Diario TI | 25 de septiembre 2020: El ransomware es, de todos los diversos tipos de malware existentes, el que más repercusión mediática ha tenido en los últimos años debido a que diversas empresas y gobiernos de todo tamaño a nivel global han sido sus víctimas. En varias ocasiones, las organizaciones criminales han logrado impactar las operaciones de sus objetivos, que debieron pasar distintas áreas de negocio a un estado de contingencia operativa. Solo basta con leer los casos en los periódicos de Argentina, Chile o México, por mencionar solo algunos países de la región.
Desde hace muchos años existen diversos tipos de software maliciosos o virus de computadora, este problema no es algo nuevo, pero, ¿qué es un ransomware? Es un tipo de software malicioso que tiene como objetivo apoderarse de la información que reside en la computadora de la víctima, solicitando un pago de rescate a cambio de liberarla. La técnica utilizada por el ransomware es encriptar la información de la computadora de la víctima, volviéndola inaccesible. Tras el pago del rescate, que es típicamente en criptoactivos, la víctima recibe la clave para desencriptar la información.
Inicialmente, los ciberdelincuentes apuntaban al público general, sin embargo, han mutado a atacar a empresas y organismos de gobierno en búsqueda de mayor rentabilidad de su actividad criminal. Ya no solo se limitan a secuestrar la información, también realizan extorsiones al amenazar con divulgarla públicamente.
¿Quién están detrás de los ataques de ransomware? Son organizaciones criminales, incluso algunas con afiliaciones de distintas personas en múltiples países, que cuentan con recursos para financiar sus operaciones y están muy bien capacitados. Se estima que para 2021, los costos por los daños de ransomware a escala global van a ser de USD 20.000 millones de dólares, incrementándose un 5.700% comparado con el 2015 (fuente: Cybersecurityventures). La elección del blanco de un ataque no es azarosa, es un proceso con inteligencia previa. Incluso existen criminales que brindan servicios de ransomware, facilitando conocimiento, herramientas, infraestructura y otros componentes necesarios para llevar a cabo esta modalidad criminal a gran escala en modo de campañas.
¿Cómo se lleva a cabo un ataque de ransomware?
Técnicamente un ataque tiene distintas fases, cada una de ellas tiene un propósito específico:
- Infección: los atacantes intentarán o bien engañar a un empleado de la organización para que de alguna forma ejecute un progama malicioso, siendo un correo electrónico conocido como phising la vía más común, o bien explotar alguna vulnerabilidad conocida no corregida para lograr ejecutar este malware. También existe la posibilidad de la participación deliberada de algún empleado de la organización víctima.
- Movimiento lateral: una vez controlando un dispositivo de la organización los atacantes pondrán en marcha la segunda fase, que denominamos “movimiento lateral” en la jerga de la ciberseguridad, cuando desde un dispositivo de la organización se propaga a la mayor cantidad de computadoras posible. Si bien intentarán hacer esto lo más rápido posible, puede tomar largos períodos de tiempo, pudiendo llegar a varios meses. Los criminales trabajarán con mucho sigilo, utilizando técnicas de evasión, para pasar lo más desapercibidos posibles. Durante esta etapa, buscarán vulnerar los servidores de autenticación para poder crear usuarios con privilegios administrativos, instalar masivamente software para controlar los servidores de gestión de actualizaciones y destruir los mecanismos de respaldo para que cuando se secuestre la información, no sea posible recuperarla. La finalización de esta segunda fase dependerá de cuándo los criminales decidan que pueden causar el suficiente daño a la víctima que podría inducirlo a pagar un rescate. En paralelo, los cibercriminales estarán robando la mayor cantidad de información posible a fin de usarla luego de forma extorsiva y/o venderla a otros actores criminales.
- Cifrado de datos: en esta etapa es cuando se da la instrucción al software malicioso previamente instalado para cifrar la información, mediante una clave que hasta ese momento solo los atacantes conocen. Se ejecuta muy velozmente y es muy difícil de mitigar llegado a este punto, por lo que se dará notificación a la víctima y se le exigirá el rescate. Lo siguiente es muy similar a la operatoria de un secuestro extorsivo convencional, abriendo los delincuentes canales de comunicación y negociación con la pretensión de obtener el pago a cambio de entregar la clave de descrifrado.
La prevención no basta, es necesario poder detectar y reaccionar
La seguridad es un proceso, no es una única acción, es necesario encarar el problema del ransomware con decisión e inversión. Tener solo una estrategia de prevención no basta, hay que invertir tanto en la capacidad de prevenir como en la de detectar y reaccionar. Es aconsejable privilegiar el tener una visión central y unificada de toda la superficie de ataque. Incorporar capacidad de análisis y reacción a velocidad digital, asistida por inteligencia artificial para poder tener detección temprana y respuesta automatizada, se vuelve crítico por el volumen de información.
Algunas recomendaciones acerca de por dónde empezar:
- Realice entrenamientos para concientizar acerca de esta problemática y tener una fuerza de trabajo ciberconciente en su empresa u organismo público. Una práctica habitual es realizar campañas de phising de prueba, buscando identificar a los empleados que son engañados y así profundizar el entrenamiento de estas personas.
- Mantenga la higiene digital de los dispositivos, instalando las actualizaciones de seguridad provistas por los fabricantes lo más rápido posible para reducir la brecha de exposición.
- Despliegue confianza cero en la red por medio de segmentación, robusteciendo la autenticación y el manejo de identidad, implementando firewalls de nueva generación y políticas de mínimo privilegio en ellos, y analizando los eventos de seguridad en búsqueda de indicadores de compromiso.
- Implemente soluciones de detección y respuesta. La prevención basada en firmas que tienen los antivirus en la actualidad para los dispositivos no basta y por eso es necesario sumar software de detección y respuesta, EDR por sus siglas en inglés, que se focalizan en la post-ejecución.
A medida que las redes se vuelven más complejas, también lo es defenderlas. Ya no es un trabajo de una solución puntual. Las soluciones que permiten no solo prevenir, sino también detectar y responder de forma integrada y automatizada pueden aliviar la carga del equipo de TI y ayudar a cerrar las puertas al ransomware.
Por: Gonzalo García, vicepresidente de Fortinet para Sudamérica