El ransomware ha sido una de las amenazas de malware más devastadoras a las que se han enfrentado las organizaciones en los últimos años, y no hay señales de que los atacantes vayan a detenerse pronto. Es demasiado rentable para ellos. Las peticiones de rescate han pasado de decenas de miles de dólares a millones e incluso decenas de millones porque los atacantes han aprendido que muchas organizaciones están dispuestas a pagar.
Son muchos los factores y las partes que intervienen en las decisiones de pago por ransomware, desde los directores de informática y otros ejecutivos hasta los asesores externos y las compañías de seguros, pero la creciente necesidad de realizar estos pagos ha creado un mercado para los consultores y las empresas que se especializan en la negociación de ransomware y en facilitar los pagos en criptomoneda.
¿Qué ocurre cuando el ransomware ataca?
En un mundo ideal, un ataque de ransomware debería desencadenar un plan de recuperación de desastres bien ensayado, pero, por desgracia, muchas organizaciones son sorprendidas con la guardia baja. Mientras que las grandes empresas pueden tener u
n equipo de respuesta a incidentes y un plan para hacer frente a los ciberataques, los procedimientos para hacer frente a diversos aspectos específicos de un ataque de ransomware -incluyendo la amenaza de una fuga de datos, la comunicación externa con los clientes y los reguladores, y la toma de la decisión de negociar con los actores de la amenaza- suelen faltar.
Incluso en las grandes empresas que cotizan en bolsa y que tienen planes de RI (Respuesta de Incidentes), no suelen cubrir los detalles relacionados con el ransomware. Una vez que llegamos al proceso de negociación del descifrado, de tomar esa decisión comercial, de quién debe participar, mucho de eso no está documentado. Tampoco hay un plan de mensajería o de relaciones públicas. Nada de eso existe en la mayoría de las empresas, lo cual es preocupante.
Incluso para las empresas que han practicado sus planes de respuesta a emergencias y tienen procedimientos establecidos, sigue siendo una especie de pánico ciego cuando el ransomware golpea. Se esta observando últimamente una especie de segundo factor en el que intentan extorsionar más dinero diciendo: 'Si no pagas el rescate, filtraremos toda la información que tenemos sobre tu organización.
En otras palabras, a medida que más grupos de ransomware adoptan esta técnica de doble extorsión combinando el cifrado de archivos con el robo de datos, un ataque de ransomware que en última instancia es una denegación de servicio también se convierte en una violación de datos que está sujeta a diversas obligaciones reglamentarias dependiendo del lugar del mundo en el que te encuentres y del tipo de datos comprometidos. Mientras que en el pasado las empresas privadas no tenían que revelar públicamente los ataques de ransomware, podrían verse cada vez más obligadas a hacerlo debido a este componente de violación de datos.
Cuando se produce un ataque de ransomware hay que realizar dos acciones críticas y sensibles al tiempo:
1. Identificar cómo entraron los atacantes, cerrar el agujero y expulsarlos de la red.
2. Entender a qué se está enfrentando, lo que significa determinar la variante del ransomware, vincularlo a un actor de la amenaza y establecer su credibilidad, especialmente si también hace afirmaciones de robo de datos.
La primera acción requiere un equipo de respuesta a incidentes, ya sea interno o externo, mientras que la segunda puede requerir una empresa especializada en inteligencia de amenazas.
Algunas grandes empresas tienen contratadas estas compañías, pero muchas organizaciones no lo hacen y a menudo se sienten perdidas cuando se enfrentan a un ataque de ransomware y acaban perdiendo un tiempo precioso. En esos casos, el mejor enfoque podría ser contratar a un abogado externo con experiencia en la gestión de respuestas a ciberataques. El proceso de respuesta incluye:
Notificar a las fuerzas del orden
Involucrar al personal forense
Organizar una sesión informativa interna con la dirección de la organización
Cubrir la investigación mediante el privilegio
Evaluar las notificaciones al exterior que puedan ser necesarias
Ayudar a la organización víctima a ponerse en contacto con su compañía de seguros para notificarles el ataque y obtener la aprobación de los costes, incluidos los de la asesoría, los forenses, las comunicaciones de crisis y todo lo que sea necesario, incluido el pago del rescate si se ha tomado esa decisión.
¿Quién decide si se paga el rescate?
Las conversaciones con el proveedor de seguros deben iniciarse pronto porque, dependiendo de lo que diga la póliza, pueden tener una mayor o menor participación en la selección del proveedor de RI y de otras partes que se traigan para ayudar en el incidente. Las compañías de seguros suelen tener listas de proveedores aprobados.
Sin embargo, cuando se trata de decidir si se paga el rescate o no, es decisión de cada una y luego se ponen en contacto con su proveedor de seguros para ver si lo aprueban. En algunos casos, la empresa afectada puede decidir pagar independientemente de que su seguro cubra el pago del ransomware porque el impacto del ataque en su negocio es tan grave que no puede permitirse no pagar. Esperan recuperar más tarde el dinero o parte de él del proveedor de seguros.
En el proceso de toma de decisiones suelen participar el consejero general, el director de informática y el director de operaciones. El abogado general sopesa la decisión basándose en la legalidad y el riesgo. El CIO y su equipo se encargan de los procesos de copia de seguridad y de los planes de continuidad del negocio o de recuperación de desastres. El director de operaciones toma la decisión basándose en el impacto de los datos afectados en las operaciones. Por ejemplo, el CIO puede determinar que existen copias de seguridad, pero el número de sistemas afectados es tan grande que restaurarlos llevará mucho tiempo y el COO puede decidir que las operaciones de la empresa no pueden sobrevivir con un largo tiempo de inactividad. En última instancia, se trata de una decisión empresarial, por lo que el director general suele intervenir también, o en muchos casos tiene que dar la aprobación final para pagar el rescate.
Antes de aprobar el pago de un rescate, las aseguradoras harán varias preguntas, como el estado de las copias de seguridad, si fueron destruidas durante el ataque, si existen copias de seguridad externas, cuántos sistemas se vieron afectados o cuánto tiempo se tardará en restaurarlos.
Los pagos por ransomware se realizan en criptomonedas, y las empresas no suelen tener monederos de criptomonedas y millones de dólares en criptomonedas por ahí. Deben confiar en un tercero con la infraestructura necesaria para realizar dichos pagos.
¿Cómo funciona una negociación de ransomware?
Antes de abordar a los atacantes utilizando el método de comunicación que proporcionaron -normalmente algún servicio de correo electrónico cifrado- es importante que el equipo de RI se asegure de que el ataque ha sido aislado y los atacantes han sido expulsados de la red.
La segunda parte consiste en obtener toda la información sobre el ataque que ha recogido el equipo de RI, incluidos los datos que se han visto comprometidos, y determinar el actor de la amenaza y su perfil existente y su libro de jugadas anterior. Saber qué rescates han pedido en el pasado, establecer su madurez, cuántas otras organizaciones es probable que tengan en el gancho en un momento dado es toda la información valiosa que puede dictar cómo abordar la negociación.
Si han comprometido a 30 o 40 empresas, eso puede cambiar su comportamiento y pueden ser menos pacientes a la hora de negociar porque tienen muchas otras opciones.
Muchos grupos de hackers personalizan sus peticiones de rescate en función del perfil de la víctima, y suelen pedir un porcentaje de los ingresos anuales estimados de la organización si se trata de una empresa. Sin embargo, este porcentaje puede estar muy sobrevalorado si se obtiene de fuentes poco fiables o sin más detalles sobre la estructura empresarial. Por ejemplo, la empresa matriz de la víctima podría ser un conglomerado internacional de miles de millones de dólares, pero la víctima real podría ser una pequeña empresa de un determinado país. A nivel gubernamental, hay diferencias significativas entre los recursos financieros de las agencias federales y los pequeños municipios que podrían no ser directamente evidentes para los atacantes.
Los negociadores pueden mantener una conversación con los atacantes para informarles sobre las circunstancias financieras reales de la víctima, pero es mejor tratarla objetivamente como cualquier transacción comercial y no confiar en las emociones, que es lo que una víctima podría hacer si intenta negociar por su cuenta.
Dicho esto, todas las comunicaciones que se producen con los atacantes están a disposición de la organización de la víctima a través de un portal seguro en tiempo real, y pueden opinar y hacer comentarios o sugerencias.
En algunos casos, la víctima puede restaurar algunos de sus sistemas a partir de copias de seguridad, y eso puede utilizarse como palanca en la negociación, porque la víctima no estará dispuesta a pagar el rescate completo sólo para poder descifrar los datos de unos pocos sistemas restantes. Esta es otra razón por la que es muy importante tener la capacidad de detectar los ataques lo antes posible y contar con un plan de IR para responder y limitar los daños.
