¿Hacia dónde se dirige el ransomware y qué pueden hacer las empresas para defenderse? Los profesionales de la seguridad se han estado planteando estas preguntas con una frecuencia cada vez mayor desde que este tipo de ataque de malware surgió por primera vez como un negocio delictivo hace unos 15 años. El problema es que cada vez que se plantean las preguntas, aparece una respuesta ligeramente diferente.
La evolución del ransomware ha sido tan rápida en los últimos cinco años que manejarlo puede ser un desafío. Comenzó como un simple ataque de denegación de datos, en el que se encriptaban archivos críticos para la empresa para obtener unos pocos cientos de dólares. Finalmente, los atacantes notaron que estaban atrapando compañías aún más grandes y sintieron la desesperación de sus víctimas. Luego, las demandas de rescate comenzaron a aumentar, pasando rápidamente de cientos a miles y, finalmente, a millones.
La última tendencia es la doble extorsión , en la que los atacantes utilizan la amenaza de divulgar los datos para aumentar la presión sobre las víctimas; y extorsión triple cuando los atacantes se acercan a los clientes o proveedores de la víctima amenazando con exponer sus datos recopilados de la red de la víctima. Un ejemplo de triple extorsión se vio en Vastaamo, una clínica de fisioterapia en Finlandia a principios de este año. Eso es lo que pasa con el ransomware: cada vez que crees que has visto la última y mejor innovación, los ciberdelincuentes inventan algo nuevo.
Pero la innovación más importante de todas ha sucedido entre bastidores en el modelo de negocio de ransomware. En algún momento, los grupos criminales se dieron cuenta de que podían comercializar sus sistemas de malware convirtiendo el ransomware en un servicio, también conocido como ransomware-as-a-service (RaaS). La genialidad de esto no es que haga que el ransomware sea más sofisticado o eficaz, ya que alcanzó esos objetivos hace mucho tiempo, sino que es más accesible. De repente, el ransomware se ha convertido en un servicio como cualquier otro y los delincuentes que carecen de la capacidad técnica para diseñar su propio malware pueden obtener una parte de la acción alquilando los conocimientos técnicos.
Si bien los ataques tradicionales y el ransomware a menudo comparten muchos de los vectores de ataque iniciales, es su impacto lo que los distingue. Si bien los ataques tradicionales de exfiltración resultan en gran medida en pérdidas secundarias: daño a la reputación, multas regulatorias o litigios, el ransomware, por el contrario, resulta en pérdidas primarias: la incapacidad de una organización para cumplir su misión. Ahora, esta democratización eleva el perfil de riesgo del ransomware otro nivel al aumentar también el componente de frecuencia del riesgo. Los ataques de alto perfil por parte de grupos de amenazas especializados como REvil, Conti y BlackMatter reciben la mayor parte de la atención, pero son los numerosos grupos menos conocidos que han adoptado RaaS los que podrían terminar haciendo más daño. Para la mayoría de las organizaciones, los ataques al estilo RaaS son ahora la amenaza a tener en cuenta.
¿Puede algo detenerlo?
A partir de la cantidad de ataques exitosos y el esfuerzo constante para recuperarse de los ataques de malware, resulta obvio que las capas de seguridad tradicionales, como la seguridad de los puntos finales y de la red, pueden proporcionar el grado de protección que permite un nivel aceptable de riesgo residual. Esto sigue siendo cierto incluso cuando muchos productos han cambiado de nombre a productos anti-ransomware y a pesar de las inversiones récord en seguridad cibernética en general. Claramente, algo más profundo está mal.
La crisis de confianza generada por los ataques ha impulsado el mercado de los seguros cibernéticos, que ha crecido de casi nada en 2013 a un sector de mercado en auge en la actualidad. El efecto del seguro es controvertido en varios niveles. Algunos argumentan que esto hace que las organizaciones sean más propensas a pagar rescates sabiendo que algunos o todos estos costos serán cubiertos por su póliza. Si los atacantes han tenido en cuenta esta disposición a pagar, entonces es plausible que el seguro de ransomware esté empeorando las cosas a largo plazo. Además, el papel del seguro es para eventos de baja frecuencia y alto impacto, y como se discutió, el crecimiento de RaaS en los titulares ha demostrado que el ransomware se está convirtiendo rápidamente en un evento de alta frecuencia y alto impacto.
Ya existe presión por parte de los legisladores estadounidenses para regular la respuesta a los ataques de ransomware haciendo que los pagos sean ilegales, limitando su tamaño o ampliando la notificación obligatoria. Estas llamadas han recibido un impulso adicional por las cifras del Tesoro de EE. UU. Que muestran que las transacciones de ransomware han alcanzado niveles récord durante la primera mitad de 2021.
El mensaje para llevar para las organizaciones preocupadas por el ransomware es que no crean en las exageraciones. Puede colocar la palabra anti frente a la palabra ransomware con la frecuencia que desee, pero lo que salva a las organizaciones al final no es la tecnología vudú atestiguada, sino la calidad de su evaluación interna, la ciberresiliencia organizacional , la recuperación y la respuesta a incidentes.
Respuesta integrada
Las empresas pueden tener hasta 130 herramientas de seguridad diferentes a su disposición. En esa etapa, lo que cuenta no es qué tan bueno sea alguno de estos para detectar ransomware, sino qué tan bien orquestados y automatizados están como un sistema completo. Para las organizaciones, los marcos como MITRE D3FEND (para herramientas defensivas) y ATT & CK (para técnicas y procedimientos de herramientas de amenazas, o TTP) son una gran ayuda cuando se trata de evaluar las afirmaciones de seguridad de los proveedores y hacer coincidir las amenazas con las defensas.
Una parte fundamental de la resiliencia y la respuesta es el nivel de integración entre las funciones de TI y ciberseguridad. Hoy en día, en muchas organizaciones, están separados o simplemente se superponen en algunas áreas. Esto significa que la prevención y la detección serán el trabajo del equipo de seguridad, mientras que la respuesta a incidentes se extiende a ambos lados. La recuperación, la función más importante de todas, dependerá totalmente del equipo de TI.
Esto podría haber funcionado para los incidentes de seguridad cibernética del viejo mundo, pero es una debilidad evidente contra el ransomware donde cada segundo cuenta. En la práctica, cada elemento de respuesta debe suceder al mismo tiempo con la detección y la remediación con la recuperación como procesos paralelos en lugar de secuenciales, e idealmente estos elementos deben respaldar la automatización y la orquestación de las herramientas en uso dentro de los dos equipos, reduciendo los costos y aumentando eficiencia y eficacia. Eso implica un solo equipo con diferentes tareas en lugar de departamentos separados que dependen de las relaciones personales y la comunicación ad-hoc.
Es fundamental que las organizaciones comprendan que la era actual del ransomware no terminará mientras los ciberdelincuentes puedan evadir la ley y obtener enormes beneficios. Es un modelo de negocio demasiado tentador, al que resulta aún más fácil acceder gracias a la llegada de RaaS.
El ransomware, en cualquier forma, no es un problema temporal ni una moda pasajera. Desde 1989, ha sido una amenaza en constante crecimiento durante la mayor parte de los últimos 20 años. Lo que es seguro es que seguirá evolucionando: las innovaciones del ransomware aún tienen mucho camino por recorrer. Los defensores deben asumir lo peor y esperar lo mejor en un mundo en el que burlar y sobrevivir a los ataques de extorsión se ha convertido en la próxima ventaja competitiva imprescindible.
Fuente:
Editor’s Choice. (2021i, diciembre 17). The rise of Ransomware-as-a-Service. Information Age. Recuperado 17 de diciembre de 2021, de https://www.information-age.com/rise-of-ransomware-as-a-service-123498173/