Triple pena: extorsión de ransomware, pérdida de datos, multas

17 de junio de 2022
| No hay comentarios
Triple pena: extorsión de ransomware, pérdida de datos, multas

Compartir publicación

Las empresas negligentes son castigadas rápidamente por tres partes: primero extorsión de ransomware, luego pérdida de datos y, por último, pero no menos importante, la multa por un plan de recuperación deficiente. Así es como un ransomware complejo puede invadir los recursos de la empresa.

El año pasado, el ransomware puso de rodillas a una empresa estadounidense que produce combustible. Detrás de esto estaban las "empresas asociadas" criminales del notorio grupo DarkSide. Un ejemplo típico de un ataque RaaS (ransomware como servicio): un pequeño equipo central de delincuentes desarrolla malware, lo pone a disposición de otros delincuentes y maneja los rescates de las víctimas. Sin embargo, no realizan el ataque real en la red que entrega el malware. De eso se encargan, por así decirlo, los “cómplices del crimen”, el personal de campo. Por regla general, a cambio reciben la mayor parte del dinero extorsionado a las víctimas.

RaaS: socios en el crimen con ransomware

Mientras tanto, el grupo central acecha de forma invisible en el fondo, ejecutando una especie de operación de franquicia en la que normalmente se embolsan el 30 por ciento (según su propia admisión) de cada pago.

El equipo de primera línea suele hacer esto.

  • Llevar a cabo una investigación para encontrar objetivos potenciales para entrar.
  • Irrumpir en empresas seleccionadas con vulnerabilidades conocidas.
  • Escanee la red hasta que obtengan derechos administrativos para llegar al nivel de administradores oficiales.
  • Mapee toda la red para encontrar cada PC de escritorio individual y los sistemas de servidor.
  • Ubique y, a menudo, neutralice las copias de seguridad existentes.
  • Exfiltrar datos confidenciales de la empresa para aprovechar más el chantaje.
  • Prepare las puertas traseras de la red para una retirada rápida si los atacantes son atrapados.
  • Examine cuidadosamente las defensas contra malware existentes, buscando puntos débiles o vulnerables.
  • Apague o al menos reduzca las configuraciones de seguridad que se interponen en el camino.
  • Selección de un momento del día especialmente "incómodo" para la empresa, es decir, el fin de semana o la noche.

Y luego, los ciberdelincuentes liberan el código de ransomware proporcionado por el autor intelectual detrás de escena. El cifrado de (casi) todas las computadoras en la red toma solo unos minutos.

Ransomware: ¡Compruebe por favor!

La idea detrás de este tipo de ataque es que las computadoras no se borran por completo. De hecho, después de la mayoría de los ataques de ransomware, los sistemas operativos continúan arrancando y cargando las aplicaciones principales en las computadoras para mantener la apariencia de que todo es normal.

La víctima puede iniciar su computadora portátil, cargar Word, ver todos los documentos en los directorios, incluso intentar abrirlos, pero luego verá el equivalente digital de un repollo triturado. Los datos están encriptados y solo hay una copia de la clave de descifrado, y los atacantes la tienen. Aquí es cuando suelen comenzar las “negociaciones”. Los delincuentes confían en el hecho de que la infraestructura de TI de la víctima se ve tan gravemente afectada por los datos cifrados que ya no funciona y, por lo tanto, la víctima está dispuesta a pagar un rescate.

“Páguenos una 'tarifa de recuperación' y le proporcionaremos las herramientas de descifrado para que cualquier computadora pueda volver a utilizarse, y le ahorraremos el tiempo que lleva restaurar desde las copias de seguridad. Siempre y cuando tenga copias de seguridad en funcionamiento”. Las demandas suenan más o menos así, ya que llegaron a la empresa estadounidense hace unos 12 meses, por ejemplo.

¡Solo el 4 por ciento de los pagadores recupera todos los datos!

Aunque los organismos encargados de hacer cumplir la ley de todo el mundo advierten a las víctimas de ransomware que no paguen (y ahora sabemos que los pagos de ransomware de hoy financian los ataques de ransomware de mañana), en este ejemplo, la empresa decidió gastar los aproximadamente 4,4 millones de dólares solicitados para transferir bitcoins.

Estos años Informe de Sophos Ransomware Estado del ransomware 2022 revela que solo el 4% de los pagadores en todo el mundo recuperan todos los datos. De media solo obtienes dos tercios (exactamente: 60,56%). En Alemania, la cuota es del 64%. Desde una perspectiva global, este valor es solo ligeramente superior para las empresas de suministro de energía en un 62% (exactamente: 61,59%). Esto significa que si una empresa paga el rescate, aún tiene que aceptar pérdidas de datos muy altas. De ninguna manera el caso termina ahí.

Después del rescate vino la multa

Sophos State of Ransomware 2022 (Imagen: Sophos).

También se hizo un llamamiento oficial al operador del oleoducto: el Departamento de Transporte de EE. UU. impuso una sanción civil de casi 1 millón de dólares estadounidenses a la empresa, resultado de una investigación de la Administración de Seguridad de Oleoductos y Materiales Peligrosos (PHMSA). La verificación se realizó entre enero y noviembre de 2020, es decir, en el año ANTES del ataque de ransomware. Entonces los problemas que el instituto identificó existían y eran conocidos. La PHMSA declaró que las principales deficiencias operativas responsables de más del 85 por ciento del cargo ($846,300) "son probablemente una falla en la planificación y preparación adecuadas para el cierre manual y el reinicio de su sistema de tuberías". Y afirma que esas omisiones "contribuyeron a las consecuencias nacionales cuando el oleoducto permaneció inoperativo tras el ciberataque de mayo de 2021".

¿Caso individual o curso de acción recomendado para todos?

A primera vista, eso suena como un caso inusual, porque quién realmente opera una tubería, y luego también en esta dimensión. No obstante, el aviso oficial de PHMSA de un incumplimiento probable identifica algunos problemas relacionados de los que todos pueden aprender:

Para el operador del oleoducto, los problemas radican en áreas internas de la empresa, como supervisión de control y adquisición de datos, sistemas de control industrial y tecnología operativa, el llamado SCADA (Supervisory Control and Data Acquisition): sistema informático que monitorea y controla automáticamente procesos técnicos y desde los proveedores de energía hasta los que se utilizan en los aeropuertos. También faltaban ICS (acrónimo de Industrial Control Systems) y OT (Operational Technology). OT puede entenderse como una contraparte industrial de TI, pero las SecOps (Operaciones de seguridad) son un desafío similar para ambos tipos.

Consecuencias de los errores de SecOps

Aunque la tecnología operativa y las funciones de TI aparecen como dos redes separadas, las posibles consecuencias de las fallas de SecOps en un área pueden afectar directa e incluso peligrosamente a la otra área.

Más importante aún, especialmente para muchas empresas más pequeñas, incluso si no hay una tubería, una red eléctrica o una planta de energía en funcionamiento, lo más probable es que todavía haya algún tipo de red de ingeniería operativa en funcionamiento, compuesta por dispositivos IoT como cámaras de seguridad, cerraduras de puertas, movimiento sensores, y tal vez incluso un relajante acuario controlado por computadora en el área de recepción.

Y estos normalmente se operan en la misma red en la que se encuentra todo el sistema de TI. Las medidas de ciberseguridad de ambos tipos de dispositivos están, por lo tanto, inextricablemente entrelazadas.

Cinco puntos que toda empresa debe tomarse en serio

El informe de PHMSA enumera los problemas que se incluyen en el término genérico gestión de la sala de control, que se puede considerar como la tecnología operativa equivalente al centro de operaciones de red de un departamento de TI (o simplemente "el equipo de TI" en una pequeña empresa).

En resumen, estos cinco problemas están en juego

  • No mantener un registro adecuado de las pruebas operativas aprobadas.
  • No probar y verificar el funcionamiento de los detectores de alarmas y anomalías.
  • Sin plan de contingencia para la recuperación y operación manual en caso de falla del sistema.
  • No probar los procesos y procedimientos de copia de seguridad.
  • Informes deficientes de controles de seguridad faltantes o suprimidos temporalmente.

¿Qué podemos aprender de esto para nuestra seguridad de TI?

Cualquiera de las omisiones anteriores puede ocurrir accidentalmente. Según el Sophos Ransomware Report 2022, dos tercios (exactamente: 66%) de los encuestados dijeron que habían sido víctimas de un ataque de ransomware en el último año. El sector de suministro de energía estuvo incluso muy por encima del promedio con un 75%. Aproximadamente dos tercios de ellos tenían sus datos encriptados y la mitad de ellos negoció con los delincuentes.

Esto sugiere que una proporción significativa (poco más de uno de cada cinco) de los equipos de TI o de SecOps han perdido el rastro de una o más de las categorías anteriores.

Estos incluyen los puntos 1 y 2 (¿Está seguro de que la copia de seguridad realmente funcionó? ¿Ha registrado esto formalmente?), Punto 3 (¿Cuál es su plan B si los delincuentes eliminan su copia de seguridad principal?), Punto 4 (¿Ha practicado la restauración tan cuidadosamente como practicaste la copia de seguridad?) y el punto 5 (¿Estás seguro de que no se te pasó por alto nada que debiste señalar en su momento?).

Para muchos equipos de TI o especialmente para las empresas más pequeñas que hacen TI "en el lateral", un equipo especializado de SecOps es un lujo y simplemente no es asequible, por lo que la estrategia a menudo equivale a un principio de "instalar y luego olvidar". Cualquiera que se encuentre en esta situación debería buscar el apoyo de expertos externos en MTR y verlos como una inversión en un futuro más seguro.

La ciberseguridad es un proceso, no un destino. Un ataque exitoso siempre deja daños y tiene secuelas en los recursos y la operatividad. La fuerza del impacto depende en gran medida de la velocidad de reacción, las precauciones y el proceso de seguridad implementado.

Más en Sophos.com

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

Seguridad informática: base para LockBit 4.0 desactivada

Trend Micro, en colaboración con la Agencia Nacional contra el Crimen (NCA) del Reino Unido, analizó la versión inédita que estaba en desarrollo. ➡ Leer más

MDR y XDR a través de Google Workspace

Ya sea en una cafetería, en una terminal de aeropuerto o en la oficina en casa, los empleados trabajan en muchos lugares. Sin embargo, este desarrollo también trae desafíos ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

FBI: Informe sobre delitos en Internet contabiliza daños por valor de 12,5 millones de dólares 

El Centro de Denuncias de Delitos en Internet (IC3) del FBI ha publicado su Informe sobre delitos en Internet de 2023, que incluye información de más de 880.000 ➡ Leer más

Sophos, Stories
, , , , ,