Con la llegada al ransomware de la táctica de "caza mayor", los ciberdelincuentes cada vez son más creativos en la forma de seleccionar a sus víctimas, maximizar la interrupción y exhortar al pago de los rescates. Esta táctica consiste en buscar objetivos de alto valor y con un perfil destacado y programar los ataques para infligir grandes daños.
Las víctimas suelen ser aquellas organizaciones a las que más perjudica el tiempo de inactividad. Por ejemplo, organizaciones de los ámbitos de la educación, la sanidad y la administración.
La forma en que los ciberdelincuentes de ransomware extorsionan a las organizaciones ha evolucionado drásticamente desde 2019. No solo el importe del rescate exigido es cada vez mayor. También los métodos para ejercer presión que emplean los ciberdelincuentes son cada vez más intensos, creativos y públicos. Es necesario un enfoque Zero Trust integral para responder a estos nuevos desafíos, a fin de negar a los atacantes la capacidad de aprovechar vectores de ataque y moverse lateralmente.
Aunque las estrategias del ransomware cambian constantemente, durante los dos últimos años los ataques de los ciberdelincuentes han mostrado un denominador común: sus tácticas de extorsión causan mucho más daño, su visibilidad es mucho mayor y hay mucho más en juego. El objetivo ya no es solo encriptar archivos, sino que las posibles repercusiones para la víctima sean tan importantes que esta considere que pagar el rescate es la única opción viable, lo que aumenta los índices de éxito del ataque. Aquí te mostramos siete tácticas recientes que han utilizado los atacantes:
Antes de 2019, era inusual que los ciberdelincuentes robaran datos con la intención de filtrarlos. Sin embargo, un análisis ha revelado que durante el tercer trimestre de 2021, el 83,3 % de los ataques implicaron la amenaza de la exfiltración de datos. Las distintas bandas de ransomware llevan a cabo las negociaciones y exhortan al pago mediante su propio método, aquel que consideran que les será más beneficioso. Algunos, como la banda de ransomware Clop, exigen dos rescates distintos: uno para obtener la clave de encriptación y otro para evitar la filtración de los archivos. Esto significa que es posible que una organización pague para evitar daños a su reputación o sanciones relacionadas con la privacidad de los datos, a pesar de que tenga copias de seguridad a partir de las que pueda realizar la restauración. Como muestra de buena fe, los atacantes también pueden devolver el acceso a algunos archivos iniciales, el equivalente en ransomware a una prueba gratuita. O pueden filtrar parte del material enseguida y publicar el resto en incrementos de tiempo.
Con la triple extorsión, los ciberdelincuentes se ponen en contacto con clientes, socios comerciales y otros terceros asociados a la organización víctima del ataque. En algunos casos, el objetivo es exigir el pago a terceros. Por ejemplo, esto ocurrió en el ataque a una clínica de psicoterapia. En este caso, comunicaron a los pacientes que debían pagar si no querían que las notas de sus sesiones se publicaran en línea. En otros, los ciberdelincuentes indican a los destinatarios que deben ponerse en contacto con la organización víctima del ataque e instarles al pago del rescate, externalizando así parte de los esfuerzos de coacción.
Según el FBI, algunas organizaciones son elegidas como objetivo de ataque debido a acontecimientos inminentes, como fusiones, adquisiciones y anuncios de productos. Los riesgos de daños a la reputación y de una caída en picado del valor de las acciones hacen que una demanda de rescate resulte más convincente. El FBI informa de que esto ocurre también en las fusiones en el marco de negociaciones privadas. Al infiltrarse en las redes, los ciberdelincuentes tratan de descubrir datos no públicos para identificar objetivos y motivar al pago. Una filtración puede ser especialmente destructiva para una organización si implica la divulgación de un proyecto o un plan de desarrollo de producto, ya que erosiona su ventaja competitiva. El FBI concluye que los ciberdelincuentes atacan con frecuencia durante los días festivos y los fines de semana, cuando es más fácil causar interrupciones.
Los ciberdelincuentes están abrumando y acosando a las víctimas mediante múltiples canales. Algunas bandas, utilizando la información que han obtenido infiltrándose en una red, llamarán y enviarán correos electrónicos a los empleados. Por ejemplo, algunos ciberdelincuentes han utilizado el ransomware Egregor para imprimir de forma remota notas de rescate en las propias impresoras de las organizaciones. Otros utilizan temporizadores de cuenta atrás para indicar cuándo expira una oferta de rescate o cuándo aumentará la cantidad exigida.
En los dos últimos años han surgido decenas de sitios web donde publicar datos robados. En estas páginas, los ciberdelincuentes publican los datos de las víctimas que no han pagado o filtran archivos uno a uno para aumentar la intensidad de las negociaciones. La publicación de datos personales obliga a la organización víctima del ataque a comunicar la violación a las autoridades, y estas podrían imponer sanciones.
Las tácticas para aumentar la visibilidad de un ataque son muy variadas. Por ejemplo, los atacantes pueden ponerse en contacto con periodistas para presionar más a una organización a pagar, y exponerla a batallas legales acerca de la privacidad de los datos. Para llamar la atención sobre un ataque, la banda Ragnar Locker compró anuncios en Facebook con credenciales robadas. Algunas bandas de ransomware buscan recompensas a nivel mundial subastando los datos de las víctimas. Una subasta que acaparó los titulares fue la que realizó la banda REvil de los datos de los clientes de un famoso bufete.
