Como resultado de este escenario, hoy estamos viendo que un mayor número de empresas son objetivo de varias técnicas de extorsión nuevas. ¿Cómo han evolucionado estos métodos en el Ransomware? Los grupos de Ransomware intentan elevar la presión sobre las víctimas para que paguen los rescates mediante el aumento de las interrupciones del servicio, y el daño a la reputación por la fuga de información. Al mismo tiempo, irónicamente algunos grupos también buscan crear confianza con sus víctimas, estableciendo un marco de “principios” a los que se adhieren, o proporcionando un conjunto de “garantías”, para aumentar las posibilidades de que se paguen los rescates. Hay una serie de tendencias que están marcando los ataques de Ransomware:
Tendencia 1: Ampliación de la interrupción del servicio
El principal impacto de un ataque de Ransomware siempre ha sido la interrupción de la operación de la empresa al “secuestrar” los computadores infectados. Cuando su red o una parte de ella es “rehén”, una organización se enfrenta a la presión de tener que aceptar las demandas de rescate con la esperanza de restaurar las operaciones. La buena noticia es que muchas empresas son ahora más eficaces para defenderse y recuperarse del Ransomware. Por desgracia, los ciberatacantes también están mejorando sus tácticas.
Un tipo de táctica son los ataques DDoS: una nueva tendencia es sumar ataques de denegación de servicio distribuidos (DDoS) al Ransomware y robo de datos. Para las organizaciones que ya sufren una interrupción del servicio debido al Ransomware, un ataque DDoS puede exacerbar la interrupción y complicar la mitigación. Esto es especialmente problemático para las empresas de sectores en los que cualquier tiempo de inactividad prolongado puede ser muy perjudicial, como los hospitales, la cadena logística y los servicios financieros. Para protegerse, las compañías deben establecer sólidas relaciones de trabajo con sus proveedores de servicios de Internet, al tiempo que preparan un enfoque coordinado de los ataques DDoS, integrando servicios de protección. Es necesario desplegar la tecnología adecuada para reconocer los signos de un ataque DDoS de forma temprana, así como preparar y probar manuales de respuesta a incidentes y planes de mitigación de este tipo de amenazas.
Tendencia 2: Aumento del daño a la reputación
Los atacantes de Ransomware son cada vez más eficaces a la hora de exponer al público los ataques que han tenido éxito para obtener el pago. Para presionar a las víctimas para que paguen, sobre todo a las que consiguen minimizar la interrupción del servicio, los grupos suelen amenazar primero con dañar la reputación de la víctima y, si no lo consiguen, empiezan a divulgar información sensible. Ya no solo se busca interrumpir la operación, sino que como un seguro adicional se roban datos para ser usados como otra moneda de cambio. Exponer públicamente la información puede llevar a la base de clientes de la víctima a creer que esta miente sobre el compromiso, que tiene una seguridad de red deficiente o que aún podría estar comprometida, todo lo cual puede conducir a un daño de reputación a largo plazo para la víctima.
Para enfrentar este tipo de ataques, las empresas deben implementar una buena gestión de crisis y, en particular dentro de esta, una estrategia de medios clara para transmitir la información sobre un incidente de ciberseguridad. Se debe ser prudente a la hora de hacer declaraciones, negando el alcance de cualquier ataque hasta que se conozcan todos los detalles, ya que los atacantes sacarán a la luz cualquier error de comunicación o falsedad.
Tendencia 3: Aumento de los costos de los ataques
El robo de datos y la exposición de los mismos están ahora firmemente en el centro del arsenal de las tácticas de extorsión de la mayoría de las bandas de Ransomware, lo que puede aumentar el costo del ataque. Los ciberdelincuentes están extorsionando con rescates más altos y obteniendo el pago rápido. A esto hay que añadir el costo personal de los individuos expuestos en la violación: los atacantes suelen buscar pólizas de seguros, datos de tarjetas de crédito, pasaportes, correos electrónicos personales y otros, para exponerlos en su sitio web.
Para enfrentar este tipo de ataques, las organizaciones deben incorporar políticas estrictas de manejo de la información personal identificable (PII) y asegurarse de que se almacenan los mínimos datos personales sensibles en las redes corporativas y, de tener que guardar este tipo de información, debe identificarse dónde se maneja y cuidarse apropiadamente. Tomar medidas para proteger las redes contra el robo de datos: mantener el software actualizado, realizar evaluaciones de riesgo periódicas, encriptar y hacer copias de seguridad de los datos, y formar al personal en las mejores prácticas.
Tendencia 4: Facilitar el pago del rescate para resolver una brecha
En marcado contraste con las tendencias anteriores, algunos atacantes intentan distinguirse como dignos de confianza, caritativos y con quienes es fácil hacer negocios, con el fin de fomentar la cooperación en el pago de rescates. Estas bandas agilizan el proceso de pago y descifrado y declaran públicamente su modelo de negocio “ético”, que supuestamente se traduce en una menor posibilidad de cobertura mediática, menos tiempo de inactividad y ninguna exposición de los datos.
El debate sobre el pago de rescates es complicado. No existe una solución única y taxativa de qué acción debe realizarse. Las víctimas de Ransomware deben sopesar los pros y los contras del pago del rescate con la presión de resolver rápidamente la interrupción de la red. A pesar de tratar de aparentar principios, los atacantes no siempre son fieles a su palabra. Las bandas de Ransomware han dicho que no atacarán hospitales, pero luego han atacado a un hospital. Han prometido borrar los datos robados que posteriormente han aparecido en foros de la web oscura.
En este contexto, es clave contar con una estrategia clara para reducir el impacto de estas técnicas de extorsión si se produce un ataque. Esto incluye no solo ser brillante en lo básico, sino que tener manuales completos y conocidos por la organización de respuesta a incidentes, planes de continuidad del negocio y de recuperación de desastres, y la implementación de una estrategia de medios clara.
