Ransomware-as-a-Service: Bad Guys y su servicio RaaS

2. septiembre 2022
| No hay comentarios
Ransomware-as-a-Service: Bad Guys y su servicio

Compartir publicación

Las ofertas "como servicio" se pueden encontrar en todas partes en TI. Los ciberdelincuentes también han adaptado esta idea de servicio y han estado ofreciendo ransomware-as-a-service, RaaS para abreviar, desde hace algún tiempo. Esto significa que los atacantes menos sofisticados también pueden realizar ataques de ransomware. El número de ataques aumenta mucho. Un análisis de Arctic Wolf.

Como un Estudio de la asociación digital Bitcom eV muestra, el 2020 por ciento de todas las empresas se vieron afectadas por ataques de ransomware en 21/88. El auge del trabajo remoto, la oficina en el hogar, la nube y los dispositivos IoT en red está favoreciendo a los atacantes, ya que estas tendencias aumentan la superficie de ataque y ofrecen nuevas puertas de enlace.

En tales ataques, los ciberdelincuentes ingresan a los sistemas corporativos y roban y/o encriptan cierta información. Para poder descifrar estos datos nuevamente, se exige un rescate. Además del considerable daño financiero causado por el pago o los procesos de recuperación, estos ataques también pueden provocar un enorme daño a la reputación. La mayoría de estos ataques (estimados 64 Prozent) ya se están llevando a cabo utilizando el método RaaS, y la tendencia va en aumento.

Un servicio del lado oscuro

En el caso de las ofertas de RaaS, los grupos de ransomware como Conti, REvil o RagnarLocker y sus grupos separados y sucesores brindan las herramientas o plataformas adecuadas, así como servicios complementarios como instrucciones, mejores prácticas e incluso un servicio de asistencia de TI. Aunque los nombres de los grupos son muy volátiles, los actores reales a menudo siguen siendo los mismos. Actúan de una manera muy profesional y no tienen nada que ver con el cliché común de los hackers del lobo solitario con capucha. De hecho, apenas se distinguen de empresas de renombre: con su propio departamento de recursos humanos, programas de bonificación y premios al “Empleado del Mes”, como recientemente un truco mostró.

Gángster cibernético con estructura corporativa.

Los servicios generalmente se pueden encontrar a través de la web profunda u oscura. Los proveedores a veces difieren mucho en lo que ofrecen. Al igual que con los proveedores de servicios acreditados, las pandillas RaaS también ofrecen todo lo que un corazón (criminal) desea, desde la simple compra de ransomware hasta un modelo de suscripción. Los proveedores también ofrecen diferentes modelos en lo que respecta a la estrategia de precios, desde un pago único al momento de la compra hasta modelos de arrendamiento y acciones en el rescate.

Las criptomonedas como Bitcoin, Monero y compañía son un factor clave de éxito para los ataques RaaS, ya que son difíciles de rastrear y se pueden "lavar" con relativa facilidad. Como tales, son excelentes para pagos de RaaS y demandas de rescate, y es poco probable que el reciente Disminución del precio de las criptomonedas mucho cambiará La caída de los precios simplemente se compensa en la fase de negociación con la víctima.

¿Qué hacer cuando las cosas se ponen serias?

El cifrado de los sistemas y la amenaza de publicar los datos capturados, como información de clientes, detalles de productos y datos financieros, pueden amenazar la existencia de las empresas. Esto es lo que hace que RaaS sea tan atractivo y convierte al ransomware en una moneda de cambio increíblemente poderosa en manos de los ciberdelincuentes. Si un ataque de ransomware tuvo éxito, muchas empresas suelen estar perdidas al principio. Desesperados e indefensos, a menudo no tienen otra opción que cumplir con la demanda de rescate, aunque LKA, BKA y BSI lo desaconsejan estrictamente, para no financiar adicionalmente el crimen organizado y crear motivación para nuevos delitos. Pero, ¿cómo deberían reaccionar las empresas?

Después del ataque, el descanso cuenta

dr. Sebastian Schmerl, Director de Servicios de Seguridad EMEA, Arctic Wolf

En primer lugar, ¡mantén la calma! El ataque agudo no es el momento adecuado para asignar culpas. Más bien, ahora es el momento de trabajar juntos y no actuar apresuradamente. Las autoridades pertinentes deben ser informadas de inmediato (también están disponibles para brindar asesoramiento). Si una empresa ya tiene un plan de contingencia, debe seguirse. El siguiente paso es analizar y reflexionar sobre la situación y luego iniciar las contramedidas necesarias. Si faltan los recursos internos y la experiencia en esta situación excepcional, las empresas también pueden recurrir a la ayuda profesional de proveedores de servicios de seguridad externos como Lobo ártico caer de nuevo.

  • El primer paso es aclarar la situación actual. Esto significa la implementación de Respuesta al incidente- Medidas para detener una mayor propagación del incidente.
  • Una vez aclarado el statu quo, deben extensión del daño y opciones de recuperación ser determinado. ¿Qué copias de seguridad todavía están disponibles y deben desconectarse? ¿Qué servicios se ven afectados, qué datos se cifran y qué acciones de recuperación se deben tomar?
  • Una vez respondidas estas preguntas, el tercer paso es Información de inteligencia de amenazas reunir, es decir, toda la información sobre los atacantes, el malware utilizado e incidentes similares.
  • En el cuarto paso, el Caso de Negocio configurar: ¿debería cumplirse o no la demanda de rescate? Todos los aspectos deben sopesarse con mucho cuidado: el capital de la empresa, el posible daño reputacional, las demandas, etc.
  • En el quinto y último paso, nos ponemos manos a la obra: el Negociaciones con los ciberdelincuentes. Aquí hay dos puntos a destacar: Se están negociando con delincuentes, es decir, no hay garantías. Sin embargo, se requiere cortesía para no molestar a la otra persona innecesariamente.

Ransomware: más vale prevenir que curar

Independientemente de si se pagó o no el rescate, el caso debe procesarse bien para posicionar mejor a la empresa en el futuro. Después del ataque, primero se deben escanear y limpiar cuidadosamente todos los sistemas, y se deben reasignar los datos de inicio de sesión de todos los usuarios. Además, debe seguir una búsqueda intensiva o un monitoreo web público, oscuro y profundo para garantizar que realmente no se hayan publicado datos.

Por último, pero no menos importante: ¡Más vale prevenir que curar! “La mejor protección contra los ataques de ransomware es una buena preparación. Las brechas de seguridad y las debilidades del sistema deben cerrarse con parches regulares y debe llevarse a cabo un monitoreo de seguridad integral. Como suele ser el caso, la mayor debilidad es el factor humano. Por lo tanto, la medida más importante es capacitar a los empleados regularmente y así establecer una mentalidad de seguridad en la empresa. Si la empresa carece de los recursos internos necesarios para ello, puede recurrir a expertos en seguridad de confianza, como Arctic Wolf, que le ayudarán a implementar estas medidas de seguridad. Si se tiene en cuenta todo esto, la empresa está bien preparada para una emergencia”. según la Dra. Sebastian Schmerl, Director de Servicios de Seguridad EMEA, Arctic Wolf.

Más en ArcticWolf.com

 

Acerca del lobo ártico

Arctic Wolf es líder mundial en operaciones de seguridad y proporciona la primera plataforma de operaciones de seguridad nativa de la nube para mitigar el riesgo cibernético. Sobre la base de la telemetría de amenazas que abarca el punto final, la red y las fuentes de la nube, Arctic Wolf® Security Operations Cloud analiza más de 1,6 billones de eventos de seguridad por semana en todo el mundo. Proporciona información crítica para la empresa sobre casi todos los casos de uso de seguridad y optimiza las soluciones de seguridad heterogéneas de los clientes. La plataforma Arctic Wolf es utilizada por más de 2.000 clientes en todo el mundo. Proporciona detección y respuesta automatizadas a amenazas, lo que permite a las organizaciones de todos los tamaños configurar operaciones de seguridad de clase mundial con solo tocar un botón.

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

Seguridad informática: base para LockBit 4.0 desactivada

Trend Micro, en colaboración con la Agencia Nacional contra el Crimen (NCA) del Reino Unido, analizó la versión inédita que estaba en desarrollo. ➡ Leer más

MDR y XDR a través de Google Workspace

Ya sea en una cafetería, en una terminal de aeropuerto o en la oficina en casa, los empleados trabajan en muchos lugares. Sin embargo, este desarrollo también trae desafíos ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

FBI: Informe sobre delitos en Internet contabiliza daños por valor de 12,5 millones de dólares 

El Centro de Denuncias de Delitos en Internet (IC3) del FBI ha publicado su Informe sobre delitos en Internet de 2023, que incluye información de más de 880.000 ➡ Leer más

 

Stories
, , , , ,