Mientras una organización ya está sobrecargada contactando con las autoridades policiales y los clientes afectados, localizando copias de seguridad de archivos y minimizando el movimiento lateral, es posible que algunos atacantes amenacen o instiguen un ataque distribuido de denegación de servicio. En unos momentos tan frenéticos, saturar una red añade presión y reduce aún más los recursos informáticos.
¿Por qué han cambiado tan repentinamente las tácticas de extorsión, cuando el ransomware existe desde hace décadas?
Ahora los ciberdelincuentes pueden presionar más a las organizaciones para que paguen los rescates, porque, para estas, seguir en línea es mucho más importante que nunca. Puesto que gran parte de la actividad diaria transcurre en línea, es crucial evitar el tiempo de inactividad. Los ciberdelincuentes saben que interferir en las conexiones remotas de los empleados, en las clases de los estudiantes, en las citas de los pacientes, en los pedidos de los clientes o en otros aspectos de las operaciones diarias puede causar graves interrupciones. Incluso si una organización tiene copias de seguridad desde las que restaurar, el tiempo que esto implica puede suponer una pérdida financiera mayor que el pago del rescate.
Otros factores que explican la evolución de las tácticas de ataque en los dos últimos años son:
El auge del ransomware como servicio. Al igual que una organización puede adquirir un firewall a través de un servicio basado en la nube, cualquiera puede alquilar e implementar ransomware, independientemente de su capacidad técnica. Este modelo, que implica una tarifa fija o el pago de un porcentaje de los rescates recibidos, reduce los obstáculos iniciales para iniciar un ataque.
Márgenes de beneficio asombrosamente altos. Una estimación sitúa el margen de beneficio del ransomware en el 98 %. En comparación con otros negocios ilícitos, el riesgo de detención y muerte que supone el ransomware es considerablemente menor, lo que incentiva aún más las nuevas incorporaciones en el mercado.
Obligaciones de protección de los datos privados. Tras la promulgación y la aplicación de normativas sobre privacidad como el GDPR, las filtraciones de datos pueden acarrear importantes sanciones para las organizaciones víctimas de ataques, y posibles demandas judiciales por parte de las personas cuyos datos hayan quedado expuestos. Esto afecta a cómo los ciberdelincuentes eligen sus objetivos y calculan los rescates, sabiendo que, para planificar la respuesta al incidente, las organizaciones analizarán los costes-beneficios.
Las organizaciones necesitan una estrategia integral y multidimensional para ayudar a evitar y mitigar el ransomware, especialmente porque estas nuevas tácticas de extorsión aumentan las posibles consecuencias de un ataque.
Una campaña de ransomware se compone de varias fases, por lo que hay numerosas oportunidades de detenerla. La adopción de un modelo de seguridad Zero Trust es una forma de reforzar el perímetro de una red y de limitar el movimiento lateral. Este enfoque, que implica imponer controles de acceso estrictos y no confiar por defecto en ningún usuario o sistema, disminuye las posibilidades de que un ciberdelincuente amplíe sus privilegios y encuentre una ventaja adicional para intensificar las negociaciones.
Las características del modelo Zero Trust que ayudan a evitar y mitigar los ataques de ransomware incluyen, entre otras:
Acceso de privilegio mínimo: dar a cada usuario acceso solo a las partes de la red que necesita minimiza la exposición y el potencial de movimiento lateral en caso de que se produzca un ataque.
Autenticación multifactor: exigir más de un método de prueba de identidad dificulta que un atacante suplante la identidad de un usuario.
Aislamiento de navegador: al confinar la actividad de navegación a un entorno aislado basado en la nube, las organizaciones pueden proteger las redes contra sitios y aplicaciones maliciosos.
Filtrado DNS: evitar que los usuarios y los puntos finales carguen sitios maliciosos ayuda a alejar el ransomware de los dispositivos de los usuarios y de la red en general.
Comprobaciones de la postura de los usuarios y de los dispositivos: las comprobaciones cruzadas continuas con los proveedores de seguridad de los puntos finales y los proveedores de identidad garantizan que solo los usuarios y los dispositivos seguros puedan conectarse a la red.
Cloudflare One, una plataforma de red como servicio (NaaS) Zero Trust, combina soluciones de seguridad y servicios de red para conectar de forma segura usuarios remotos, oficinas y centros de datos. Ayuda a evitar el ransomware aislando la navegación de alto riesgo, bloqueando el acceso a URL maliciosas y protegiendo los puertos abiertos del servidor contra intrusiones externas.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Después de leer este artículo podrás entender:
Las nuevas tácticas de extorsión, especialmente agresivas, del ransomware
Los factores que impulsan estos métodos en evolución
Cómo aprovechan los atacantes los datos que obtienen durante la infiltración en la red para motivar a la negociación
La importancia de los principios Zero Trust para la mitigación del ransomware
Consulta la guía sobre el papel que desempeña la estrategia Zero Trust en el proceso de adopción de SASE.