El ransomware ha evolucionado con el tiempo. Cuánto se ilustra con el ataque de ransomware Colonial Pipeline, que es solo parte de una nueva ola de ataques contra víctimas de alto nivel. Un comentario de Jon Clay, Director Global Threat Communications, Trend Micro.
Tras el ciberataque a uno de los gasoductos más grandes de Estados Unidos, las operaciones fueron suspendidas temporalmente. Los actores maliciosos buscan las tarifas de extorsión más altas posibles, por lo que se dirigen a organizaciones que están más dispuestas a pagar si interrumpen sus operaciones. Esto se ha observado previamente en víctimas del sector gubernamental y educativo. Cuanto más sufrimiento puedan infligir los delincuentes a una organización, más probable es que la víctima pague. ¿Qué pueden hacer las empresas?
Los ataques de ransomware han pasado por muchas etapas y ahora estamos observando la fase 4:
1ra fase: Simplemente ransomware, los archivos se cifran y luego se realiza la nota de rescate... y luego se espera el pago en bitcoin.
2ra fase: Doble Extorsión. Fase 1 + exfiltración de datos y amenaza de divulgación. Maze fue el primer ransomware en hacer esto, y los otros grupos de actores siguieron su ejemplo.
3ra fase: Triple Extorsión. Fase 1 + Fase 2 y amenaza de DDoS. Avaddon fue el primer caso documentado.
4ra fase: Cuádruple chantaje. Fase 1 + (posiblemente Fase 2 o Fase 3) + correo directo a la base de clientes de la víctima. Cl0p se utilizó por primera vez de esta manera, describió Brian Krebs.
Mayormente doble extorsión hoy en día, pero estamos viendo un cambio hacia los sistemas comerciales críticos. En este caso reciente de EE. UU., ningún sistema OT parece haber sido afectado, pero los sistemas de TI conectados a la red probablemente fueron atacados. Sin embargo, eso podría cambiar ya que muchas organizaciones tienen una red OT que es fundamental para sus operaciones y, por lo tanto, podría convertirse en un objetivo. Ya hemos descrito cómo las empresas de fabricación están siendo atacadas con ransomware moderno y cuál es el impacto.
consecuencias para las empresas
La falla de los sistemas que controlan las operaciones diarias de una empresa puede causar daños financieros y de reputación. Pero un ataque también podría tener consecuencias no deseadas al apuntar de manera demasiado prominente, y el ataque del Oleoducto Colonial podría ser un ejemplo. Destruir una pieza importante de la infraestructura crítica de una nación, incluso si el motivo es “únicamente” una ganancia financiera, podría conducir a una acción severa contra los actores detrás del ataque. Entonces, en el futuro, es posible que los actores maliciosos deban evaluar el impacto potencial del ataque en su objetivo y decidir si tiene sentido comercial lanzar un ataque.
Las contramedidas apropiadas
El ransomware se seguirá utilizando en el futuro. Como tal, las organizaciones deben tomarse el tiempo para crear un plan de respuesta a incidentes que aborde el nuevo modelo de ataques de ransomware. Se deben considerar algunas cosas:
- Acepte que su negocio puede convertirse en una víctima. Cualquier organización puede estar potencialmente en el radar de los actores maliciosos, pero aquellos que operan en infraestructura crítica ahora deben evaluar la probabilidad de ser atacados.
- El acceso como servicio ahora se usa regularmente. En este caso, otro grupo suele realizar el primer acceso y venderlo a otro grupo. Los atacantes decididos siempre encontrarán una forma de ingresar a su red, ya sea a través de phishing, un sistema vulnerable expuesto a Internet o un ataque a la cadena de suministro.
- El uso malintencionado de herramientas legítimas es una de las tácticas más populares en todo el ciclo de ataque.
- Las credenciales de cuenta de sus administradores y aplicaciones importantes están dirigidas.
- Los actores de ransomware intentan desviar datos que parecen susceptibles de chantaje doble.
- El componente ransomware será la última opción en la actividad maliciosa porque es la parte más visible de un ciclo de ataque y le muestra a la víctima que un sistema ha sido comprometido.
Las empresas que operan redes OT deben pensar en los siguientes puntos:
- Comprenda los riesgos si su red OT deja de funcionar.
- Configure un modelo de seguridad para los dispositivos en la red OT, especialmente aquellos que no admiten un agente de seguridad.
- La segmentación de la red es fundamental.
- Si su red OT tiene que cerrarse debido a un compromiso de la red de TI, debe considerar cómo superar esta limitación.
Este último ataque es otra llamada de atención para que todas las organizaciones fortalezcan sus redes contra los ataques y mejoren su conciencia cuando hay actores maliciosos en su red. Tenemos una plataforma de ciberseguridad de varias capas, Trend Micro Vision One, que puede ayudar a mejorar la detección y la respuesta a los últimos ataques de ransomware y aumentar la visibilidad.