Aún cuando el BEC o fraude de correo corporativo comprometido es el crimen más costoso (791.790 casos reportados el último año con pérdidas por US$4.100 millones en EEUU), el Ransomware crece a pasos agigantados y quiere quedarse con la “corona”, siendo una de las amenazas que más ha aumentado en el último año. Según informes de Help Net Security y Deep Instinct Research, se estima que existen más de 120 familias distintas y los ataques utilizando estas herramientas aumentaron entre un 350% a un 450% durante el año pasado.
Se trata de un tipo de software malicioso o malware, que impide al usuario acceder a los archivos, sistemas o redes de un computador y exige que se pague un rescate por su devolución. Este rescate generalmente es cobrado en monedas electrónicas, como el Bitcoin, y pueden ser ataques focalizados, con rescates que superan los US$10 mil, o masivos, de menor costo para la víctima.
Hoy, cada 14 segundos, una compañía es atacada por Ransomware. Las incidencias han crecido 57 veces en 6 años, alcanzando un costo estimado para las empresas de US$20.000 millones a nivel global (estudio KnowBe4). Un ataque por Ransomware puede afectar los datos en servidores, los respaldos en la misma red o las estaciones de trabajo, encriptando todos los datos y provocando una pérdida de la información.
Ante este contexto, vale la pena recordar que más de un 80% de las brechas de seguridad se podrían haber evitado aplicando un parche a una vulnerabilidad conocida. Obviando lo anterior, surgen nuevas tecnologías que ayudan a proteger nuestra información, entre las cuales destacan:
• Plataformas de capacitación en seguridad para colaboradores:
Las personas afectan directamente los resultados de seguridad, más que la tecnología, las políticas o los procesos. La conciencia de los individuos sobre las posibles brechas en estos aspectos, se relaciona directamente con su comportamiento cuando son desafiados por un atacante externo.
• XDR, Extended Detection and Response:
Básicamente son herramientas que están diseñadas para ayudar a los equipos de seguridad a identificar amenazas sofisticadas y mejorar la velocidad de detección y respuesta, así como a investigar las posibles intrusiones de forma más eficaz y eficiente. XDR se desarrolló como una alternativa a las soluciones puntuales que se limitaban a una sola capa de protección o solo podían realizar la correlación de eventos sin respuesta. Es la evolución de soluciones como la detección de puntos finales (EDR) y el análisis de tráfico de red (NTA).
• SOAR, Security Orchestation, Automation and Response Platforms:
Son soluciones que agregan asistencia a los operadores de seguridad humana, tomando entradas de diversas fuentes y aplicando flujos de trabajo alineados a los procesos. Luego, esos procedimientos pueden ser orquestados, a través de integraciones con otras tecnologías. Asimismo, SOAR ayuda a que los equipos de seguridad agreguen automatización mediante la creación de playbooks predefinidos.
En este contexto, las compañías están cambiando la mirada para organizar y operar los equipos de ciberdefensa, buscando llegar a una visibilidad más amplia y a mejores capacidades de detección y repuestas ante ataques. Así es como algunas están adaptando nuevas tácticas basadas en cacerías continuas de amenazas. Los equipos SOC son reemplazados por cazadores, los cuales a través del procesamiento de grandes cantidades de “logs” y utilizando técnicas avanzadas, buscan intrusiones que vulneren la seguridad de la empresa.
• SOCLess:
Esta estrategia ha sido la protagonista desde hace un par de años. Básicamente, los equipos de ciberseguridad se organizan en forma de células ágiles, con un enfoque más proactivo para que el tiempo y los recursos no se desperdicien con alertas falsas y para garantizar que la respuesta resultante sea la correcta. Este enfoque ayuda a reducir la pérdida de horas investigando falsas alarmas y practicando la estrategia de “disparar primero y hacer preguntas después”. Así la interrupción de ataques significa que las alertas tienen muchas probabilidades de ser reales, por lo que de esta forma se pueden detener más rápido, antes de que se produzca un daño.
• Zero Trust:
Es una iniciativa estratégica que ayuda a prevenir brechas de información al eliminar el concepto de confianza en la arquitectura de red de una organización. Básicamente, se trata de no confiar en nadie hasta que se pruebe lo contrario. Es un concepto que lleva años en el ámbito de la ciberseguridad, pero la difusión del perímetro ha tomado más relevancia.
• SASE, Secure Access Service Edge:
Es una arquitectura de red que combina capacidades WAN con funciones de seguridad nativas de la nube, como puertas de enlace web seguras, agentes de seguridad de acceso a la nube, firewalls y conexión a la red de confianza cero.
Una versión 2.0
Desde 2019, hemos podido ver una evolución en el Ransomware. Ese año enfrentamos al Ransomware 2.0, el que no solo captura datos y los hace inaccesibles para sus usuarios, sino que también destruye respaldos, roba credenciales, expone a las víctimas públicamente, filtra información robada y amenaza a los clientes de las víctimas.
Este es el caso de las cepas Ragnar Locker y Egregor. El primero fue detectado el año 2019 y conocido recién en 2020. El segundo es más reciente y fue detectado por primera vez en 2020 (datos de la empresa Kepler). ¿Pero cómo ha podido crecer este tipo de ataques a tal velocidad? El secreto está en su modelo de negocio. Como cualquier emprendimiento digital, este ha tenido un crecimiento exponencial al lograr focalizar a los expertos, grandes mentes criminales, en la creación de software que permite distribuir y utilizar un malware, que es puesto en venta por menos de US$100 en lo más oscuro de Internet, la Dark Web.
Una vez que todos esos inexpertos, pero neófitos seudohackers, adquirieron estos software maliciosos, otro desarrollador tuvo la brillante idea de comercializar no solo el código, sino también todo el ambiente necesario para distribuir y ejecutar el ataque. Esto lo conocemos hoy como RaaS o Ransomware as a Service.
Ya llegó a Chile
Así como existen plataformas de software en las cuales no necesitamos saber de programación o códigos, y basta con solo pagar e inscribirse, estos criminales ya han desarrollado plataformas con cobros mensuales por su utilización, modelos de pago único e incluso con revenue sharing, que distribuyen diferentes versiones de Ransomware, incluyendo la plataforma de correos para desplegarlas y los mensajes para cobrar el rescate.
Estos kits de RaaS permiten que los actores malintencionados que carecen de la habilidad o el tiempo para desarrollar sus propias variantes de Ransomware, logren lanzar los ataques de forma rápida y asequible. Son fáciles de encontrar en la Dark Web, donde se promocionan como veríamos la suscripción a un CRM o ERP en la Internet abierta.
Este modelo delincuencial de negocio ya llegó a Latam y específicamente a Chile, donde hemos visto cómo cepas de Ransomware en modelo RaaS, como Sodinokibi (REvil), fueron identificadas en las máquinas de una institución financiera; el mismo RaaS que es distribuido por el grupo criminal “Pinchy Spider”, que lo comercializa en modo afiliado con un revenue sharing del 40% y se jacta de haber recaudado más de US$10MM en 2020. Otro ejemplo de RaaS que hemos visto en la Región es LockBit, de origen presumiblemente ruso, que es capaz de solicitar un rescate para poder volver a tener acceso a la data y entrega una imagen con datos parcialmente desencriptados como prueba de que pueden devolverlos posteriormente al pago (ataques identificados el año 2020 por Kepler).
Recuperarse de un ataque de Ransomware tradicional o RaaS es sumamente costoso, por lo que siempre es conveniente preparar antes al personal, la infraestructura crítica, y las redes y computadores para hacer frente a esta amenaza.
Medidas básicas para evitar ser víctimas de un RaaS
• Realizar una evaluación de vulnerabilidades a través de una empresa profesional.
• Identificar los datos valiosos de la organización o los activos digitales necesarios para asegurar una continuidad operativa.
• Proteger estos activos.
• Implementar los controles necesarios para detectar cualquier anomalía que suponga un ataque.
• Contar con efectivos métodos para reponerse de un ataque.
• Mantener los software actualizados.
Pero lo más importante es tomar conciencia como organización del valor de los datos y los sistemas, y poder identificar conductas peligrosas y evitarlas. Tener claridad con respecto a lo que debe hacer y a quién se debe informar cualquier sospecha de ataque malicioso. La concientización en ciberseguridad es una tarea básica para frenar la escalada de crímenes digitales existentes hoy. Más que nunca es válido el dicho: “La cadena se corta en el eslabón más débil”.
Con el tiempo se verá cómo los ataques de cibercriminales se harán más costosos para las organizaciones, demorarán más tiempo en detectarlos, más tiempo en mitigarlos y se harán cada vez más comunes. Como dijo Robert S. Mueller, Director del FBI, el año 2012, existen solo dos tipos de empresas, las que han sido hackeadas y las que lo serán. Pues hoy, podemos decir que más bien existen solo dos tipos de compañías, las que han sido hackeadas y las que no saben que han sido hackeadas. Pero no todo está perdido, muy por el contrario, preparar a la organización para un ataque, con defensas por capas, como sería la defensa de un “castillo”, con grandes puertas, amurallado, una fosa con agua alrededor y arqueros en los muros, demuestra cómo siempre hemos sido capaces de defender lo que es nuestro.
Se deben llevar estas prácticas al mundo digital, que nos ofrece ventajas y eficiencia, comunicación instantánea y capacidad de cálculo infinita, pero incluyamos dentro del costo no solo los fierros y aplicativos, también la inversión en seguridad que conlleva esta modernización, desincentivando así la proliferación de hackers de fin de semana potenciados por herramientas cibernéticas.
Presionemos a nuestros políticos para que el crimen digital sea perseguido con la misma rigurosidad que el crimen físico, con leyes simples, pero claras y derechos exigibles para las personas con respecto al cuidado de su información entregada a terceros.
