Normalizar el pago de los rescates a los cibercriminales, no protege a ninguna organización contra el ransomware




por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000

En la actualidad, el ransomware se está volviendo más exitoso que nunca debido a una combinación de factores y tácticas que permiten a los ciberdelincuentes acceder fácilmente a las redes corporativas. Además los cibercriminales están logrando sus objetivos porque una gran cantidad de organizaciones — que han sido víctimas de ataques — están dispuestas a pagar el rescate.

Es así que las condiciones que favorecen al cibercrimen se han juntado y han permitido que los ataques de ransomware se propaguen rápidamente contra organizaciones de todo el mundo. Y esta situación ha empeorado ya que se ha facilitado para los ciberdelincuentes adquirir y distribuir ransomware, así como la frecuencia de los pagos de ransomware por parte de las organizaciones afectadas.

Pero es la frecuencia con la que las víctimas de ransomware pagan rescates lo que, en el último de los casos, ha ayudado a alentar a los ciberdelincuentes a mantener esta línea de ataque y así normalizar cada vez más el acto de ceder a las demandas de rescate: pues cuantas más organizaciones paguen un rescate, más común y aceptable se vuelve la acción de pagar un rescate para resolver el problema.

Y con el auge del ransomware como servicio (RaaS), es relativamente sencillo que incluso los ciberdelincuentes con habilidades poco desarrolladas se involucren con el ransomware, pues los atacantes pagan una tarifa o una suscripción por ransomware preempaquetado, que luego pueden usar como parte de sus ataques.

Algunos de estos paquetes como servicio son relativamente pequeños, mientras que otros, como REvil, han dado como resultado ataques en los que las víctimas pagan cientos de miles de dólares, de los cuales los creadores del ransomware obtienen una parte de la ganancia obtenida.

Por lo anterior, — con el objetivo de ganar la mayor cantidad de dinero — muchos desarrolladores de ransomware publican sus ofertas en foros clandestinos con la finalidad de atraer a tantos usuarios como sea posible.

Además existe evidencia reciente que sugiere que los desarrolladores de ransomware están en campañas activas de reclutamiento de nuevos talentos para crear más paquetes que se puedan comercializar.

Los grupos de ransomware siempre están evolucionando y esto también ha contribuido al éxito de los ataques, pues si bien sus acciones ya estaban demostrando ser efectivas, atacantes — como los que se encuentran detrás de Maze, por ejemplo — agregaron armas para obligar a las víctimas a pagar, amenazando con filtrar los datos robados si no se paga el rescate.

El éxito de esta técnica conocida como “doble extorsión” ha sido adoptada por varios otros grupos de ransomware que la utilizan como un método adicional para obligar a las víctimas a pagar los rescates.

La variedad de formas en que los ciberdelincuentes pueden acceder a las redes, sistemas e infraestructuras corporativas también contribuye a la efectividad del ransomware. Los métodos como el phishing o los ataques de fuerza bruta que buscan descifrar contraseñas débiles en servicios de protocolo de escritorio remoto o el abuso de vulnerabilidades técnicas juegan un papel importante para permitir que los atacantes de ransomware obtengan acceso a las organizaciones.

Adicionalmente, algo que ha ayudado a los ciberdelincuentes a afianzarse en las redes de ataques de ransomware es el auge del trabajo remoto — provocado principalmente por la pandemia de COVID-19 — . Dado que los empleados trabajan desde casa y dependen del correo electrónico y los servicios remotos más que nunca, los ciberdelincuentes han explotado las vulnerabilidades relacionadas con la seguridad doméstica de los empleados remotos como un trampolín para instalar ransomware en los sistemas corporativos.

No obstante, se considera que los ataques de ransomware solo se detendrán si el dejan de ser rentables, y eso depende de que las organizaciones se vuelvan lo suficientemente seguras como para no ser víctimas de este tipo de ataques.

Las recomendaciones sobre la protección de las empresas incluyen aplicar el parcheo oportuno de las vulnerabilidades críticas y el uso de la autenticación de múltiples factores siempre que sea posible, todo esto junto con el refuerzo de la capacitación en concientización sobre phishing, para todos los empleados a todos los niveles.

Para más información, visite: https://www.silikn.com/