Ransomware-as-a-services: cómo DarkSide y otras bandas ingresan a los sistemas para secuestrar datos


El experto dice que todas las empresas están en riesgo, pero especialmente las más pequeñas que pueden no tener sistemas muy seguros. No todos los atacantes buscan grandes cantidades de rescate.

Karen Roby de TechRepublic habló con Marc Rogers, vicepresidente de ciberseguridad de Okta, sobre el ransomware. La siguiente es una transcripción editada de su conversación.

Karen Roby: Lo señalaré solo porque antes de grabar, dije: «Bueno, hoy es viernes. Nos dirigimos al fin de semana». Como me dejaste claro, cuando estás en ciberseguridad, no tienes mucho fin de semana. Quiero decir que esta es una preocupación y una operación 24/7 para las empresas. Quiero decir, están pasando muchas cosas con este Marc.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Premium)

Marc Rogers: Sí, y en realidad a los malos les gusta el momento en que hay menos gente en la oficina. Entonces, es por eso que están prosperando durante la pandemia porque hay muchas oportunidades ahora que las cosas se ven menos y la gente está más dispersa. Y los fines de semana, cuando a la gente le gusta ir a relajarse, son una gran oportunidad para que intenten atacarte.

Karen Roby: Sí, ahí es cuando ciertamente encuentran esas vulnerabilidades, cuando no estamos realmente en nuestro juego, estoy seguro. Obviamente Marc, uno de los mayores incidentes aquí de ransomware que hemos visto en mucho tiempo con Colonial Pipeline, y esto está haciendo que la persona común vea más de cerca lo que realmente sucede cuando ocurre este tipo de cosas. Habla un poco sobre ese tipo de incidente. No sabemos los detalles exactamente con Colonial Pipeline y qué salió mal, pero en normal, ¿qué desencadena estos ataques? ¿Cómo suceden?

Marc Rogers: El desafío es que existe un enorme ecosistema de ransomware. Lo que la gente probablemente no se da cuenta es que no es solo una pandilla la que hace esto. Hay un montón de pandillas, y ahora ha evolucionado hasta un punto en el que, de hecho, grupos como, por ejemplo, DarkSide, responsables de este ataque más reciente contra Colonial, ni siquiera son los atacantes. Están ofreciendo un servicio y se sientan en algún lugar del lado más oscuro de World-wide-web y ofrecen lo que se llama ransomware-as-a-services. Reclutan afiliados o esencialmente subcontratistas que entran, que usan su plataforma y luego atacan a las empresas. Y en el caso de DarkSide, si realmente ingresó a la infraestructura y le echó un vistazo, que es algo que nosotros en la comunidad de investigación hacemos activamente, tuvieron una operación muy pulida. Brindan soporte técnico a sus afiliados que incursionan en empresas. Proporcionan controles de monetización para que un afiliado pueda entrar y ver cuánto se ha pagado y qué está pendiente y administrar el dinero y todo eso.

Básicamente son como empresas y ese es el desafío con el ransomware ahora: se ha movido de este tipo de cosa oportunista donde había algunos delincuentes diseminados por todo el mundo haciendo esto, a ser estas operaciones como servicio que básicamente significan cualquier delincuente emprendedor. puede obtener acceso a ransomware, lo he visto por menos de $ 100, y luego lo uso para infectar cosas. Y obviamente, en el extremo inferior, estás hablando de cosas que no son muy sofisticadas. El problema es que no necesita ser sofisticado. El grupo detrás de Colonial, el grupo DarkSide, no hacen nada muy sexy en cuanto a sus ataques. Por lo normal, se infiltran a través de ataques de fuerza bruta a contraseñas o contraseñas filtradas que se encuentran a partir de infracciones o de vulnerabilidades de computer software conocidas que se han divulgado durante mucho tiempo y probablemente deberían haber sido parcheadas. Así que básicamente se aprovechan de los débiles.

