Cuando se trata de ransomware, la sabiduría convencional dice que nunca debe pagar. A menudo, sin embargo, la realidad no es tan simple. Si los datos no se pueden recuperar de su solución de respaldo o si la información encriptada es crítica para el negocio, el negocio puede no tener más remedio que para desembolsar. Según Kaspersky, más de una de cada tres organizaciones paga. Desafortunadamente para ellos, este no es necesariamente el final de la historia.

Sobre el autor

Patrick Martin, analista senior de inteligencia de amenazas, Skurio.

El ransomware moderno no se detiene en el cifrado de datos. También exfiles datos. Con eso viene el riesgo muy real de que termine encontrando su camino en los sombríos mercados web oscuros para ser compartidos o vendidos una y otra vez. En cuanto a los piratas informáticos, el ransomware es el vector de ataque que sigue dando. En este contexto, el mejor consejo para las empresas es prepararse para lo peor y saber cómo reaccionar.

Una de las técnicas más efectivas es incluir datos ficticios especialmente marcados en su sistema. Esto significa que cuando ocurre un ataque de ransomware, puede usar un servicio de monitoreo especializado para averiguar si alguno de sus datos con marca de agua está disponible en la web oscura. Una vez confirmado, puede tener lugar una respuesta rápida y decisiva a los incidentes y medidas correctivas.

Reputación temible

Con su potencial para interrumpir todas las actividades de una empresa, el ransomware es posiblemente una de las amenazas cibernéticas más temidas. Esta reputación se ha consolidado por el hecho de que los principales incidentes relacionados con el ransomware nunca están lejos de los titulares, generalmente acompañados de un número cada vez mayor de días perdidos debido a interrupciones, demandas de rescate y costos. la recuperación.

Aprovechando esta notoriedad, los ciberdelincuentes se han vuelto cada vez más atrevidos y la demanda promedio de rescate ha aumentado a € 10,000. Esta cifra nuevamente aumenta los costos de perturbación y limpieza tomados en cuenta. En un ejemplo sorprendente, una epidemia severa en la ciudad de Baltimore habría costado más de € 14 millones para la rectificación y la pérdida de ingresos mientras los sistemas de pago estaban fuera de línea.

Acontecimientos preocupantes

Las tácticas típicas de ransomware incluyen bloquear el acceso a los datos de la víctima o amenazar con publicarlo en un sitio web público a menos que se pague un rescate. Si eso ya no fuera suficiente para preocuparse, hay indicios en los últimos 12 meses de que la amenaza del ransomware puede haber entrado en una nueva fase preocupante. Los ciberdelincuentes han comenzado a aumentar la presión al agregar la filtración de datos a sus ataques. La estrategia de combinar ataques de ransomware con minería de datos es un desarrollo relativamente reciente, pero está ganando terreno.

El mejor ransomware de 2019: Ryuk, Maze, BitPyLocker, Trickbot, Revil / Sodinokibi y Emotet, todos tienen capacidades de filtración de datos. Ryuk y Sodinikibi solo representaron un aumento del 104% en los pagos de rescate en el cuarto trimestre (de € 32,000 en el tercer trimestre a € 65,000 en el cuarto trimestre).

Asalto de dos puntas

Sodinokibi, en particular, ha adquirido una considerable infamia después de que se utilizó malware para interrumpir al fabricante alemán de autopartes Gedia Automotive Group, que se vio obligado a cerrar su red informática para proteger la infraestructura industrial conectada. Gedia se mantuvo firme y se negó a cumplir con la demanda de rescate. Poco después, sin embargo, el grupo que afirma ser responsable del ataque comenzó a anunciarse en un foro subterráneo ruso para la venta de más de 50 GB de información confidencial, como planes, robado de Gedia.

Dichas tácticas permiten a los atacantes amenazar a sus objetivos con un doble golpe. Si una víctima se niega a cumplir con la nota de rescate, debe enfrentar la posibilidad de que grandes cantidades de información personal altamente confidencial se puedan distribuir en la Dark Web. Y, sin embargo, incluso si cumplen y pagan, no hay garantía de que los delincuentes no dejen sus sistemas bloqueados o vendan los datos capturados. Los datos robados se usan comúnmente como una palanca adicional para obligar a un pago. Los expertos de la industria desaconsejan ceder a las demandas de rescate.

La razón es que, incluso si los delincuentes restauran completamente los sistemas y los datos robados, todos los que pagan simplemente se utilizan para perpetuar el problema del ransomware como generadores de dinero efectivos para los cibercriminales. Un consejo perfecto, de hecho, hasta que de repente te encuentres en el lado de la recepción.

Predecir lo peor

Hasta entonces, se puede encontrar una defensa probada contra el ransomware. Esto significa que tienen que enfrentar la posibilidad de que los datos comerciales confidenciales se puedan filtrar y distribuir en la web profunda para intercambiarlos en los foros de Dark Web. Nada impide que los autores solo faroleen para filtrar con éxito archivos críticos durante un ataque. Incluso si los ladrones comparten una muestra de los datos robados, no es evidencia concluyente de que fueron tomados durante un ataque de ransomware o que tienen copias de todos los otros datos que afirman tener. En cambio, los datos podrían haber sido robados en otro momento, o incluso de un tercero. Por lo tanto, el primer paso debe ser confirmar si los datos han sido robados.

Una manera efectiva de verificar si los datos provienen de sus sistemas es etiquetar ciertos conjuntos de datos por adelantado con información ficticia. La técnica consiste en arrancar las bases de datos de empleados y clientes con identidades sintéticas: información sobre personas compuestas que residen solo en las bases de datos de sus sistemas. Los datos de marca de agua con una combinación de técnicas de investigación automáticas y manuales son una forma segura de rastrear su exposición a riesgos digitales mucho más allá de los perímetros de su red. Las herramientas automatizadas pueden detectar rápidamente marcas de agua en fuentes web abiertas y foros subterráneos menos seguros, mientras que se necesita investigación manual para foros Dark Web más estrictamente controlados.

El acceso a muchos foros de Dark Web está restringido a los usuarios que han recibido invitaciones personales o recomendaciones de otros miembros de la comunidad. Los recién llegados están sujetos a escrutinio por cualquier comportamiento revelador que revele sus motivaciones. Por ejemplo, buscar abiertamente un conjunto específico de datos podría ser suficiente para hacer sonar la alarma de que un usuario podría ser un investigador encubierto que trabaja para una empresa vulnerada. Sin embargo, buscar un nombre específico, una identidad de marca de agua, por ejemplo, es más probable que elude la atención. Para ir más allá, es posible tomar una instantánea de los datos en un foro y luego buscarlos sin conexión. Esto significa que no quedará rastro de la búsqueda para la detección de la comunidad criminal. Es imperativo que no quede tal rastro. Sería ingenuo suponer que nadie notará lo que está buscando en línea. Es por eso que debes buscar sin conexión.

En resumen, el ransomware representa una amenaza importante para las empresas no preparadas y puede ser costoso, incluso para organizaciones bien defendidas, especialmente con la nueva incorporación de exfiltración de datos que dificulta la recuperación. Colocar marcas de agua discretas en sus conjuntos de datos y monitorear proactivamente la evidencia de que los datos violados circulan en línea ayuda a las organizaciones a comprender el alcance de su exposición al riesgo y a tomar medidas rápidas para recuperar el control de situación.

Vídeos de interes

🚨 ¿Están hackeando los canales? 🚨

Support the stream: https://streamlabs.com/tecnopcecuador Visita Realza Recargas :) https://www.youtube.com/user/REALZARECARGAS y aprende mucho ...
Share This
A %d blogueros les gusta esto: