El especialista Sophos conoce muy bien el proceso y las consecuencias de un ataque exitoso de ransomware. Desde la perspectiva de la víctima: así es como funciona un ataque de ransomware.
Ninguna organización quiere convertirse en víctima de un ciberdelito. Pero si hay vulnerabilidades, es probable que los atacantes las encuentren y las exploten. Y pueden pasar meses o incluso más antes de que la víctima se dé cuenta de la condición. Los llamados respondedores de incidentes ayudan a las empresas a identificar, bloquear y mitigar los ataques y sus efectos. Este monitoreo por parte de especialistas también permite un análisis preciso de los patrones de ataque y, como resultado, una visión de cerca de cómo el ciberdelito afecta realmente a las víctimas.
El verdadero adversario es el hombre, no la máquina
Los atacantes son cada vez más expertos en el sigilo para evitar levantar sospechas entre los equipos de seguridad y pasar desapercibidos. Por lo tanto, se necesitan diferentes niveles de seguridad que rompan la cadena de ataque en diferentes ubicaciones. Si bien la violación inicial está automatizada, los piratas informáticos luego utilizan herramientas de TI legítimas, como escáneres de red, para sus fines ilegales a fin de eludir las tecnologías de seguridad y moverse lateralmente a través de la red. El desafío para las víctimas es que los equipos de seguridad de TI deben estar más atentos al evaluar herramientas que son legítimas, pero también populares y utilizadas comúnmente por los atacantes. Además, los atacantes comprometen regularmente las cuentas de administrador existentes para ocultarse a simple vista. Si son detenidos en sus ataques, intentan otra cosa. Y aquí es donde se revela uno de los aspectos más importantes del cibercrimen, uno que todavía es demasiado subestimado por las víctimas: no estás luchando contra código malicioso, estás luchando contra personas.
El ransomware es el final de un ciberataque
Según los que respondieron a incidentes, muchas víctimas creen que se produjo un ataque justo antes de que se hiciera visible, por ejemplo, a través del mensaje de ransomware. Sin embargo, este es muy raramente el caso. De hecho, los atacantes normalmente han estado en la red durante bastante tiempo antes de este momento. Operan ocultos bajo el radar, escaneando el sistema, instalando puertas traseras y robando información. Todas estas actividades son marcadores que deben verificarse para facilitar la recuperación completa del ataque. La parte del ataque que más hace sonar las alarmas es el lanzamiento de ransomware. En este punto, el atacante tiene éxito en todos los métodos anteriores en la red de la víctima (consulte el gráfico de diferentes comportamientos de ransomware), lo que le permite romper la cobertura y estar presente. En otras palabras, la implementación de ransomware marca el final de un ataque, no el comienzo.
Víctimas y agresores están expuestos a un gran estrés
Alrededor del noventa por ciento de los ataques vistos por los respondedores de incidentes involucran ransomware, y el impacto de estos ataques suele ser devastador. Esto es especialmente cierto para las organizaciones críticas, como las instalaciones de atención médica, donde un ataque exitoso puede significar cirugías canceladas, radiografías perdidas, resultados de exámenes de detección de cáncer encriptados y más.
Algunas víctimas se sienten impotentes y consideran pagar el rescate como la única opción, por ejemplo, para recuperar el acceso a las copias de seguridad de datos secuestradas por los atacantes. Otras organizaciones optan por no pagar. Otros están más preocupados por el daño a su reputación (publicación de datos robados) que por el rescate de las claves de descifrado. El ransomware en sí varía de profesional y sofisticado a de baja calidad y de mala calidad. Los análisis de ransomware han demostrado que los ataques no solo son agotadores e intimidantes para las víctimas, sino que los delincuentes también están cada vez más bajo el "estrés del éxito": acosan cada vez más a las empresas que se niegan a pagar.
Desafío de reconstrucción: encontrar la fuente
Los datos de respuesta a incidentes también sugieren que a muchas víctimas les resulta difícil comprender el movimiento del ransomware a través de la organización. Existe la suposición general de que desde su punto de partida se expande automáticamente en todas las direcciones de la red, cuando en realidad se enfoca estratégicamente en una lista preseleccionada de dispositivos y áreas de red. También muestra que los atacantes no solo apuntan a documentos y otros datos, sino que simplemente quieren deshabilitar los dispositivos y sistemas hasta el punto de que solo tienen recursos suficientes para iniciar la notificación de ransomware.
Para las víctimas de un ataque, esto significa que restaurar el sistema no comienza con restaurar una copia de seguridad y buscar lo que han hecho los atacantes. El proceso de recuperación a menudo comienza con el importante desafío de reconstruir todas las máquinas afectadas. Y con ello la difícil tarea de la identificación: ¿de dónde provino el ataque y quizás los delincuentes aún estén en el sistema?
Defensa del peligro solo con máquina y hombre.
Las cámaras de vigilancia pueden grabar crímenes y disuadir a los perpetradores, pero no pueden detener el allanamiento. El factor decisivo es la intervención de la fuerza de seguridad, que sigue las grabaciones en directo y toma las medidas oportunas. A medida que los ciberdelincuentes se han vuelto más sigilosos y han mejorado su capacidad para utilizar herramientas y procesos legítimos, ha aumentado el valor del factor humano en la caza de amenazas. Este método combina algoritmos avanzados de software de seguridad de última generación con experiencia humana diaria capaz de evaluar los matices de un ataque, una habilidad que el software (todavía) no posee.
Más información en Sophos.com[ID de starbox = 15]