluso las pólizas de seguro cibernético se examinan en detalle para determinar la cantidad de daños cubiertos, que luego los ciberdelincuentes presentan como reclamo.
La doble extracción se convierte en el estándar
Con el enfoque de "doble extorsión", los datos también se roban antes del cifrado para amenazar con publicarlos y así presionar aún más a las víctimas. En última instancia, no es el cifrado y la falla del sistema resultante lo que representa la mayor amenaza para las empresas, sino el robo de datos: el robo y la publicación de datos personales (PII) no solo dañan la reputación, sino que también pueden resultar en multas de GDPR. Los ciberdelincuentes ahora incluso amenazan explícitamente con involucrar a las autoridades de supervisión pertinentes. Pero las filtraciones de propiedad intelectual también pueden causar un daño enorme si, como resultado, los desarrollos innovadores también son accesibles para los competidores.
El desarrollo táctico de ninguna manera ha terminado con el doble chantaje. Los grupos de ransomware evolucionan constantemente sus métodos de extorsión, desde comenzar con una simple nota de rescate hasta tácticas de "robar, cifrar y publicar", hasta contactar a clientes, empleados, autoridades y la prensa para informarles sobre el compromiso. Para agregar aún más presión, muchos grupos se niegan a trabajar con los negociadores y aconsejan a las víctimas que paguen el dinero sin involucrar a los proveedores de ciberseguridad y las fuerzas del orden. De lo contrario, las víctimas correrían el riesgo de una mayor demanda de rescate o la pérdida permanente de datos.
Niveles de escalamiento como medio de presión para pagar
Algunos ciberdelincuentes también agregan otro nivel de escalada: con esta "triple extorsión", se informa a los socios o clientes afectados, o se amenaza con nuevos ataques, como ataques DDoS. Todas estas medidas sirven en última instancia para aumentar significativamente la presión sobre las víctimas para persuadirlas de que paguen rápidamente. Y aparentemente con éxito: se estima que el ransomware causó daños por 2021 billones de dólares estadounidenses en todo el mundo en 6. A modo de comparación: el producto interno bruto de la República Federal de Alemania fue de "solo" 2020 billones de dólares estadounidenses en 3,8.
Más en Varonis.de
Sobre Varonis Desde su fundación en 2005, Varonis ha adoptado un enfoque diferente para la mayoría de los proveedores de seguridad de TI al colocar los datos corporativos almacenados tanto en las instalaciones como en la nube en el centro de su estrategia de seguridad: archivos y correos electrónicos confidenciales, información confidencial de clientes, pacientes y pacientes. Registros de empleados, registros financieros, planes estratégicos y de productos, y otra propiedad intelectual. La plataforma de seguridad de datos (DSP) de Varonis detecta amenazas internas y ataques cibernéticos mediante el análisis de datos, la actividad de la cuenta, la telemetría y el comportamiento del usuario, previene o mitiga las infracciones de seguridad de los datos mediante el bloqueo de datos confidenciales, regulados y obsoletos, y mantiene un estado seguro de los sistemas. a través de una automatización eficiente.,