Aviso de ransomware OFAC del Tesoro de los EE. UU .: Navegando …



Aprovechar la estrategia de respuesta correcta, seguir las regulaciones y comprender la entidad de rescate son los fundamentos de cualquier brote de ransomware.

Con el volumen de ataques de ransomware aumentando exponencialmente durante el año pasado, el gobierno federal decidió dar un paso adelante. El 1 de octubre, la Oficina de Command de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. Publicó un «Asesoramiento sobre posibles riesgos de sanciones para facilitar los pagos de ransomware. «Este documento reitera y proporciona detalles sobre la delgada línea que algunos proveedores de respuesta a incidentes, compañías de seguros, bufetes de abogados y otros están caminando actualmente:

Las empresas que facilitan los pagos de ransomware a los actores cibernéticos en nombre de las víctimas, incluidas las instituciones financieras, las empresas de seguros cibernéticos y las empresas involucradas en análisis forense electronic y respuesta a incidentes, no solo fomentan futuras demandas de pago de ransomware, sino que también pueden correr el riesgo de violar las regulaciones de la OFAC.

Esencialmente, el Tesoro está señalando que las organizaciones que pagan ransomware podrían correr el riesgo de ser procesadas por violar las leyes de EE. UU. Si la persona u organización a la que están pagando está en una lista de sanciones. Para las personas de la industria de respuesta a incidentes, esto no debería ser una sorpresa.

Los proveedores de respuesta a incidentes deben explicar claramente a sus clientes el alcance whole del proceso de respuesta y recuperación, incluido cómo prepararse y evitar posibles errores regulatorios como el que se explain en el aviso. Pero con muchas áreas grises en sus pautas, OFAC no lo hace fácil.

Comprensión de la asesoría y la OFAC
Para comprender mejor el nuevo aviso, llamamos a la OFAC División de Cumplimiento y Evaluación de Sanciones y dejó un mensaje. Un representante de la división volvió a llamar rápidamente y le hicimos varias preguntas sobre el proceso de presentación de informes y el papel de la OFAC. La posición de la OFAC es que si alguien llama y proporciona datos relevantes, la oficina hará todo lo posible para ayudar. Sin embargo, la falta de orientación prescriptiva de la OFAC conduce a cierta ambigüedad sobre las implicaciones prácticas de la advertencia y, en consecuencia, las víctimas de la infracción deben ser conscientes de los posibles obstáculos.

Específicamente, un área importante de consideración que descubrimos al revisar la guía y hablar con la División de Cumplimiento de Sanciones es el hecho de que las pautas asumen que todas las partes de una transacción son conocido el uno al otro. En otras palabras, cada uno se puede buscar y encontrar fácilmente en la lista de sanciones de la OFAC. Al hablar con OFAC, describimos cuán problemático puede ser esto para las víctimas de ransomware.

Por ejemplo, en la mayoría de los ataques de ransomware oportunistas y no dirigidos, los actores de la amenaza serán desconocidos. La nota de rescate contendrá una dirección de correo electrónico de grabación y posiblemente una identificación de billetera de criptomonedas. Verificar la identidad de la persona o entidad al otro lado del correo electrónico será casi imposible incluso para los equipos de seguridad sofisticados, y mucho menos para la mayoría de los equipos que tienen recursos limitados.

En un ataque de ransomware dirigido, el proveedor de respuesta a incidentes mayo Ser capaz de reunir suficiente inteligencia sobre amenazas basada en las tácticas, técnicas y protocolos observados para hacer una suposición fundamentada sobre la región y / o el grupo de actores potenciales de amenazas. Conociendo la región mayo ayudar a evitar violaciones de la OFAC porque las listas de sanciones son en algunos casos categorizado por país.

En cualquier caso, la atribución es extremadamente difícil cuando se trata de amenazas a la seguridad cibernética, lo que genera una carga irrazonable para evitar posibles sanciones de la OFAC.

