El ransomware, los ataques Business Email Compromise (BEC) y las pérdidas de datos tienen en común más de lo que parece.
Podemos afirmar que el ransomware ha superado la fase epidémica y se ha convertido en un mal endémico. Ahora tiene más impacto que nunca en nuestra vida diaria y ninguna organización es inmune a él. El informe State of the Phish 2022 de Proofpoint descubrió que el 68 % de las organizaciones a escala mundial sufrieron al menos una infección de ransomware como resultado de la carga maliciosa de un mensaje de correo electrónico directo, de la distribución del malware posterior o de otro tipo de compromiso. Si utiliza Internet, es una víctima potencial de ransomware.
Así como la red de víctimas potenciales del ransomware ha crecido, también se han ampliado los modelos de negocio de los ciberdelincuentes. Las técnicas de doble e incluso triple extorsión están muy extendidas actualmente. La posibilidad de filtrar grandes cantidades de datos confidenciales y mantener el acceso persistente permite a los atacantes incrementar el importe de rescate exigido y sumar nuevos tipos de demandas.
Muchos grupos de ransomware, temiendo ser acusados e imputados por un delito, han abandonado de manera definitiva el malware de bloqueo (o locker). Ahora se dedican a robar ingentes cantidades de datos y piden un precio por su venta y su destrucción (lo que inquieta particularmente a las víctimas).
Aunque los modelos de negocio evolucionen, los objetivos de los ciberdelincuentes son los mismos: conseguir acceso ilícito a su entorno. Cuando se deja de utilizar malware locker para primar el robo de datos, sigue habiendo extorsión. Del mismo modo, cuando los autores de ataques BEC abandonan las estafas relacionadas con nóminas e impuestos y abrazan el ciberfraude financiero entre empresas (B2B) siguen en la categoría de ataques BEC. En particular, el autor de un ataque BEC que busca una factura pendiente y un grupo de ransomware (o quizás debamos decir “de ciberextosión”) que intenta robar datos utilizarán en muchos casos las mismas técnicas, con independencia de la estrategia empleada para rentabilizar el ataque.
Hace años que se utilizan las mismas herramientas y técnicas: vulneración de credenciales, suplantación de identidad, malware activado por el usuario, robo de datos, etc. Independientemente de cómo evolucione el panorama de las amenazas, es evidente que no es ideal considerar de manera independiente las principales categorías de riesgos (ransomware, extorsión, BEC y pérdida de datos). Dicho de otro modo, al complicar para un adversario el empleo de estas herramientas y técnicas, se obstaculizan también las acciones de otros tipos de atacantes.
El mismo perro, distinto collar
Ransomware como robo de datos
Prácticamente la totalidad de los incidentes de ransomware implican robo de datos, lo que lo convierte en la forma predominante de extorsión. Muchos grupos de ransomware se centran ahora exclusivamente en el robo de datos y no cifran ni intentan destruir ninguna información, lo que hace que sea un método de ataque increíblemente problemático. Si los datos están fuera de su perímetro de defensa, no hay garantía de que podrá recuperarlos. E incluso si lo consigue, es probable que los ciberdelincuentes ya los hayan vendido, divulgado o utilizado contra su organización de alguna otra forma, lo que añade presión a la decisión de pagar el rescate.
Además, cada vez es más frecuente que las organizaciones decidan no pagar, aunque lógicamente esto tiene consecuencias evidentes. Por otra parte, si hay menos organizaciones que pagan el rescate, los ciberdelincuentes buscarán otras formas de rentabilizar los ataques. Las ciberaseguradoras tienden ahora a rechazar la cobertura de los ataques de ransomware.
Por ese motivo, la mayoría de los ciberdelincuentes siguen el mismo patrón: roban muchos datos y los venden en la web oscura mientras exigen el pago de un rescate por no hacer pública la fuga de datos.
A corto plazo, la mejor defensa es detectar un ataque potencial mientras ocurre y evitar que se produzca la filtración de datos.
Destacados ciberdelincuentes emplean tácticas de doble o triple extorsión
- Las herramientas BlackCat/ALPHV pueden corromper o destruir archivos filtrados, con lo cual, solo los atacantes están en posesión de una copia válida de los datos.
- Black Basta emplea la doble extorsión; cifra datos confidenciales y amenaza con filtrarlos si no se satisfacen sus exigencias.
- LockBit usa técnicas de triple extorsión para presionar más a las víctimas y conseguir que paguen un rescate.
- BlackByte utiliza técnicas de extorsión en la web oscura para conseguir que las víctimas paguen para que sus datos sean eliminados o para que otros ciberdelincuentes los compren.
- Yanluowang (asociado con LAPSUS$) atacó una cuenta de red privada virtual (VPN) de un empleado y declaró haber robado 55 GB de datos.
Ransomware y BEC
Los autores de ataques BEC y de ransomware se han considerado tradicionalmente como dos grupos diferentes. Sin embargo, al hacerlo, nos arriesgamos a complicar aún más un panorama de amenazas que ya es complejo de por sí.
Si bien es cierto que algunos grupos tienen especialidades, competencias e infraestructuras atribuidas a una de estas dos modalidades de ataque, en general, las técnicas básicas que utilizan unos y otros son las mismas.
Por eso, aunque los autores de ataques de ransomware y de estafas BEC presenten características ligeramente diferentes, desde el punto de vista de la defensa, tienen mucho en común.
En la mayoría de los casos, estos tipos de ciberdelincuentes obtienen o compran el acceso inicial a un entorno mediante distintos métodos:
- Phishing por correo electrónico
- Protocolo RDP, que permite a los atacantes tomar el control de un ordenador a distancia
- Malware para robar tokens de autenticación, cookies y credenciales
Los responsables de ataques de ransomware y estafas BEC emplean con frecuencia el secuestro de hilos de discusión para inmiscuirse en conversaciones legítimas.
Sea cual sea la táctica empleada, el hecho de que existan tantas coincidencias ofrece a las organizaciones una ventaja enorme al diseñar una estrategia de defensa.
En última instancia, se trata de intentar evitar las mismas actividades, con independencia de cómo rentabilice el ciberdelincuente el ataque.
Una vez que esto está claro, la protección frente a amenazas y la protección de la información dejan de ser dos retos distintos con grupos de controles específicos. Si nos replanteamos nuestras defensas, seremos mucho más eficaces en la detección y detención de las mayores amenazas para la ciberseguridad: los ataques BEC, el ransomware y el robo de datos.
Creación de una defensa contra todo tipo de ataque
Las soluciones tradicionales de prevención de amenazas y pérdida de datos no funcionan contra los casos de ataque actuales en los que los ciberdelincuentes vulneran las cuentas para robar los datos. Las herramientas que buscan indicadores de compromiso utilizando reglas de clasificación de datos ya no cumplen su objetivo si se utilizan solas.
Los equipos de seguridad deben buscar los indicios de detección que encajan en el comportamiento actual de los atacantes. Por ejemplo, si se identifican varios inicios de sesión con la misma cookie, esto puede ser indicio de que hay un atacante que está empleando credenciales comprometidas. Si se observa en el endpoint de ese mismo usuario la instalación de una herramienta de compresión de archivos inusual, como 7zip o WinRAR, la creación de un archivo multiparte gigante o la transmisión de una gran cantidad de datos a los sitios para compartir archivos en la nube que suelen usar los atacantes (como Mega), ya podemos decir sin miedo a equivocarnos que ha llegado el momento de implementar la respuesta a incidentes.
Los operadores de ransomware en la actualidad son oportunistas. Sea cual sea su motivación, siempre buscarán organizaciones con controles de seguridad débiles y emplearán técnicas que funcionan sistemáticamente. Intentarán localizar dispositivos VPN vulnerables conectados a Internet, un puerto RDP abierto o a los usuarios que harán clic en un enlace o descargarán un archivo adjunto de un mensaje de phishing. Y saben que esto último es de largo lo más fácil de encontrar.
Por eso, la defensa contra el ransomware, la extorsión de datos y los ataques BEC, todas ellas amenazas que emplean las mismas técnicas de compromiso de credenciales, suplantación de identidad, malware activado por el usuario y robo datos, depende sobre todo de las personas. Las cargas maliciosas casi siempre se transmiten mediante el uso de ingeniería social y la interacción humana es imprescindible para que estos ataques consigan su objetivo. Cuando protege a su personal, refuerza la ciberresiliencia y reduce las posibilidades de que numerosos ciberataques tengan éxito.
Si los ciberdelincuentes no consiguen acceder a su organización, no pueden cifrar archivos, robar datos e interrumpir la actividad empresarial. Por lo tanto, en la ciberseguridad no hay fórmula mágica, lo más cercano es equipar y proteger a su personal evitando las amenazas y defendiendo sus datos.
Protección contra el ransomware con Proofpoint
Nuestras plataformas integradas reducen el riesgo de ataques de ransomware superponiendo controles para impedir el acceso inicial y defender contra la pérdida de datos.
Infórmese sobre cómo Proofpoint protege frente al ransomware.
Descubra New Perimeters: Proteger a las personas. Defender los datos.
¿Quiere leer otros artículos como este? Infórmese sobre las novedades en materia de ciberseguridad con nuestra exclusiva revista, New Perimeters. Puede ver esta publicación online, descargarla para leerla más tarde o recibir una copia impresa directamente en su domicilio.
Descargue una copia gratuita de New Perimeters, la exclusiva revista de Proofpoint, aquí.