En el último año, el sector informático ha visto un aumento significativo de las peticiones de rescates, con un perfeccionamiento de las prácticas. Mientras que los ataques de ransomware siguen el modelo del “spay and pray”, según el cual se “riega ampliamente”, los ransomOps son ataques más sofisticados, dirigidos y similares a las APT (Advanced Persistent Threat – Amenazas Persistentes Avanzadas), a menudo asociados con estados-nación, pero también pueden ser el modus operandi de actores malignos que buscan maximizar el impacto financiero sobre un objetivo específico.
En los últimos tiempos se han producido varios ataques de este tipo, como el ciberataque sufrido por el grupo Meliá que ha afectado a varios de sus hoteles, el ciberataque que paralizó al SEPE en España y lo dejó paralizado, el incidente del oleoducto estadounidense Colonial Pipeline, el ataque al Ministerio de Sanidad irlandés y el ataque relámpago de DarkSide al distribuidor químico alemán Brenntag en el que la empresa pagó 4,4 millones de dólares.
A medida que los CISO (Directores de Seguridad Informática) continúan adaptándose a una escalada del trabajo híbrido, deben lidiar con los entornos de múltiples redes y los dispositivos personales no controlados, los cuales representan tentadoras vías para el ransomware. Mientras usted lee esto, miles de actores maliciosos están utilizando cepas probadas o diseñando las próximas variantes de ransomware para extorsionar enormes sumas de dinero a objetivos desprevenidos.
El plan de ataque de los ciberdelincuentes
Primero, los actores malignos evalúan a las potenciales víctimas desde la distancia, investigando su modelo de negocio y determinando lo perjudicial que sería para ellas el tiempo de inactividad. A partir de ahí, los atacantes estiman la probabilidad de pago y calculan el importe óptimo de rescate. El ransomware que van a utilizar puede ser subcontratado o comprado en la web oscura por tan sólo 300 dólares. Una vez dentro del perímetro de su objetivo, los atacantes de ransomware continúan su evaluación, valorando las aplicaciones y los datos que cifrarán. Y entonces llega el dolor.
En un mundo digital, el cifrado total de los procesos y archivos supone la paralización completa de las operaciones de cualquier empresa afectada por una campaña de este tipo. Los equipos de seguridad entrarán en acción de inmediato, pero en muchos casos se enfrentarán a una ardua lucha. Deben detener el ataque en curso al tiempo que restauran las operaciones digitales. La tarea no es fácil. Tampoco lo es determinar el origen de la incursión para evitar que se repita.
Y desgraciadamente, el pago del rescate no garantiza la entrega de la clave del cifrado. En resumen, los ataques de ransomware ponen más a prueba las estrategias de continuidad de negocio de muchas organizaciones que cualquier otro aspecto de sus posturas ante las amenazas. Sin planes de contingencia muy sólidos, las víctimas del ransomware sufren largos periodos de inactividad, pérdidas de datos y choques financieros.
¿Cómo mitigar los riesgos de esta amenaza?
La detección temprana es la clave para mitigar los daños. Si los hosts infectados se aíslan rápidamente, los cazadores de amenazas pueden ponerse a trabajar para eliminar los procesos que fomentan la replicación. Lo ideal es dejarlo en manos de las herramientas de automatización, ya que la intervención humana en tiempo real hace poco para frenar la rapidez de la propagación del ransomware. Las plataformas que supervisan toda la red son las más indicadas para tomar decisiones automáticas que sean eficaces para evitar daños y pérdidas.
Una estrategia clave en toda la red que tiene éxito en la detección de ransomware es adoptar una visión de conjunto de los comportamientos en lugar de buscar activamente variantes conocidas de ransomware en el tráfico de paquetes o procesos. Esta estrategia es proactiva y se centra en descubrir la actividad inicial de reconocimiento y penetración por parte de los actores malignos, en lugar de esperar a que la carga útil caiga.
Además, unas sólidas políticas de gestión de identidades pueden ayudar a frenar la marea si se ha tenido cuidado de garantizar que sólo unos pocos elegidos tengan acceso a las áreas más sensibles de la infraestructura de TI. El ransomware debe conformarse con las credenciales otorgadas al usuario o a la aplicación que ha permitido su implementación. La supervisión de la actividad de las cuentas con privilegios elevados también es una función que puede automatizarse. Los equipos de seguridad disponen de máquinas de detección incansables y muy eficaces. Pueden detener cualquier intento de penetrar en el sistema informático desde el principio. Los ataques se detienen antes de que tengan tiempo de convertirse en ransomware.
Una nueva táctica de combate: Detección y Respuesta a Amenazas en la Red basadas en Inteligencia Artificial
Estas buenas prácticas forman parte de un enfoque de detección y respuesta a amenazas basadas en la inteligencia artificial (IA). Al abordar el problema del ransomware desde el prisma de las dinámicas de comportamiento, dejamos atrás la táctica que consiste en buscar el propio ransomware. Las herramientas que ofrecen este enfoque mediante IA y el aprendizaje automático (machine learning) realizan un análisis profundo del tráfico de red y tienen la capacidad de rastrear la actividad de los atacantes, los movimientos que realizan entre los entornos locales, los centros de datos, IaaS y SaaS. Los modelos de aprendizaje automático complementan la experiencia de los equipos de seguridad y ofrecen resultados sólidos. Solo modelos como éstos tienen la escala y la potencia para aceptar grandes volúmenes de telemetría y compararlos con océanos de datos históricos en tiempo real para identificar la actividad de riesgo.
El ransomware es extremadamente rentable para los ciberdelincuentes y es poco probable que desaparezca del panorama de las amenazas a corto plazo. La detección rápida y precisa -que actualmente solo se consigue con los enfoques de detección y respuesta a las amenazas basadas en la IA- son los mejores aliados que pueden tener las empresas en esta lucha.
