Visto: 307

Ransomware: La decisión de pagar o no pagar es ahora todavía más complicada y las asociaciones entre el sector público y el privado pueden ser la respuesta

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

El ransomware puede paralizar a una organización y suele afectar la capacidad de una compañía de prestar servicios clave y puede poner rápidamente en riesgo la confianza que le tienen los clientes.

Lo que en última instancia afectará sus resultados. Tanto las organizaciones públicas como las privadas son susceptibles a los atacantes que siguen desarrollando sus tácticas cada vez con más precisión y competencia. El impacto de la pandemia global también se hizo sentir en esta área, a medida que la superficie de ataque se amplió exponencialmente cuando las organizaciones tuvieron que trasladar gran parte de su fuerza laboral al trabajo remoto. Las noticias con frecuencia destacan un aumento de incidentes de ransomware, que sugiere que la tendencia continuará.

Las organizaciones que ya están lidiando con las ramificaciones de la crisis económica relacionada ahora también deben afrontar el ransomware como otra amenaza real. El gobierno de los EE. UU. también intensificó su atención sobre el tema mediante la publicación por parte del Departamento del Tesoro de pautas que sugieren no pagar rescates a ningún atacante en su lista de sanciones. Hacerlo podría implicar multas y penalidades civiles, lo que añade otra dinámica para las organizaciones:  si deben siquiera informar los ataques por miedo a medidas correctivas por parte del gobierno.

Todos estos crecientes desafíos aceleraron la necesidad de que las organizaciones formalicen sus respuestas, refuercen la capacitación/educación de su personal, reevalúen su postura de seguridad para considerar la adopción de nuevos procesos y tecnologías relacionadas para minimizar la exposición al riesgo. También sirve como una oportunidad apremiante de fomentar una mayor colaboración entre el sector público y el privado a fin de frenar el aumento de los ataques de ransomware.

 

Variaciones de cryptomalware

Ransomware se volvió sinónimo de cryptomalware. El atacante encripta los datos y exige un pago para liberar los datos de la víctima: retiene sus datos a cambio de un rescate. Aquí, el delincuente informático espera beneficiarse a expensas de la organización atacada. Sin embargo, en estas situaciones, siempre hay un perdedor. O la víctima pierde (los datos y su dinero) y el atacante se lleva el pago, o el atacante pierde cuando no le pagan (aunque la víctima también puede perder en esta situación cuando sus datos están encriptados). Y satisfacer las exigencias de los hackers no siempre trae los resultados esperados: hemos visto ejemplos de víctimas que pagan el rescate y no recuperan sus datos debido a fallas en la rutina de descifrado o porque el atacante no respeta el acuerdo de descifrar los datos.

El leakware, también llamado ransomware de doble extorsión o doxware, es una adaptación del ransomware que amenaza con filtrar los datos de una organización al dominio público a menos que se le pague al atacante.  Esto crea una situación entre el atacante y la víctima en la que la víctima todavía tiene que pagar una suma considerable al atacante para evitar la divulgación de sus datos, sumado a todo el daño a su marca y la posible atención regulatoria que todo eso implica. El atacante recibe el pago, pero los datos de la víctima no se pierden ni filtran.  Esto resulta ser lo mejor en una situación mala para la organización afectada: dependiendo del valor monetario del rescate exigido, la capacidad de poder pagarlo o el valor percibido de los datos. Recientemente los atacantes centraron su atención en el leakware sabiendo que las organizaciones cuentan con buenas copias de respaldo para mitigar los pagos de ransomware tradicional.

 

Cambiando las reglas: el riesgo de las sanciones

Las organizaciones consideran muchos factores cuando deciden pagar un rescate.  Entre ellos, la disponibilidad de buenas copias de respaldo para poder recuperar los datos ahora bloqueados, el daño potencial a la reputación de la marca de pagar o no pagar, la posibilidad de que el atacante repita el ataque, las multas regulatorias que deban pagarse a las entidades regulatorias, la capacidad de pagar al atacante, lo que incluye el valor monetario del pedido de ransomware o contar con un mecanismo conocido o confiable para pagar al atacante. Además, es posible que una organización cuente o no con un procedimiento operativo estándar (SOP) para manejar incidentes de ransomware.

Resulta fácil ver que el hecho de tener que afrontar tantas decisiones funciona a favor del atacante.

El 1 de octubre de 2020, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los EE. UU. publicó una Advertencia sobre los posibles riesgos de sanciones por facilitar pagos de ransomware. En la advertencia explicativa, el Departamento del Tesoro señala que pagar a un atacante puede "alentar futuras exigencias de pago de ransomware además de correr el riesgo de violar regulaciones de la OFAC". Se proporciona una lista de autores y familias de ransomware a las que el Departamento del Tesoro de los EE. UU. aplicó sanciones. La lista incluye a los autores de Cryptolocker, SamSam, WannaCry y Dridex.  Ahora resulta necesario que las organizaciones que consideren pagar los rescates tengan en cuenta el riesgo de violaciones a sanciones.

Incluso con la introducción de dichas sanciones, las empresas realizarán sus cálculos y ponderarán el costo de la alteración para su negocio en comparación con el costo de las medidas de mitigación. Aquí es cuando una estrategia puede ser útil para dirigir a la empresa afectada a que implemente medidas de antemano y bien pensadas. ¿Qué más se puede hacer para ayudar antes o durante un incidente de ransomware?

 

Cómo protegerse del ransomware/leakware

Al no adoptar una postura proactiva, una organización atacada se ve forzada a seguir el juego de suma cero o de suma no-cero de cryptomalware del atacante. Si el atacante logra comunicarse, resulta vital que la organización atacada mantenga el dominio de la situación. Aquí presentamos una lista de verificación de 5 puntos de alto nivel al respecto:

  1. Cree una estrategia ante incidentes de ransomware aplicable a su organización, practíquela con frecuencia y perfecciónela según corresponda.
  2. Eduque a sus usuarios para que entiendan cómo evitar caer presa de los engaños y señuelos de los delincuentes cibernéticos.
  3. Adopte procedimientos de copias de respaldo probados y sólidos para recuperar los datos en caso de un incidente de cryptomalware, que incluya copias de respaldo sin conexión.
  4. Adopte un programa de prevención contra la pérdida de datos en toda la organización para ganar visibilidad de dónde están sus datos y quién interactúa con ellos. Como parte de su estrategia de protección de datos, debe considerar pasos adicionales como la segmentación de datos entre distintas redes.
  5. Recuerde que el análisis conductual puede ayudar a identificar acciones anómalas dentro de su entorno que pueden ser causadas por atacantes que se hacen pasar por un usuario con privilegios, interactuando con los archivos en masa o transfiriendo datos en masa.

 

¿Qué más debemos hacer en forma colectiva?

Al comienzo de la pandemia, la mayoría de los CISO se centraron en mantener la resiliencia y minimizar las alteraciones en la actividad comercial, mientras la mayor parte del personal pasaba a trabajar de forma remota. Este cambio al trabajo desde casa exacerbó aún más la situación debido al crecimiento del panorama de amenazas y la reducción de los controles normalmente presentes en el entorno de oficina tradicional. La superposición de la realidad actual y el panorama económico, de la salud y de la salud mental, lamentablemente creó una oportunidad para que los atacantes intensifiquen sus actividades y apunten a los trabajadores remotos que intentan encontrar el equilibrio entre las exigencias del trabajo y la vida sin que los distraigan y, por lo tanto, queden más susceptibles a los ataques.

Teniendo esto en cuenta hay algo que está claro: en la industria de la ciberseguridad, todos nos beneficiaremos de una discusión y una colaboración entre el sector público y el privado para encontrar un mejor camino a seguir. Ahora es el momento de trabajar juntos para poner en práctica un enfoque de ransomware que proteja a las organizaciones de manera tal que garantice que los atacantes no ganarán.

 

Fuente de información: https://www.forcepoint.com/es/blog/x-labs/pay-or-not-pay-ransomware?sf133369275=1