Cuando se trata de ransomware, la sabidur√≠a convencional dice que nunca debe pagar. A menudo, sin embargo, la realidad no es tan simple. Si los datos no se pueden recuperar de su soluci√≥n de respaldo o si la informaci√≥n encriptada es cr√≠tica para el negocio, el negocio puede no tener m√°s remedio que para desembolsar. Seg√ļn Kaspersky, m√°s de una de cada tres organizaciones paga. Desafortunadamente para ellos, este no es necesariamente el final de la historia.

Sobre el autor

Patrick Martin, analista senior de inteligencia de amenazas, Skurio.

El ransomware moderno no se detiene en el cifrado de datos. También exfiles datos. Con eso viene el riesgo muy real de que termine encontrando su camino en los sombríos mercados web oscuros para ser compartidos o vendidos una y otra vez. En cuanto a los piratas informáticos, el ransomware es el vector de ataque que sigue dando. En este contexto, el mejor consejo para las empresas es prepararse para lo peor y saber cómo reaccionar.

Una de las técnicas más efectivas es incluir datos ficticios especialmente marcados en su sistema. Esto significa que cuando ocurre un ataque de ransomware, puede usar un servicio de monitoreo especializado para averiguar si alguno de sus datos con marca de agua está disponible en la web oscura. Una vez confirmado, puede tener lugar una respuesta rápida y decisiva a los incidentes y medidas correctivas.

Reputación temible

Con su potencial para interrumpir todas las actividades de una empresa, el ransomware es posiblemente una de las amenazas cibern√©ticas m√°s temidas. Esta reputaci√≥n se ha consolidado por el hecho de que los principales incidentes relacionados con el ransomware nunca est√°n lejos de los titulares, generalmente acompa√Īados de un n√ļmero cada vez mayor de d√≠as perdidos debido a interrupciones, demandas de rescate y costos. la recuperaci√≥n.

Aprovechando esta notoriedad, los ciberdelincuentes se han vuelto cada vez m√°s atrevidos y la demanda promedio de rescate ha aumentado a ‚ā¨ 10,000. Esta cifra nuevamente aumenta los costos de perturbaci√≥n y limpieza tomados en cuenta. En un ejemplo sorprendente, una epidemia severa en la ciudad de Baltimore habr√≠a costado m√°s de ‚ā¨ 14 millones para la rectificaci√≥n y la p√©rdida de ingresos mientras los sistemas de pago estaban fuera de l√≠nea.

Acontecimientos preocupantes

Las t√°cticas t√≠picas de ransomware incluyen bloquear el acceso a los datos de la v√≠ctima o amenazar con publicarlo en un sitio web p√ļblico a menos que se pague un rescate. Si eso ya no fuera suficiente para preocuparse, hay indicios en los √ļltimos 12 meses de que la amenaza del ransomware puede haber entrado en una nueva fase preocupante. Los ciberdelincuentes han comenzado a aumentar la presi√≥n al agregar la filtraci√≥n de datos a sus ataques. La estrategia de combinar ataques de ransomware con miner√≠a de datos es un desarrollo relativamente reciente, pero est√° ganando terreno.

El mejor ransomware de 2019: Ryuk, Maze, BitPyLocker, Trickbot, Revil / Sodinokibi y Emotet, todos tienen capacidades de filtraci√≥n de datos. Ryuk y Sodinikibi solo representaron un aumento del 104% en los pagos de rescate en el cuarto trimestre (de ‚ā¨ 32,000 en el tercer trimestre a ‚ā¨ 65,000 en el cuarto trimestre).

Asalto de dos puntas

Sodinokibi, en particular, ha adquirido una considerable infamia después de que se utilizó malware para interrumpir al fabricante alemán de autopartes Gedia Automotive Group, que se vio obligado a cerrar su red informática para proteger la infraestructura industrial conectada. Gedia se mantuvo firme y se negó a cumplir con la demanda de rescate. Poco después, sin embargo, el grupo que afirma ser responsable del ataque comenzó a anunciarse en un foro subterráneo ruso para la venta de más de 50 GB de información confidencial, como planes, robado de Gedia.

Dichas t√°cticas permiten a los atacantes amenazar a sus objetivos con un doble golpe. Si una v√≠ctima se niega a cumplir con la nota de rescate, debe enfrentar la posibilidad de que grandes cantidades de informaci√≥n personal altamente confidencial se puedan distribuir en la Dark Web. Y, sin embargo, incluso si cumplen y pagan, no hay garant√≠a de que los delincuentes no dejen sus sistemas bloqueados o vendan los datos capturados. Los datos robados se usan com√ļnmente como una palanca adicional para obligar a un pago. Los expertos de la industria desaconsejan ceder a las demandas de rescate.

La razón es que, incluso si los delincuentes restauran completamente los sistemas y los datos robados, todos los que pagan simplemente se utilizan para perpetuar el problema del ransomware como generadores de dinero efectivos para los cibercriminales. Un consejo perfecto, de hecho, hasta que de repente te encuentres en el lado de la recepción.

Predecir lo peor

Hasta entonces, se puede encontrar una defensa probada contra el ransomware. Esto significa que tienen que enfrentar la posibilidad de que los datos comerciales confidenciales se puedan filtrar y distribuir en la web profunda para intercambiarlos en los foros de Dark Web. Nada impide que los autores solo faroleen para filtrar con éxito archivos críticos durante un ataque. Incluso si los ladrones comparten una muestra de los datos robados, no es evidencia concluyente de que fueron tomados durante un ataque de ransomware o que tienen copias de todos los otros datos que afirman tener. En cambio, los datos podrían haber sido robados en otro momento, o incluso de un tercero. Por lo tanto, el primer paso debe ser confirmar si los datos han sido robados.

Una manera efectiva de verificar si los datos provienen de sus sistemas es etiquetar ciertos conjuntos de datos por adelantado con información ficticia. La técnica consiste en arrancar las bases de datos de empleados y clientes con identidades sintéticas: información sobre personas compuestas que residen solo en las bases de datos de sus sistemas. Los datos de marca de agua con una combinación de técnicas de investigación automáticas y manuales son una forma segura de rastrear su exposición a riesgos digitales mucho más allá de los perímetros de su red. Las herramientas automatizadas pueden detectar rápidamente marcas de agua en fuentes web abiertas y foros subterráneos menos seguros, mientras que se necesita investigación manual para foros Dark Web más estrictamente controlados.

El acceso a muchos foros de Dark Web est√° restringido a los usuarios que han recibido invitaciones personales o recomendaciones de otros miembros de la comunidad. Los reci√©n llegados est√°n sujetos a escrutinio por cualquier comportamiento revelador que revele sus motivaciones. Por ejemplo, buscar abiertamente un conjunto espec√≠fico de datos podr√≠a ser suficiente para hacer sonar la alarma de que un usuario podr√≠a ser un investigador encubierto que trabaja para una empresa vulnerada. Sin embargo, buscar un nombre espec√≠fico, una identidad de marca de agua, por ejemplo, es m√°s probable que elude la atenci√≥n. Para ir m√°s all√°, es posible tomar una instant√°nea de los datos en un foro y luego buscarlos sin conexi√≥n. Esto significa que no quedar√° rastro de la b√ļsqueda para la detecci√≥n de la comunidad criminal. Es imperativo que no quede tal rastro. Ser√≠a ingenuo suponer que nadie notar√° lo que est√° buscando en l√≠nea. Es por eso que debes buscar sin conexi√≥n.

En resumen, el ransomware representa una amenaza importante para las empresas no preparadas y puede ser costoso, incluso para organizaciones bien defendidas, especialmente con la nueva incorporación de exfiltración de datos que dificulta la recuperación. Colocar marcas de agua discretas en sus conjuntos de datos y monitorear proactivamente la evidencia de que los datos violados circulan en línea ayuda a las organizaciones a comprender el alcance de su exposición al riesgo y a tomar medidas rápidas para recuperar el control de situación.

Share This
A %d blogueros les gusta esto: