La colaboración entre grupos cibercriminales fortalece su posición y les brinda la capacidad de ejecutar ataques más amplios y poderosos
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
A estas alturas, está claro que pagar el rescate no necesariamente ayudará a las víctimas de ransomware a recuperar sus datos. Pagar tampoco garantiza que las víctimas estarán a salvo de ataques posteriores.
De acuerdo con la unidad de investigación de SILIKN, el 89% de las organizaciones mexicanas que fueron afectadas por ransomware en 2022 y que optaron por pagar un rescate terminaron sufriendo otro ataque. De igual forma, el 59% de estas víctimas sufrieron un nuevo ataque por el mismo grupo delictivo, mientras que en el 41% de los casos se trató de otro grupo cibercriminal. Este último dato refleja la forma en la que los grupos cibercriminales de ransomware están trabajando juntos para maximizar sus ganancias.
A veces, esta colaboración involucra a atacantes de ransomware que deciden formar equipos con otros grupos de ataque. Por ejemplo, en 2020 el grupo Maze publicó información y archivos de una firma de arquitectura internacional en su sitio de fuga de datos. Sin embargo, los datos no surgieron de uno de los ataques de Maze, sino que se originaron a partir de un incidente que involucró al grupo LockBit.
Una investigación posterior mostró que Maze había compartido su sitio web de fuga de datos, para recibir a cambio la experiencia de ataque de LockBit. Y lo mismo había estado haciendo con otros grupos delictivos, por lo que en otra ocasión Maze expuso la información de una víctima vulnerada por el grupo Ragnar Locker.
Una tendencia que estamos observando es que los grupos criminales también están integrando diferentes cepas de ransomware en un solo ataque, lo cual se conoce como la técnica de doble cifrado y que puede involucrar a dos bandas que comprometen a una víctima al mismo tiempo o a un solo equipo delictivo que implementa múltiples cepas de ransomware contra la víctima.
En este entorno, el doble cifrado puede adoptar una de dos formas. La primera, conocida como cifrado en capas, es una infección en la que los atacantes utilizan una cepa de ransomware para cifrar los datos de una víctima antes de utilizar otra carga útil de criptomalware para cifrarlos nuevamente. La segunda forma utiliza cifrado en paralelo, donde los atacantes aprovechan una cepa para cifrar algunos de los datos de la víctima y la otra cepa para cifrar la información restante.
En cuanto al doble cifrado, la recuperación se vuelve mucho más difícil cuando intervienen múltiples cepas de ransomware. En el caso del cifrado en paralelo, las víctimas necesitan saber qué sistemas sufrieron una infección y el tipo de ransomware para poder implementar el descifrador necesario. De lo contrario, no podrán recuperar sus datos con éxito. El cifrado por capas conlleva un desafío similar, sólo que en este caso las organizaciones necesitan saber qué descifrador implementar primero.
Un aspecto importante, es que la mejor defensa contra ransomware para las organizaciones es centrarse, en primer lugar, en prevenir una infección de ransomware. Las organizaciones necesitan visibilidad de los indicadores de comportamiento más sutiles que permiten la detección y prevención de un ataque de ransomware en las primeras etapas.
Prevenir un ataque de ransomware es fundamental para proteger los datos y sistemas. Algunas recomendaciones para reducir el riesgo de sufrir un ataque de ransomware, son:
Mantén tus sistemas actualizados: Asegúrate de que tu sistema operativo, software, y aplicaciones estén siempre actualizados con los últimos parches de seguridad. Los ciberdelincuentes a menudo aprovechan vulnerabilidades conocidas para infectar sistemas.
Utiliza software de seguridad confiable: Instala y actualiza regularmente un software antivirus y antimalware de confianza. Configura las herramientas de seguridad para que realicen exploraciones y actualizaciones automáticas.
Copia de seguridad de datos: Realiza copias de seguridad periódicas de tus datos importantes y almacénalas en un lugar seguro, fuera de la red. Las copias de seguridad son esenciales en caso de un ataque de ransomware, ya que te permiten restaurar tus datos sin tener que pagar un rescate.
Educa a los empleados: Capacita a tus empleados sobre las mejores prácticas de seguridad cibernética, como la identificación de correos electrónicos de phishing y la importancia de no hacer clic en enlaces o descargar archivos adjuntos sospechosos.
Implementa filtrado de correo electrónico y web: Utiliza soluciones de filtrado de correo electrónico y web para bloquear correos electrónicos y sitios web maliciosos conocidos. Esto puede ayudar a prevenir que los usuarios accedan a contenido peligroso.
Restringe los privilegios de acceso: Limita los privilegios de administrador a las cuentas que realmente los necesitan. Esto dificultará que los atacantes puedan propagar el ransomware lateralmente a través de tu red.
Usa una red virtual privada (VPN): Si es posible, implementa una VPN para que los empleados puedan acceder a la red de la empresa de forma segura desde ubicaciones remotas.
Control de acceso: Utiliza soluciones de control de acceso para garantizar que solo las personas autorizadas tengan acceso a ciertos sistemas y datos. La autenticación multifactor (MFA) es especialmente útil para proteger cuentas importantes.
Monitoreo y detección de amenazas: Implementa sistemas de monitoreo de seguridad y detección de amenazas que puedan alertarte sobre actividades sospechosas en tu red. La detección temprana puede ayudar a prevenir ataques antes de que causen un daño significativo.
Plan de respuesta a incidentes: Prepara un plan de respuesta a incidentes detallado que describa los pasos a seguir en caso de un ataque de ransomware. Esto incluye cómo aislar la infección, comunicarse con las autoridades y restaurar los sistemas desde las copias de seguridad.
Permanece alerta: Mantente al tanto de las últimas amenazas y tácticas utilizadas por los ciberdelincuentes. La educación continua es esencial para adaptarse a un entorno de seguridad en constante evolución.
Actualiza tus políticas de seguridad: Revisa y actualiza regularmente tus políticas de seguridad cibernética para garantizar que estén alineadas con las últimas amenazas y mejores prácticas.
Recuerda que la prevención es clave, pero también es importante estar preparado para la posibilidad de un ataque de ransomware. La combinación de medidas de seguridad sólidas y un plan de respuesta efectivo puede ayudarte a minimizar los daños en caso de un incidente.
Para más información, visita: https://www.silikn.com/
A estas alturas, está claro que pagar el rescate no necesariamente ayudará a las víctimas de ransomware a recuperar sus datos. Pagar tampoco garantiza que las víctimas estarán a salvo de ataques posteriores.
De acuerdo con la unidad de investigación de SILIKN, el 89% de las organizaciones mexicanas que fueron afectadas por ransomware en 2022 y que optaron por pagar un rescate terminaron sufriendo otro ataque. De igual forma, el 59% de estas víctimas sufrieron un nuevo ataque por el mismo grupo delictivo, mientras que en el 41% de los casos se trató de otro grupo cibercriminal. Este último dato refleja la forma en la que los grupos cibercriminales de ransomware están trabajando juntos para maximizar sus ganancias.
A veces, esta colaboración involucra a atacantes de ransomware que deciden formar equipos con otros grupos de ataque. Por ejemplo, en 2020 el grupo Maze publicó información y archivos de una firma de arquitectura internacional en su sitio de fuga de datos. Sin embargo, los datos no surgieron de uno de los ataques de Maze, sino que se originaron a partir de un incidente que involucró al grupo LockBit.
Una investigación posterior mostró que Maze había compartido su sitio web de fuga de datos, para recibir a cambio la experiencia de ataque de LockBit. Y lo mismo había estado haciendo con otros grupos delictivos, por lo que en otra ocasión Maze expuso la información de una víctima vulnerada por el grupo Ragnar Locker.
Una tendencia que estamos observando es que los grupos criminales también están integrando diferentes cepas de ransomware en un solo ataque, lo cual se conoce como la técnica de doble cifrado y que puede involucrar a dos bandas que comprometen a una víctima al mismo tiempo o a un solo equipo delictivo que implementa múltiples cepas de ransomware contra la víctima.
En este entorno, el doble cifrado puede adoptar una de dos formas. La primera, conocida como cifrado en capas, es una infección en la que los atacantes utilizan una cepa de ransomware para cifrar los datos de una víctima antes de utilizar otra carga útil de criptomalware para cifrarlos nuevamente. La segunda forma utiliza cifrado en paralelo, donde los atacantes aprovechan una cepa para cifrar algunos de los datos de la víctima y la otra cepa para cifrar la información restante.
En cuanto al doble cifrado, la recuperación se vuelve mucho más difícil cuando intervienen múltiples cepas de ransomware. En el caso del cifrado en paralelo, las víctimas necesitan saber qué sistemas sufrieron una infección y el tipo de ransomware para poder implementar el descifrador necesario. De lo contrario, no podrán recuperar sus datos con éxito. El cifrado por capas conlleva un desafío similar, sólo que en este caso las organizaciones necesitan saber qué descifrador implementar primero.
Un aspecto importante, es que la mejor defensa contra ransomware para las organizaciones es centrarse, en primer lugar, en prevenir una infección de ransomware. Las organizaciones necesitan visibilidad de los indicadores de comportamiento más sutiles que permiten la detección y prevención de un ataque de ransomware en las primeras etapas.
Prevenir un ataque de ransomware es fundamental para proteger los datos y sistemas. Algunas recomendaciones para reducir el riesgo de sufrir un ataque de ransomware, son:
Mantén tus sistemas actualizados: Asegúrate de que tu sistema operativo, software, y aplicaciones estén siempre actualizados con los últimos parches de seguridad. Los ciberdelincuentes a menudo aprovechan vulnerabilidades conocidas para infectar sistemas.
Utiliza software de seguridad confiable: Instala y actualiza regularmente un software antivirus y antimalware de confianza. Configura las herramientas de seguridad para que realicen exploraciones y actualizaciones automáticas.
Copia de seguridad de datos: Realiza copias de seguridad periódicas de tus datos importantes y almacénalas en un lugar seguro, fuera de la red. Las copias de seguridad son esenciales en caso de un ataque de ransomware, ya que te permiten restaurar tus datos sin tener que pagar un rescate.
Educa a los empleados: Capacita a tus empleados sobre las mejores prácticas de seguridad cibernética, como la identificación de correos electrónicos de phishing y la importancia de no hacer clic en enlaces o descargar archivos adjuntos sospechosos.
Implementa filtrado de correo electrónico y web: Utiliza soluciones de filtrado de correo electrónico y web para bloquear correos electrónicos y sitios web maliciosos conocidos. Esto puede ayudar a prevenir que los usuarios accedan a contenido peligroso.
Restringe los privilegios de acceso: Limita los privilegios de administrador a las cuentas que realmente los necesitan. Esto dificultará que los atacantes puedan propagar el ransomware lateralmente a través de tu red.
Usa una red virtual privada (VPN): Si es posible, implementa una VPN para que los empleados puedan acceder a la red de la empresa de forma segura desde ubicaciones remotas.
Control de acceso: Utiliza soluciones de control de acceso para garantizar que solo las personas autorizadas tengan acceso a ciertos sistemas y datos. La autenticación multifactor (MFA) es especialmente útil para proteger cuentas importantes.
Monitoreo y detección de amenazas: Implementa sistemas de monitoreo de seguridad y detección de amenazas que puedan alertarte sobre actividades sospechosas en tu red. La detección temprana puede ayudar a prevenir ataques antes de que causen un daño significativo.
Plan de respuesta a incidentes: Prepara un plan de respuesta a incidentes detallado que describa los pasos a seguir en caso de un ataque de ransomware. Esto incluye cómo aislar la infección, comunicarse con las autoridades y restaurar los sistemas desde las copias de seguridad.
Permanece alerta: Mantente al tanto de las últimas amenazas y tácticas utilizadas por los ciberdelincuentes. La educación continua es esencial para adaptarse a un entorno de seguridad en constante evolución.
Actualiza tus políticas de seguridad: Revisa y actualiza regularmente tus políticas de seguridad cibernética para garantizar que estén alineadas con las últimas amenazas y mejores prácticas.
Recuerda que la prevención es clave, pero también es importante estar preparado para la posibilidad de un ataque de ransomware. La combinación de medidas de seguridad sólidas y un plan de respuesta efectivo puede ayudarte a minimizar los daños en caso de un incidente.
Para más información, visita: https://www.silikn.com/