Cuando el ransomware ataca por la noche, ¿cómo puede su organización mantenerse segura?
Tabla de contenido:
El ransomware es el tema de ciberseguridad de la última década. Pero durante ese tiempo, las tácticas, técnicas y procedimientos (TTP) de los adversarios han seguido cambiando de acuerdo con la constante evolución de la carrera armamentista entre atacantes y defensores de la red. Con un número históricamente bajo de empresas víctimas que optan por pagar a sus extorsionadores, los afiliados del ransomware se están centrando en la velocidad, el momento oportuno y el camuflaje.
La pregunta es: dado que la mayoría de los ataques se producen ahora durante los fines de semana y a primera hora de la mañana, ¿los defensores de la red siguen teniendo las herramientas y los procesos adecuados para mitigar la amenaza? Las organizaciones de servicios financieros, en particular, necesitarán una respuesta urgente a estas preguntas antes de cumplir con la normativa de la UE. Ley de Resiliencia Operacional Digital (DORA).
De fuerza a fuerza
Según una medida, el ransomware sigue prosperando. Este año se prevé que sea el de mayores ingresos de la historia, según un análisis de los pagos con criptomonedas a direcciones vinculadas a la delincuencia. Según un informe de agosto de un investigador de blockchain Cadena de análisisEn lo que va de año, las “entradas” de ransomware ascienden a 460 millones de dólares, un 2% más que en el mismo período del año pasado (449 millones de dólares). La empresa afirma que este aumento se debe en gran medida a la “cacería de presas grandes”, la táctica de perseguir a menos víctimas corporativas grandes que pueden ser más capaces y estar dispuestas a pagar rescates más grandes. La teoría se ve confirmada por un pago de 75 millones de dólares realizado por una empresa anónima al grupo de ransomware Dark Angels a principios de este año, el más grande jamás registrado.
En general, el pago medio de rescates por las cepas de ransomware más comunes también ha aumentado: de poco menos de 200,000 dólares a principios de 2023 a 1.5 millones de dólares a mediados de junio de 2024. Chainalysis afirma que esto sugiere "que estas cepas están priorizando el ataque a empresas más grandes y proveedores de infraestructura crítica que pueden tener más probabilidades de pagar rescates elevados debido a sus bolsillos profundos y su importancia sistémica".
La aparente fortaleza del ecosistema del ransomware es más impresionante si tenemos en cuenta las victorias de las fuerzas del orden a principios de este año, que parecieron desbaratar a dos grupos importantes: LockBit y ALPHV/BlackCat. Chainalysis afirma que estos esfuerzos han fragmentado un poco el cibercrimen clandestino, y que los afiliados han pasado a “cepas menos eficaces” o han lanzado las suyas propias. Esto coincide con un análisis del segundo trimestre de 2 realizado por el especialista en ransomware Coveware, que reclama Se ha observado un aumento en el número de grupos de “lobos solitarios” que no están afiliados a ninguna “marca” importante de ransomware. Muchos han tomado esta decisión “debido a la creciente amenaza de exposición, interrupción y pérdida de ganancias asociada con las marcas de ransomware “tóxicas”, dice.
Sin embargo, la conclusión es que estos actores de amenazas siguen activos y, como las tasas de pago han disminuido desde un máximo de alrededor del 85 % de las víctimas en 2019 a aproximadamente un tercio de esa cifra en la actualidad, siempre están buscando formas de hacer que sus esfuerzos sean más efectivos.
El tiempo lo es todo
Un nuevo informe El grupo ThreatDown de Malwarebytes revela exactamente cómo esperan hacerlo. Afirma que, durante el año pasado, más grupos de ransomware atacaron a las víctimas los fines de semana y en las primeras horas de la mañana. El equipo de amenazas se ocupó de la mayoría de los ataques entre la 1 y las 5 de la mañana, hora local.
La razón es obvia: los actores de amenazas esperan atrapar a una organización cuando su equipo de TI está durmiendo profundamente o recargando sus baterías durante el fin de semana.
Además, el informe afirma que los ataques son cada vez más rápidos. En 2022, un Estudio de Splunk Probaron 10 de las principales variantes de ransomware y descubrieron que la velocidad media para cifrar 100,000 archivos era de solo 43 minutos, siendo LockBit el más rápido de todos, con solo cuatro minutos. Pero lo que Malwarebytes está viendo es una aceleración de toda la cadena de ataque, desde el acceso inicial hasta el movimiento lateral, la exfiltración de datos y, finalmente, el cifrado. Eso da a los defensores de la red, con los ojos vidriosos, aún menos tiempo para responder y contener una amenaza antes de que sea demasiado tarde.
El informe también afirma que más actores maliciosos utilizan técnicas Living Off the Land (LOTL), que utilizan herramientas y procesos legítimos para permanecer ocultos dentro de las redes mientras logran estos fines. “Los incidentes recientes con clientes de las principales bandas como LockBit, Akira y Medusa revelan que la mayor parte de la cadena de ataques de ransomware moderna ahora está compuesta por técnicas LOTL”, dice.
Cómo mitigar el riesgo de ransomware en 2024
Los ataques de caza mayor pueden acaparar la mayoría de los titulares, pero la verdad es que la mayoría de las víctimas de ransomware son, técnicamente, pymes. Coveware afirma que el tamaño medio en el segundo trimestre de 2 era de solo 2024 empleados. Entonces, ¿cómo pueden estas organizaciones esperar defenderse de los ataques sigilosos durante la noche y los fines de semana?
“La única solución es garantizar que esos activos sean monitoreados con la misma diligencia a la 1 a. m. que a la 1 p. m.”, le dice el investigador senior de inteligencia de amenazas de Malwarebytes, Mark Stockley, a ISMS.online.
“Eso se puede lograr mediante la dotación de personal de un Centro de Operaciones de Seguridad (SOC) interno que funcione las 24 horas del día, los 7 días de la semana. Pero para la mayoría de las organizaciones, es más práctico y rentable utilizar un servicio de terceros, como Managed Detection and Response (MDR), o contratar a un Proveedor de Servicios Gestionados (MSP) para que lo haga”.
A medida que se acerca la era DORA, estas medidas serán cada vez más necesarias para las organizaciones de servicios financieros y sus proveedores. Se requerirá un monitoreo continuo, una preparación para la respuesta a incidentes las 24 horas del día, los 7 días de la semana, una sólida planificación de la continuidad del negocio y pruebas periódicas para convencer a los reguladores de que la resiliencia se encuentra en un nivel adecuado.
Stockley cree que los estándares y marcos de mejores prácticas como ISO 27001 pueden ayudar a que las organizaciones lleguen a este punto.
“Como cualquier norma o marco de trabajo, la ISO 27001 es un medio para un fin. Las organizaciones pueden alcanzar el nivel de seguridad de la información que necesitan sin ella, pero las normas y los marcos de trabajo pueden actuar como mapas útiles para ayudarlas a lograrlo y mantenerse allí”, añade. “La elección correcta del marco de trabajo depende del nivel de madurez de la seguridad de la organización. En última instancia, a los ciberdelincuentes no les importa qué certificaciones tenga una organización; solo les importa si los detienen”.
