El Auge de la Exfiltración de Archivos: Cómo los Grupos de Ransomware Están Revolucionando la Extorsión Digital
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
De acuerdo con un análisis de la unidad de investigación de SILIKN, el uso de vulnerabilidades de día cero ha llevado a un aumento del 359.6% en el total de víctimas de ransomware entre el primer semestre de 2022 y el primer semestre de 2023,
Además de lo anterior, los hallazgos presentan que los grupos de ransomware se centran cada vez más en la exfiltración de archivos y la extracción o transferencia no autorizada de información confidencial, las cuales se han convertido en la principales fuentes de extorsión.
Además, las víctimas de múltiples ataques de ransomware tienen casi veinticinco veces más probabilidades de experimentar un segundo ataque dentro de los tres meses posteriores al primero.
Es un hecho, el ransomware sigue siendo una de las amenazas de ataque más grandes y peligrosas que enfrentan las organizaciones. En este sentido, los grupos de ransomware están cambiando sus técnicas de ataque de phishing a poner un mayor énfasis en el abuso de vulnerabilidades, que ha crecido considerablemente tanto en alcance como en sofisticación.
Los grupos también se han vuelto más agresivos en sus métodos de explotación de vulnerabilidades, como a través del desarrollo interno de ataques de día cero y programas de recompensas por errores (bug bounty).
También hay evidencia de una creciente disposición a pagar por la oportunidad de explotar vulnerabilidades, ya sea para pagar a otros delincuentes para encontrar vulnerabilidades que puedan usarse en ataques o para adquirir acceso a sus objetivos previstos a través de intermediarios de acceso inicial.
Aunque aprovechar las vulnerabilidades de día cero no es nuevo, es notable que los grupos de ransomware estén buscando o investigando vulnerabilidades y abusando de ellas a gran escala para comprometer a cientos o incluso miles de organizaciones.
Por ejemplo, el grupo cibercriminal de ransomware, CL0P, ha demostrado recientemente una actividad agresiva para lograr y desarrollar vulnerabilidades de día cero internamente, la cual ha sido una estrategia exitosa, ya que este grupo ha logrado multiplicar su número de víctimas en 12 meses.
Por su parte, otra pandilla de rannsomware, LockBit, domina el panorama de los ataques de ransomware con el 40.3% del total de víctimas y su éxito se debe a sus mejoras, incluida la introducción de técnicas novedosas en su última versión 3.0, como un programa de recompensas por errores y el uso de la criptomoneda Zcash como método de pago.
Además, para ejercer más presión sobre sus víctimas, los atacantes detrás de LockBit han comenzado a comunicarse con los clientes de las víctimas, informándoles sobre el incidente y empleando tácticas de triple extorsión con la inclusión de ataques distribuidos de denegación de servicio (DDoS).
De igual forma, los grupos de ransomware apuntan cada vez más a la exfiltración de archivos, la principal fuente de extorsión, como se vio con la reciente explotación de GoAnywhere y MOVEit. Los atacantes intentan maximizar su daño mientras minimizan y modernizan sus metodologías, empleando muchas tácticas de extorsión diferentes para intimidar a sus víctimas y así paguen las demandas de rescate.
Los atacantes están encontrando más éxito en la extorsión de robo de datos en lugar de simplemente encriptar los archivos de su objetivo previsto. Esto subraya el hecho de que las soluciones de copia de seguridad de archivos, aunque son efectivas contra el cifrado de archivos, ya no son una estrategia suficiente.
También es importante señalar que las organizaciones que ya han sido vulneradas enfrentan un mayor riesgo de un segundo ataque poco tiempo después. De hecho, las víctimas atacadas por múltiples grupos de ransomware tienen casi veinticinco veces más probabilidades de experimentar un ataque posterior dentro de los primeros cuatro meses después del incidente.
Mientras que una empresa víctima se distrae remediando el ataque inicial, otros grupos de ransomware aprovechan esta ventana de oportunidad y la vuelven a atacar.
Ahora, ser atacado una vez y pagar el rescate tampoco garantiza la seguridad de una organización, pues, más bien, esto aumenta la probabilidad de ser atacado nuevamente por el mismo o varios grupos. Si la organización víctima no ha cerrado las brechas en su perímetro o remediado las vulnerabilidades de las que abusaron los atacantes para violar sus redes la primera vez, es probable que se vuelvan a utilizar. Además, si la víctima elige cumplir con las demandas de rescate, entonces pueden ser vistos como objetivos potenciales por el mismo grupo u otros.
Los ataques de ransomware de hoy son multifacéticos e incluyen numerosas etapas y tácticas. Por lo tanto, la prevención y la mitigación del ransomware deben abarcar varios enfoques.
Para mitigar la amenaza del ransomware de manera efectiva, las organizaciones deben:
- Adoptar un enfoque de varias capas para abordar las amenazas en las diferentes etapas del ataque y en varios entornos de amenazas.
- Emplear el mapeo y la segmentación de la red para identificar y aislar los sistemas críticos y limitar el acceso a la red hacia y desde esos sistemas. Esto limita el movimiento lateral de cualquier malware en caso de que se produzca una infracción.
- Mantener todo el software, el firmware y los sistemas operativos actualizados con los parches de seguridad más recientes. Esto ayuda a mitigar las vulnerabilidades conocidas que puede explotar el ransomware.
- Resguardar copias de seguridad fuera de línea y establecer un plan efectivo de recuperación ante desastres. Esto garantiza la capacidad de restaurar operaciones rápidamente y minimizar el impacto de un incidente de ransomware.
- Desarrollar y probar regularmente un plan de respuesta a incidentes que describa los pasos a seguir en caso de un ataque de ransomware. Este plan debe incluir canales de comunicación claros, roles y responsabilidades, así como un proceso para involucrar a expertos en seguridad cibernética y aplicación de la ley.
- Realizar capacitaciones periódicas de concientización sobre seguridad cibernética para educar a los empleados sobre los ataques de phishing, la ingeniería social y otros vectores comunes utilizados por los actores de amenazas de ransomware, además de alentar a los empleados a reportar actividades sospechosas de inmediato. Esta capacitación debe extenderse a las políticas y procedimientos tanto para trabajar con proveedores que están físicamente en el sitio como para interactuar con los sistemas de la empresa de forma remota. También se debe exigir a todos los vendedores y proveedores que realicen esta capacitación antes de acceder a sitios o sistemas de la organización.
Para más información, visite: https://www.silikn.com/