Los profesionales de ciberseguridad y respuesta a incidentes pueden sentirse cómodos con el hecho de que la División de Evaluación y Cumplimiento de Sanciones de la OFAC es consciente de esta brecha. Pero no recomendamos usar eso como defensa. El aviso recomienda que las organizaciones implementen un programa de cumplimiento basado en riesgos en el que «las empresas deben tener en cuenta el riesgo de que un pago de ransomware pueda implicar una SDN (nacional especialmente designado) o persona bloqueada, o una jurisdicción embargada por completo «. En otras palabras, planifique el costo de las posibles violaciones de la OFAC además de, o como costo de responder a, un ataque de ransomware.

También vale la pena señalar que el aviso de la OFAC dijo que «también considerará el informe autoiniciado, oportuno y completo de una empresa de un ataque de ransomware a las fuerzas del orden como un factor atenuante significativo para determinar un resultado de aplicación apropiado». Por lo tanto, las organizaciones deben informar y trabajar con las fuerzas del orden de manera proactiva durante un incidente de ransomware, especialmente cuando se están considerando la negociación y el pago.

Como nota al margen relevante, el aviso del Departamento del Tesoro incluía un enlace de nota al pie para obtener más información sobre el Marco de Compromisos de Cumplimiento de la OFAC, pero más de un mes después de su publicación, ese enlace aún no estaba operativo. aquí es un enlace funcional a ese marco.

Cómo buscar en la base de datos de sanciones
OFAC mantiene un Lista de sanciones consolidada que se puede buscar para las personas sancionadas. Y aunque puede ser difícil o incluso imposible identificar a un atacante, saber cómo utilizar la foundation de datos de la OFAC puede resultar útil. Por ejemplo, conocer el tipo de ransomware que afecta a una organización podría desempeñar un papel en la identificación de los responsables. En algunos casos, puede seguir los comunicados de prensa del Departamento del Tesoro como el de 2016 que identificó Evgeniy Mikhailovich Bogachev como entidad sancionada, dada su asociación con la familia de malware Zeus. Sin embargo, también existe la búsqueda dinámica, que aporta mucho más valor.

El lugar principal para buscar entidades o personas sancionadas en relación con ransomware es el programa «CYBER2», que se muestra a continuación.

Dentro de esta sección, aparecerán los resultados tanto para personas como para entidades, como el que se muestra a continuación que muestra a Evil Corp (también conocida como Dridex Gang, de Moscú), la entidad que se asoció recientemente con WastedLocker. Secuestro de datos. Evil Corp se ha asociado anteriormente con el malware Dridex y el ransomware BitPaymer.

Como respuesta a incidentes, es importante indicar claramente al liderazgo de una organización que las leyes regulan los pagos de rescate. Además, es importante comprender al adversario. Por ejemplo, Evil Corp es solo una de las entidades sancionadas que parecen ser selectivas en términos de la infraestructura a la que apunta cuando implementan su ransomware. Normalmente, Evil Corp llega a servidores de archivos, servicios de bases de datos, máquinas virtuales y entornos en la nube. El punto clave aquí es que el conocimiento de las tácticas del adversario ayuda a concentrarse en los esfuerzos de remediación y respuesta, y también pone en contexto la orientación de la OFAC.

Aprovechar la estrategia de respuesta correcta, seguir las regulaciones y comprender la entidad de rescate son los fundamentos de cualquier brote de ransomware. Es clave tener un proveedor de respuesta a incidentes o un experto con conocimientos internos que pueda coordinar esta actividad de acuerdo con la ley. Esto es mucho más importante que trabajar con alguien que simplemente le dice que puede negociar fácilmente el pago.

Jason Bevis es vicepresidente de Awake Labs, donde brinda servicios profesionales y administrados que respaldan la misión y la tecnología de Awake. Aporta más de 20 años de experiencia en el particular de seguridad de compañías como KPMG, Foundstone-McAfee, FireEye-Mandiant y … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original