Karen Roby: Sí, y cuando hacen esto, Marc, es como disparar a un pez en un barril. Quiero decir que solo están saliendo y solo para ver dónde pueden infiltrarse.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

Marc Rogers: Eso es exactamente correcto y tenemos mucha evidencia de que los afiliados detrás de DarkSide literalmente escanean Online, en busca de empresas que tengan sistemas abiertos con viejas vulnerabilidades conocidas. Porque saben que en el momento en que encuentran una empresa con una vulnerabilidad antigua conocida, les dice muchas cosas. Les dice, A, hay una forma de entrar, pero también les dice, B, que probablemente la empresa tenga malas prácticas en su interior. Y les dice, C, que esa compañía no estará completamente preparada para su ataque. Entonces, la última pieza de la ecuación es que juzgan si es un objetivo de alto valor o no. Y si es un objetivo de alto valor, entran, infectan la pink. Intentan llegar lo más lejos posible a través de la crimson y hacerse cargo de tantos sistemas como sea posible. Buscan copias de seguridad y las cifran. Y luego bloquean, bueno, en realidad, también roban datos porque les gusta ejercer presión sobornando, chantajeando con los datos que han robado. Y luego encriptan la purple y sacan la demanda.

Karen Roby: Vaya, es mucho. Es mucho, Marc. Hablamos de nuestra cadena de suministro, por ejemplo, quiero decir que hay tantas capas aquí, lugares que podrían ser simplemente desastrosos en todos los sentidos.

Marc Rogers: Estoy completamente de acuerdo. Y creo que para mí, Colonial fue interesante porque muestra un poco el desajuste que tenemos sobre lo que es la infraestructura crítica. Los sistemas industriales coloniales no se vieron afectados. Estaban protegidos de la red de la empresa, por lo que el ransomware no entró y causó problemas. Pero lo que no se tuvo en cuenta es que sin que la empresa genuine pueda funcionar, no importa si tiene estos sistemas de command seguros, no hay nadie allí para operarlos y, por lo tanto, no puede funcionar. Y así, al eliminar toda la parte operativa de Colonial, paralizaron la capacidad de operación de la empresa y eso obligó a cerrar la empresa. Y eso significa que tenemos que reevaluar lo que consideramos infraestructura crítica. Ahora tenemos que incluir cosas como que cualquier cosa que sea basic para ejecutar algo que es essential también sea una infraestructura fundamental. Y creo que tendremos que volver a la mesa y comenzar a mirar muchos sistemas diferentes que se relacionan con otros sistemas con nueva luz ahora.

Karen Roby: Entonces, ¿qué hacemos, Marc? Hablamos a menudo de que si dices que se ha filtrado una contraseña o esto o aquello, hay humanos al otro lado de mucho de esto, y no hay mucho que puedas hacer para esperar que tengan una contraseña segura o que cambien. it o autenticación de dos factores. Quiero decir, todavía hay humanos involucrados en esto, la gente comete errores. qué hacemos? ¿Cómo nos protegemos mejor?

VER: Ataque de ransomware: por qué una pequeña empresa pagó el rescate de 150.000 dólares (TechRepublic)

Creo que lo siguiente es que incluso las pequeñas empresas deberían reconocer que pueden ser víctimas de estas bandas de ransomware porque a los afiliados que operan desde la parte trasera de este ransomware como servicio no les importa a quién están atacando. Algunos de ellos quieren obtener mucho dinero, como los afiliados de DarkSide que persiguen cinco, 10 millones más rescates, pero a otros no les importa. Solo quieren un par de decenas de miles de dólares o unos pocos miles de dólares. Cualquiera puede ser el objetivo, así que reconoce que podrías ser una víctima.

Y lo siguiente es darse cuenta de que, en realidad, la higiene de seguridad básica puede marcar una gran diferencia. Mencionaste cambiar contraseñas y esas cosas, eso es parte de eso. Toda empresa necesita algún tipo de programa de seguridad de la información. Por lo tanto, asegúrese de que las contraseñas de sus empleados no caigan en brechas, no se reutilicen. Solo algunas cosas simples como esa son muy útiles. Activar la autenticación de múltiples factores o la autenticación de dos factores en realidad haría que el trabajo de un grupo como DarkSide fuera increíblemente difícil, porque entonces no pueden usar contraseñas de fuerza bruta, por lo que tendrá un efecto significativo. Y parcheando vulnerabilidades.

Sin embargo, el desafío que tenemos es que creo que las grandes empresas tienen los recursos para hacer esto fácilmente, pero a las pequeñas empresas les va a resultar difícil. Si eres una empresa de 10 o 20 personas que ni siquiera tiene un equipo de seguridad, ¿cómo lidias con esto? Y lo que diría es buscar recursos que puedan ayudarlo porque, en última instancia, el costo de lidiar con una de estas instancias superará con creces el costo de tener, digamos, un proveedor de servicios de seguridad administrados en el anticipo.

Piense en ello como si fuera un problema authorized. Tiene abogados en anticipo para su negocio, y también individual de seguridad en anticipo.

Karen Roby: Cambiaremos, centrándonos principalmente en empresas más grandes. ¿Siente que en ese nivel, cuando se trata de ciberseguridad, hay más de ellos incorporando a las OSC o poniendo una OSC o al menos un experto en ciberseguridad de algún tipo en sus juntas? Quiero decir, en la suite C, ¿estamos viendo más de eso?

Marc Rogers: Lo somos, pero está fragmentado. Entonces, si observa todo el ecosistema, verá que hay industrias que están a años luz de distancia. Al igual que la industria de World wide web y todas las empresas que operan en ese espacio tienden a estar mucho más adelante porque están muy centradas en la ingeniería de software program y han aprendido de la experiencia brutal del pasado. Pero hay industrias como la construcción, por ejemplo, donde realmente no se ven amenazadas por este tipo de cosas. Pero lo que tenemos que aceptar ahora es que con el Web de las cosas, incluso el sistema de administración de su edificio probablemente esté conectado a Online de alguna forma o forma y eso significa que puede ser victimizado.

VER: El proveedor de Apple Quanta recibe un ataque de ransomware de 50 millones de dólares de REvil (TechRepublic)

La industria automotriz pasó exactamente por esta misma experiencia. En 2015, pirateé el Tesla Design S para demostrar que es posible irrumpir en un automóvil de forma electrónica y tomar el command de él. La industria automotriz ha realizado una gran cantidad de trabajo para mejorar lo que está haciendo y está avanzando. Pero me temo que hay muchas otras industrias que no reconocen eso. Por lo tanto, todos debemos unirnos y reconocer que cualquiera puede ser una víctima y que debemos tener un enfoque holístico de la seguridad. Y lo mismo ocurre dentro de nuestras empresas. No se puede fragmentar la seguridad y esperar que un programa desarticulado proporcione una buena cobertura.

Karen Roby: Marc, obviamente hay mucho en esto, muchos tipos malos están ganando mucho dinero haciendo esto. Y como mencionaste, puede ser una empresa pequeña. Me refiero a un rescate de $ 10,000 o un rescate de $ 100,000. En la mayoría de los casos, en muchos casos, es más fácil para ellos pagarlo que intentar arreglar la situación. Necesitan acceso a sus sistemas, necesitan sus datos. Quiero decir que da mucho miedo.

Marc Rogers: Sí, da mucho miedo. Uno de mis trabajos secundarios es que soy uno de los fundadores de la Liga CTI, que es una organización que ha estado defendiendo la atención médica durante la pandemia. Y vimos varias instalaciones, instalaciones médicas afectadas por ransomware, y literalmente estás hablando de vida o muerte allí. Cuando un healthcare facility se cierra y se ve obligado a operar con lápiz y papel, la vida de las personas pende de un hilo. Entonces puedo entender que las empresas deben tomar decisiones difíciles.

Y esa es una de las razones por las que me alegra ver que la administración actual se esfuerza en esto y lo ve como una prioridad absoluta, porque realmente es el flagelo de nuestra industria moderna. Necesitamos encontrar una manera de abordar esto y terminarlo y hacer que sea tan doloroso para los criminales que se vayan y prueben algo diferente.

Ver también

20210531-oktaransom-karen.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/06/02/c685a367-83d1-4654-a7d7-01e79571d993/resize/770x/1c478149ca5ed4db2c7cbe6df9688 /20210531-oktaransom-karen.jpg

Karen Roby de TechRepublic habló con Marc Rogers, vicepresidente de ciberseguridad de Okta, sobre el ransomware.

Imagen: Mackenzie Burke



Enlace a la noticia authentic