También es importante probar el proceso de restauración de las copias de seguridad y crear imágenes del sistema con todo el software que necesita un sistema para funcionar correctamente. También es muy valioso disponer de capacidades de detección y de un software de punto final que pueda detectar y bloquear las rutinas de cifrado de archivos y aislar los sistemas de la red rápidamente.
Los grupos de ransomware suelen estar dispuestos a negociar, y en la mayoría de los casos los rescates que acaban pagando las víctimas son un pequeño porcentaje de la cantidad original que piden. Esto se debe a que los atacantes también están bajo presión de tiempo. Cuanto más se alargue la discusión, más tiempo tendrá el equipo de RI de la víctima para restaurar los sistemas.
Sin embargo, antes de que se realice cualquier transacción, el actor de la amenaza debe demostrar su capacidad para descifrar archivos. Esto suele hacerse con un conjunto de datos de muestra, pero no significa que no haya riesgo. En algunos casos, el descifrador proporcionado por los atacantes puede tener fallos o no funcionar en determinados sistemas o volúmenes, o algunos datos pueden estar corruptos. Algunas empresas se especializan en la ingeniería inversa de estos descifradores y los reimplementan en una herramienta más eficiente que sólo utiliza la clave de descifrado proporcionada por los atacantes.
También puede haber situaciones en las que los atacantes utilicen diferentes claves en distintos sistemas de la red, por lo que es importante contar con ese componente de inteligencia forense y de amenazas para entender al atacante y su modus operandi antes de abordarlo.
Una vez que el pago se realiza a través de la infraestructura suministrada o acordada con el negociador, el registro completo de la comunicación, la información recopilada sobre el actor de la amenaza y la información sobre la transacción se proporciona al cliente por razones legales y de mantenimiento de registros.
Las amenazas de filtración de datos complican las negociaciones y la recuperación
Cuando se trata de un robo de datos como parte del mismo ataque, en el que los atacantes también amenazan con filtrar los datos, las cosas son un poco más complicadas porque no hay forma de garantizar que los atacantes hayan destruido los datos robados. Existen muchos casos en los que las víctimas que ya pagaron los rescates fueron extorsionadas con el mismo conjunto de datos más tarde o en los que los datos se filtraron en línea de todos modos.
A medida que más grupos de ransomware adoptan esta técnica, los incidentes de ransomware tendrán que ser tratados como violaciones de datos y pasar por todos los procesos que se requieren en tales casos. Las víctimas también podrían considerar la posibilidad de pagar a una empresa de inteligencia de amenazas para que vigile los foros y mercados clandestinos de sus datos robados, a fin de adelantarse a dónde podrían acabar y cómo podrían utilizarse para tomar medidas preventivas adicionales.
Algunas bandas de ransomware lo han llevado aún más lejos empleando tácticas de triple extorsión. Grief, un grupo de ransomware anteriormente conocido por el ransomware DoppelPaymer, ha advertido a las víctimas de que, si se ponen en contacto con las fuerzas del orden o contratan a negociadores profesionales de ransomware o expertos en recuperación de datos, destruirán la clave de descifrado.
El ransomware Grief está vinculado a Evil Corp, un grupo que fue incluido en la lista de sanciones por el Departamento del Tesoro de Estados Unidos. Si se contacta con las fuerzas del orden o con los negociadores del ransomware, es muy probable que la víctima sepa con quién está tratando y será mucho menos probable que pague el rescate porque podría enfrentarse a sanciones civiles y su aseguradora podría no cubrir el pago. Evil Corp tiene claros incentivos para disuadir a las víctimas de contactar con terceros, pero no es el único grupo de ransomware que ha adoptado recientemente esta postura. Otros grupos están molestos porque a veces se filtran los registros de las negociaciones de los rescates y aparecen en artículos de los medios de comunicación o en Twitter.
Las autopsias identifican las lecciones aprendidas
Cada incidente tendrá también una revisión post-mortem entre las diversas partes que estuvieron involucradas -el equipo legal, los equipos de RI y de IT, el especialista en negociación de ransomware- donde se revisará toda la información. Las lecciones aprendidas de este proceso deben convertirse en un proyecto para mejorar las capacidades de la organización para bloquear o frenar este tipo de ataques en el futuro.
Fuente: CSO
Comments