El ransomware se vuelve más fácil de propagar y más difícil de bloquear



Los investigadores ilustran la evolución hacia ataques de ransomware más completos y efectivos diseñados para paralizar las organizaciones objetivo.

El ransomware, que ya es una gran amenaza empresarial, se está volviendo más problemático a medida que los operadores piensan en nuevas formas de hacer que sus ataques sean más fáciles de lanzar y más devastadores para las víctimas.

Mitchell Clarke y Tom Corridor, ambos consultores principales de respuesta a incidentes de Mandiant, pasaron el año pasado analizando la evolución de la actividad de ransomware y observando cómo los atacantes se volvían más inteligentes, las intrusiones demoraban más y las demandas de rescate aumentaban a millones. Las nuevas tácticas exigen la atención de las empresas como resultado, los ejecutivos han comenzado a preocuparse.

«Estamos viendo más y más organizaciones a nivel de directorio, donde los directores ejecutivos y directores de operaciones realmente están haciendo preguntas sobre ransomware», dice Hall. «No creo que la industria lo esté alcanzando tanto como debería».

Los atacantes solían «lanzar ransomware aquí y allá, tal vez tenga suerte y obtenga algunos sistemas», agrega Clarke. WannaCry y NotPetya, ambos ataques destructivos, significaron lo que estaba por venir. Con el tiempo, más atacantes se dieron cuenta de que podían generar más ganancias si derribaban toda una organización en lugar de un puñado de sistemas a la vez.

Para los operadores de ransomware motivados financieramente, esto fue una motivación para cambiar su juego.

«Estamos viendo un movimiento de ataques generalizados muy tradicionales, en los que afectan a varias organizaciones con kits de explotación bastante poco sofisticados, a seguir un ciclo de vida completo del ataque», explica Hall. Esto incluye ganar un punto de apoyo inicial en el medio ambiente, aumentar los privilegios, eliminar herramientas y puertas traseras y, finalmente, ejecutar el ransomware.

Los atacantes avanzados de ransomware han comenzado a explotar las VPN y las aplicaciones de escritorio remoto para ingresar, señala Clarke, y agrega que los operadores de REvil son especialmente buenos en esto. En lugar de crear una campaña de phishing, los intrusos pueden escanear la World-wide-web en busca de VPN vulnerables y usarlas para ingresar. Posteriormente pueden regresar y aprovechar ese compromiso para la implementación de ransomware.

«Creo que los estamos viendo analizar todas las opciones que tienen, ver el phishing como un gran esfuerzo, alto costo y ver la explotación masiva como un esfuerzo bajo, una gran recompensa», agrega. En 2019 y 2020, muchos investigadores de seguridad exploraron vulnerabilidades en dispositivos de borde, continúa Clarke. Sus esfuerzos condujeron al descubrimiento de errores de alto impacto que podrían permitir el acceso de atacantes no autenticados.

En lugar de implementar ransomware donde pudieron, los atacantes de hoy se han vuelto más intencionales. Si bien hay menos ganancia financiera a medida que pasan por la fase de compromiso, saben que trabajar en un solo objetivo durante un período de tiempo más largo eventualmente conducirá a un gran pago.

«Creo que se dieron cuenta de que si invierten tiempo en la brecha, se mueven lateralmente, obtienen acceso a toda la organización, de repente puedes ponerte en esa posición que amenaza la continuidad del negocio en la que si tu víctima no te paga, se han ido, no pueden operar «, dice Clarke.

Ransomware-as-a-Assistance: un «negocio» dirigido a empresas
Los investigadores han notado un crecimiento en el ransomware como servicio, que esencialmente automatiza los aburridos y repetitivos ataques relacionados con las campañas de ransomware. Los atacantes y las víctimas solían negociar el rescate por correo electrónico ahora, los objetivos se envían a una plataforma donde pueden ver las solicitudes de rescate y la información de pago o hablar con los delincuentes para negociar la devolución de los archivos.

«Creo que la tendencia es más la profesionalización, esa transición de la delincuencia advert hoc a un crecimiento empresarial completo al estilo de una startup … No es una buena manera de hablar de una empresa delictiva, pero así es como nos sentimos», Clarke dice. El objetivo closing de los atacantes es aumentar de manera más efectiva y eficiente su grupo de víctimas y su beneficio financiero.

Así como los atacantes se han dado cuenta de la recompensa de derribar a toda una organización, también han reconocido el tiempo y los recursos necesarios para hacerlo. Tienen acceso a una gran cantidad de negocios, continúa, pero no a suficientes operadores para superar el retraso. Con ese fin, han comenzado a centrarse más en la contratación de afiliados y socios y en el crecimiento de sus operaciones.

Si bien los investigadores no han notado ningún patrón en términos de orientación a la industria, han visto a los atacantes centrarse en un tamaño de empresa en individual. Las demandas de rescate tienden a caer entre $ 2 millones y $ 5 millones, dice Corridor, y las víctimas deberán respaldar ese tipo de pago.

«Para cualquiera, si quiere que le paguen, no tiene sentido exigir algo que una organización nunca podrá alcanzar», agrega.

Si bien los ciberdelincuentes de hoy están adaptando algunas de las mismas tácticas que los grupos avanzados de amenazas persistentes, las mejores tácticas de los defensores siguen siendo las mismas. Ambos investigadores aconsejan la misma postura de seguridad e higiene de la purple que las empresas deberían usar para defenderse de los ataques tradicionales de ransomware: autenticación multifactor en servicios externos como correo electrónico y VPN, y asegurarse de que no está ejecutando sistemas operativos no compatibles. Estas son todas las cosas que son básicas para las organizaciones, dice Hall, pero a menudo se descuidan o se les quita prioridad sin el presupuesto de seguridad adecuado.

Esto no es solo un problema de seguridad y de TI «, señala.» Es un problema cultural y comercial «.

Clarke y Hall presentarán sus hallazgos completos en una próxima sesión informativa de Black Hat Europe: «No está terminado: la madurez evolutiva de las operaciones de ransomware, «el miércoles 9 de diciembre.

Kelly Sheridan es la editora de personal de Dim Looking at, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary