¿Secuestro de datos? Llamémoslo como realmente es: …



Así como los objetivos de estos ataques se han desplazado de los individuos a las corporaciones, también el enfoque limitado ha dado paso a la aplicación de fuerza y ​​presión para pagar.

Nadie necesita recordar que el ransomware ha alcanzado proporciones increíbles Una estadística ampliamente informada de Purplesec sugiere que $ 20 mil millones se pagó en 2020. Eso es casi el doble de su estimación de $ 11.5 mil millones de 2019, con un aumento proporcionalmente enorme en el número de ataques, mientras que BitDefender sugirió una 715% de aumento en la primera mitad del año.

Las «tripulaciones» se han multiplicado, han adoptado tácticas que recuerdan a los ataques de los estados nacionales y han desarrollado asociaciones y relaciones con una velocidad y eficiencia que avergüenzan muchas de nuestras prácticas comerciales. Constantemente aparecen nuevas tácticas tanto para obtener acceso como para presionar a las víctimas para que paguen.

Lo que no ha cambiado es cómo lo llamamos: ransomware. Eso es un error, ya que lo vincula en la mente de muchas personas con el pasado y con una forma de ataque mucho menos amenazante, la forma de ataque que comenzó en 1989 con el troyano AIDS (distribuido en 20.000 disquetes y buscando un pago de alrededor de $ 500). El ataque volvió a mediados de la década de 2010, pero como amenazas individuales. Ataques como CryptoWall, Cryaki, TeslaCrypt y CTB-Locker afectaron a los usuarios individuales y obligaron a la víctima a acercarse al atacante para recuperarse. Los atacantes también aprovecharon rápidamente las criptomonedas, utilizando el anonimato relativo y la fácil transferibilidad de Bitcoin para protegerlos mientras monetizaban sus esfuerzos.

Estos ataques se distribuyeron por múltiples medios o vectores. El phishing, las ventanas emergentes de publicidad maliciosa e incluso la mensajería en plataformas como Facebook Messenger eran vectores comunes. El código foundation era diferente, el vector de ataque period diferente, pero el objetivo period el mismo. Aterriza en la computadora de un usuario, encripta esa computadora y los datos accesibles a la crimson, y exige el pago. El ataque fue contra el individuo y el daño corporativo fue una bonificación (en términos de pago), no el objetivo. El rescate fue descifrar los datos bloqueados y las tácticas defensivas se centraron en limitar el acceso a los datos: privilegios mínimos, capacitación en conciencia del usuario y prevención de malware basado en host.

Este modelo cambió lentamente hacia los objetivos corporativos, mientras los malos seguían el dinero. Sin embargo, 2020 vio una serie de cambios fundamentales en el panorama y un cambio de táctica. Esta serie de cambios es la razón por la que deberíamos cambiar el nombre: de ransomware, un ataque serio pero con un alcance relativamente estrecho, a extorsión, donde se aplica toda la presión para forzar el pago.

El primer cambio fue en la madurez del atacante. El ransomware period una red amplia y el cifrado fue una de las primeras partes del ataque. Con el program de extorsión, los equipos atacantes han adoptado tácticas avanzadas o han comprado el acceso a los corredores de acceso inicial para monetizar completamente un compromiso. En lugar de aterrizar y cifrar, el modelo es lo que esperaría en una violación de datos: realizar un compromiso inicial, expandirse lateralmente, escalar privilegios, ubicar datos importantes (y copias de seguridad), y solo cuando ocupa una posición de mando, el atacante ejecuta el golpe de gracia y encriptar los datos.

Esto por sí solo no es suficiente para cambiar el nombre de una clase de ataque. El mayor cambio es que este tipo de ataque ya no es solo una demanda de rescate para descifrar datos. Comenzando con el equipo de Maze en mayo de 2020, los atacantes comenzaron a exfiltrar los datos antes de cifrarlos. Una víctima fue puesta en peligro doble incluso si el objetivo pudiera recuperarse de la copia de seguridad o del cifrado de fuerza bruta, se podrían filtrar datos confidenciales.

A principios de 2021, esta táctica se estaba adoptando ampliamente y al menos Revil, Netwalker y Mespinoza la adoptaron. Los atacantes agregaron la denegación de servicio distribuida a su arsenal para octubre de 2020 e incluso comenzaron a presionar a las víctimas a través de las redes sociales para que subieran las apuestas. Finalmente, hacia fines de 2020, se amenazó con revelar deliberadamente información comprometedora y dañina que los ejecutivos habían divulgado internamente.

Llamar a este ransomware lo vincula en la mente de muchas personas a los ataques más antiguos y minimiza la amenaza real. Tenemos que cambiar la percepción y la marca. Podemos etiquetar la tendencia como lo que es: no solo un rescate para obtener sus datos sin cifrar, sino una extorsión por todos los medios. Deberíamos llamarlo algo más amenazador. Ya sea que lo llamemos extorsión o algo más, no podemos seguir tratándolo solo como un problema de disponibilidad de datos.

Nuestro enfoque de la amenaza debe cambiar: la razón para cambiar la forma en que nos referimos a ella. La protección de datos seguirá siendo imperativa, y la copia de seguridad inmutable es una parte clave de esa estrategia de protección. Pero no puede ser la única parte. Tenemos que asegurarnos de que estamos utilizando todo el paquete de seguridad para detectar estos ataques antes de que necesitemos restaurarlos y para limitar el alcance del daño si ocurre. Tenemos que empezar con una estrategia y nuestra seguridad debe ser adaptativa porque el ataque se está adaptando. Por ahora, los controles clave serán la identidad fuerte y contextual, la microsegmentación y los programas sólidos de gestión de vulnerabilidades. Ninguno de estos es nuevo, pero su relevancia e importancia sí lo son.

Charlie Winckless es el director sénior de soluciones de ciberseguridad de Presidio, que establece la dirección estratégica tanto a nivel interno de Presidio como ayuda a los clientes a generar confianza digital. Es un veterano de la ciberseguridad con más de 20 años de experiencia en el campo y se puso a prueba en TI en … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique