Asesoría del Departamento del Tesoro destaca en …



Dado que los ataques no muestran signos de disminuir, algunas empresas han comenzado a ofrecer servicios para ayudar a reducir las demandas de rescate, ganar más tiempo y organizar pagos.

La industria emergente de negociadores de ransomware se ha convertido en el centro de atención recientemente luego de un aviso del Departamento del Tesoro de los EE. UU. Para las empresas que facilitan el pago de rescates a los actores de amenazas en nombre de las víctimas.

El aviso, de la Oficina de Regulate de Activos Extranjeros (OFAC) del departamento, advirtió sobre posibles problemas regulatorios que tales organizaciones podrían enfrentar si los pagos de rescate terminaran en manos de adversarios en la Lista de Personas Bloqueadas y Nacionales Especialmente Designadas (SDN) de la OFAC. Las personas y entidades estadounidenses tienen prohibido realizar transacciones con cualquier persona en la lista SDN o con cualquier individuo u organización de países que la OFAC ha sancionado oficialmente, como Corea del Norte, Irán, Ucrania y Siria.

Asesoramiento de OFAC no introdujo ninguna limitación nueva específica para las organizaciones dispuestas a pagar un rescate a los actores de amenazas para recuperar el acceso a sus datos después de un ataque de ransomware. En su mayoría, recordó a las organizaciones las posibles violaciones de la política estadounidense existente que desencadenarían si ellos, o cualquier persona que actuara en su nombre, hicieran el pago a personas o entidades en la lista de sanciones de la OFAC. La OFAC tiene actualmente numerosos actores de amenazas en su lista de sanciones relacionadas con la cibernética, incluidos los operadores de ransomware como el grupo Lazarus de Corea del Norte y los que están detrás de las campañas SamSam, Dridex y CryptoLocker.

La guía de la OFAC ha centrado la atención en las empresas que ofrecen servicios de negociación de ransomware a organizaciones empresariales. En los últimos dos años, algunas de estas empresas han surgido con servicios diseñados para ayudar a las víctimas de ransomware a comunicarse profesionalmente y a negociar un resultado mutuamente aceptable con sus atacantes.

Firma de inteligencia de amenazas GroupSense es un ejemplo reciente. A principios de este mes, la compañía presentó un nuevo servicio que, según dice, puede ayudar a las víctimas de ransomware a resolver una serie de problemas después de un ataque. Según GroupSense, puede ayudar a las organizaciones a evaluar y confirmar ataques, negociar con los actores de amenazas para reducir las demandas de rescate, administrar los pagos de criptomonedas, organizar la destrucción de los datos robados y realizar otras actividades posteriores a la transacción.

Empresa de respuesta a incidentes de ransomware Coveware ofrece un menú related de servicios de negociación de ransomware. Al igual que GroupSense, la compañía afirma que puede ayudar a las víctimas de ransomware a comunicarse con sus atacantes y negociar pagos de rescate más bajos si es necesario. Como parte de sus servicios retenidos, Coveware adquiere y paga criptomonedas a los atacantes en nombre de las víctimas y les ayuda a descifrar y recuperar datos.

Un puñado de otras empresas, en su mayoría pequeñas, como CyberSecOp, Arete Advisors LLCy Aviso de Géminis – Promocionar también los servicios de negociación de ransomware. los Wall Street Journal Recientemente describió a Arete como ayudando a la ciudad de Florence, Alabama, a negociar un pago de rescate reducido después de un ataque de junio de 2020.

El FBI y muchos otros expertos en seguridad han aconsejado a las organizaciones que no accedan a intentos de extorsión cibernética, advirtiendo que la práctica solo fomenta más ataques. En su aviso, la OFAC advirtió sobre los pagos a los actores en su lista SDN que en realidad representan una amenaza para la seguridad nacional.

A pesar de estas advertencias y la posible exposición a responsabilidades, muchas empresas continúan pagando a sus atacantes en lugar de arriesgarse a un tiempo de inactividad operativo y pérdida de datos después de un ataque exitoso de ransomware. Un estudio de 5,000 profesionales de TI que Vanson Bourne realizó en nombre de Sophos Entre enero y febrero de 2020 se descubrió que el 26% de las empresas que fueron víctimas de un ataque de ransomware el año pasado pagaron un rescate para recuperar sus datos. El cincuenta y seis por ciento restauró datos cifrados a través de copias de seguridad, y el 12% de los encuestados en el estudio describió el uso de otros medios para recuperar los datos.

Demanda creciente
Moty Cristal, director ejecutivo de NEST Consulting, una empresa con sede en Israel que ofrece servicios de negociación de ransomware, dice que la demanda ha aumentado en los últimos dos años. Muchos de sus compromisos son con víctimas de ataques altamente selectivos que involucran demandas de rescate que van desde los altos cientos de miles de dólares hasta varios millones de dólares. En algunos casos, Cristal y su pequeño equipo trabajan directamente con la víctima. En otros casos, la empresa se incorpora como parte de un equipo más grande de personal de respuesta a incidentes.

La tarea en sí puede incluir todo, desde comprender el alcance y el propósito del ataque hasta ganar tiempo para la víctima, mejorar el trato final y asegurar la clave de descifrado. Además de comunicarse con los atacantes, Cristal dice que a veces lo llaman para hablar con miembros de la junta u otros altos ejecutivos de la organización víctima durante el proceso de negociación.

«Soy un actor clave en un esfuerzo mucho mayor para gestionar una cibercrisis», dice Cristal. El éxito en estos roles se puede medir de varias maneras, incluido el tiempo de inactividad minimizado, el daño minimizado, la seguridad de las relaciones entre las partes interesadas clave de la empresa, la garantía de la continuidad del negocio y la reputación de la marca. «Si el jefe del equipo de respuesta a incidentes me dice &#39necesito que me compres seis días&#39 y yo le compro una semana u ocho días, he contribuido drásticamente» al esfuerzo de gestión de disaster, dice Cristal.

Según Cristal, las advertencias contenidas en el aviso de la OFAC no se aplican a sus servicios. «Mi papel como negociador es recopilar información para ayudar al equipo de respuesta a incidentes», dice. «No es mi responsabilidad en absoluto recomendar si las empresas deben pagar o no. Dejo eso a la total discreción de quienes toman las decisiones».

Reid Sawyer, jefe del grupo de riesgos emergentes de la corredora de seguros Marsh Advisory, dice que la guía reciente de la OFAC destaca la necesidad de que las organizaciones presten atención a sus contratos cuando se registren con negociadores de ransomware. «Desea asegurarse de que, contractualmente, su tercero tenga en cuenta las posibles interacciones con SDN a medida que avanzan», dice.

Deben asegurarse de que el tercero pueda mostrar evidencia de esas políticas y procedimientos, dice. «Es muy related a cómo se tratan los riesgos de cualquier proveedor externo». Al tratar con negociadores de ransomware de terceros, o incluso si tratan directamente con un actor de amenazas, las organizaciones también deben asegurarse de que las transacciones de criptomonedas no fluyan ni toquen a las de la lista SDN de la OFAC, dice.

De manera más general, el aviso de la OFAC es un recordatorio para que las organizaciones incluyan posibles pagos de ransomware en su programa de cumplimiento de sanciones existente, dice Sawyer. Las organizaciones deben comprender que, en algunas situaciones, los estándares de responsabilidad estricta de la OFAC podrían hacerlas responsables civilmente de los pagos de ransomware, incluso si no se dieron cuenta de que estaban tratando con una entidad SDN, advierte. «Las organizaciones deben auditar de inmediato su programa de cumplimiento de sanciones existente o implementar uno nuevo para incluir ransomware», dice Sawyer. «Los CISO deberían tener un asiento en la mesa. Deben ser parte de la conversación».

En una situación serious de ransomware, una organización, o un negociador que trabaja en su nombre, puede no saber si el actor de la amenaza es una entidad autorizada por la OFAC, dice. Por lo tanto, debe pensar en cómo mitigar la exposición al pasivo en esas situaciones. Por ejemplo, contar con un programa de gestión del cumplimiento de las sanciones y estar dispuesto a trabajar con las fuerzas del orden en caso de un ataque de ransomware puede mitigar los riesgos de responsabilidad, dice Sawyer.

Es importante destacar que, agrega Sawyer, las restricciones de la OFAC sobre los pagos de ransomware afectan no solo a las empresas estadounidenses, sino también a las entidades extranjeras que tienen vínculos comerciales o presencia comercial en EE.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original