Ransomware: ¿Pagar o no pagar? ¿Legal o ilegal? Estas son las preguntas …


Atrapados entre la espada y la pared, muchas víctimas de ransomware ceden ante las demandas de extorsión. Esto es lo que podría cambiar el cálculo.

La reciente avalancha de pagos de ransomware no puede ser el mejor uso de los presupuestos de ciberseguridad o el capital de los accionistas, ni tampoco el mejor uso de los fondos de la industria de seguros. Entonces, ¿por qué están pagando las empresas y qué se necesitará para que se detengan?

¿Por qué tantas víctimas pagan demandas de ransomware?

En términos simples, puede ser, o al menos parecer inicialmente, más rentable pagar que no pagar. El precedente actual de pagar probablemente se remonta a las organizaciones éticamente valientes que se negaron a pagar. Cuándo WannaCryptor (también conocido como WannaCry) infligió su carga útil maliciosa en el mundo en 2017, el Servicio Nacional de Salud del Reino Unido sufrió un impacto significativo en su infraestructura. Las razones por las que se vieron tan afectadas están bien documentadas, al igual que los costos de reconstrucción: un estimado de US $ 120 millones. Esto sin considerar los costos humanos debido a las más de 19,000 citas canceladas, incluida la oncología.

Luego, en 2018 la ciudad de Atlanta sufrió un ataque de ransomware SamSam en su infraestructura de servidor de ciudad inteligente, y el ciberdelincuente exigía lo que entonces parecía un enorme rescate de 51.000 dólares estadounidenses. Varios años después, el costo informado de la reconstrucción de los sistemas se ubica entre US $ 11 millones y US $ 17 millones; la gama tiene en cuenta que parte de la reconstrucción fue mejora y mejora. Estoy seguro de que muchos contribuyentes de la ciudad de Atlanta hubieran preferido que la ciudad pagara el rescate.

Con ejemplos de incidentes registrados públicamente que muestran que el costo de la reconstrucción es significativamente mayor que el rescate, entonces el dilema de si pagar o no puede ser más costoso que ético. Como los dos ejemplos anteriores son del gobierno local o central, la brújula moral de estas víctimas probablemente les indicó que no financiaran el próximo incidente del ciberdelincuente. Por desgracia, solo un año después, los municipios de Lake City y Riviera Beach en Florida entregó US $ 500.000 y US $ 600.000, respectivamente, para pagar las demandas de ransomware.

No hay garantía de que un descifrador esté disponible o que, si se proporciona, incluso funcionará. De hecho, un reciente encuesta de Cybereason encontrado que casi la mitad de las empresas que pagaron rescates no recuperó el acceso a todos sus datos críticos después de recibir sus claves de descifrado. Entonces, ¿por qué pagar la demanda? Bueno, el negocio del ransomware se volvió más comercial y sofisticado en ambos lados: los ciberdelincuentes entendieron el valor de los datos involucrados en su crimen, debido a que los costos de reconstrucción se divulgaron públicamente, y a un segmento de la industria completamente nuevo de negociadores de ransomware y ciberseguros. emergió por el otro. Nació un nuevo segmento empresarial: empresas y particulares empezaron a lucrar facilitando el pago de las demandas de extorsión.

También es importante recordar los efectos devastadores que puede tener el ransomware en una empresa más pequeña que tiene menos probabilidades de tener acceso a recursos de expertos. Pagar la demanda puede ser la diferencia entre que el negocio sobreviva para luchar otro día y cierre las puertas para siempre, como le pasó a The Heritage Company, causando que 300 personas pierdan sus trabajos. En países con legislación sobre privacidad, el pago también puede eliminar la necesidad de informar al regulador; sin embargo, sospecho que siempre se debe informar al regulador de la infracción, independientemente de si el pago se realizó con la condición de eliminar los datos exfiltrados.

Pagar a menudo no es ilegal

En octubre de 2020, el Departamento del Tesoro de los Estados Unidos Oficina de Control de Activos Extranjeros (OFAC) declaró ilegal pagar una demanda de ransomware en algunos casos. Para aclarar, es ilegal facilitar el pago a individuos, organizaciones, regímenes y, en algunos casos, países enteros que están en la lista de sanciones. Es significativo aquí que algunos grupos de delitos cibernéticos están en la lista de sanciones. ¿No era ya ilegal enviar o facilitar el envío de fondos a alguien en la lista de sanciones? Creo que probablemente lo fue, entonces, ¿qué hay de nuevo en este anuncio? Oh, espera, política: los votantes deben pensar que sus gobiernos están haciendo algo para detener la marea de dinero en efectivo a los ciberdelincuentes. La Unión Europea sigue un sistema similar con un régimen de sanciones que prohíbe poner fondos a disposición de las partes en la lista oficial de sanciones.

Aparte del fallo de la OFAC, en los Estados Unidos todavía no hay una guía clara sobre el pago de las demandas de ransomware y, según los expertos, incluso puede ser deducible de impuestos. Esto puede influir en el proceso de toma de decisiones sobre si una empresa se permite o no ser extorsionada.

La atribución de la ubicación o de las personas detrás del delito cibernético es compleja de probar y la tecnología generalmente ayuda a garantizar que muchos de estos grupos permanezcan anónimos y nómadas, o al menos en parte. Sin embargo, saber a quién está pagando podría ser un requisito esencial a la hora de decidir si pagar, ya que pagar inadvertidamente a una persona o grupo que aparece en una lista de sanciones podría hacer que el beneficiario caiga en el lado equivocado de la ley. Recuerde que algunas personas en la lista pueden aprovechar la oportunidad para esconderse dentro de un grupo, y aun así compartir las ganancias, posiblemente haciendo que el pago sea ilegal.

Figura 1. Fondo de escritorio establecido por DarkSide

El pago reciente de 75 bitcoins (US $ 4,4 millones en ese momento) por Oleoducto colonial, a pesar de la recuperación del FBI de 63,7 bitcoins (aproximadamente US $ 2,3 millones en el momento de la recuperación, pero US $ 3,7 millones al tipo de cambio cuando se pagó el rescate), demuestra que usar la lista de sanciones para prohibir el pago es ineficaz. Darkside, los malos actores detrás del ataque y que se cree que tienen su sede en Rusia, habían tenido cuidado de evitar la lista asegurándose, por ejemplo, de que su almacenamiento de datos no estaba en Irán, manteniendo así su "negocio" en regiones que no están en la lista de sanciones.

El ransomware como modelo de negocio de servicios

El grupo de ciberdelincuentes Darkside ahora se ha disuelto debido a la atención no deseada que provocó el incidente del Colonial Pipeline. ¿Estaba en la lista de sanciones y su cierre significa que los ataques que tenía en su pronóstico de ingresos se detendrán? "No y no". No sé por qué todos los grupos de ciberdelincuentes conocidos no están en la lista de sanciones, pero tal vez eso sea demasiado lógico. Estos grupos suelen ser proveedores de servicios y no son los atacantes reales que crean las "oportunidades comerciales"; más bien, proporcionan la infraestructura y los servicios para habilitar a los atacantes y luego compartir los ingresos generados. Esto a menudo se denomina "ransomware como servicio" o RaaS, y los atacantes reales son afiliados comerciales del grupo RaaS.

Los atacantes identifican objetivos, se infiltran en sus redes de alguna manera, identifican y luego exfiltran copias de datos confidenciales y luego infligen el código malicioso de su proveedor de RaaS, como Darkside, a la víctima. Los proveedores de RaaS facilitan el ataque con servicios de backend y las ganancias, una vez que la víctima paga, se dividen, generalmente 75/25. Cuando Darkside renunció al negocio, es probable que otros proveedores de servicios de ransomware se hayan beneficiado y hayan tenido un día extra con nuevos afiliados que se unieron con acuerdos calificados preexistentes en proceso, ¡sin juego de palabras!

Esto podría plantear la pregunta de quién es realmente responsable de un ataque: ¿el afiliado o el proveedor de servicios? La atribución reportada en los medios generalmente proviene de un equipo ciber-forense y otorga la propiedad al proveedor del servicio, identificado por el tipo de código malicioso, detalles de pago y similares que son una firma y muy identificables. De lo que rara vez escuchamos es del iniciador del incidente, el afiliado; bien podría ser esa persona de aspecto poco fiable en el futuro o, por supuesto, podría ser un hacker sofisticado que se está aprovechando de vulnerabilidades sin parches o un ataque de spearphishing dirigido, y está operando un negocio de ciberdelincuencia escalable y con buenos recursos.

La tendencia actual es exfiltrar los datos y denegar el acceso a ellos mediante encriptación; por lo tanto, los ataques ahora comúnmente también involucran elementos de una violación de datos.

¿Es ilegal pagar para evitar que se publiquen o vendan datos?

La amenaza de que se pueda divulgar o vender información personal o sensible en la web oscura podría considerarse una forma más de extorsión, obteniendo beneficios a través de la coacción, que en la mayoría de las jurisdicciones es un delito penal. En los Estados Unidos, donde se está produciendo la avalancha de demandas de ransomware, la extorsión abarca tanto la toma de propiedad como la instilación escrita o verbal del temor de que algo le suceda a la víctima si no cumple con las demandas del extorsionista. El cifrado de datos y la limitación del acceso a los sistemas en un caso de ransomware es algo que ya le ha sucedido a la víctima, pero el temor de que los datos exfiltrados se vendan o se publiquen en la web oscura es la instilación del miedo en la víctima.

Figura 2. Apriete el tornillo en las víctimas de ransomware

Con mi conocimiento básico, y no soy abogado, es ilegal hacer la demanda, pero no parece ser ilegal hacer el pago si usted es la víctima. Entonces, es otro escenario en el que el pago a los ciberdelincuentes parece no ser ilegal.

¿Los negociadores y los ciberseguros están causando o resolviendo el problema?

La tendencia actual de pagar la demanda de ransomware y la actitud de que es "solo un costo asociado con hacer negocios" no es saludable. La pregunta en la mesa de la sala de juntas debe centrarse en hacer que la organización sea lo más cibersegura posible, tomando todas las precauciones posibles. Con los seguros es probable que exista un elemento de complacencia, cumpliendo mínimamente con la necesidad de cumplir con los requisitos establecidos por la aseguradora y luego continuar con el "negocio como de costumbre", sabiendo que si ocurre un incidente desafortunado, la empresa puede intervenir a un lado y empujar a la aseguradora a la línea del frente. Los dos incidentes que afectaron a las ciudades de Riviera Beach y Lake City estaban cubiertos por aseguradoras, al igual que un pago por parte de la Universidad de Utah de $ 475.000 y, según se informa, Colonial Pipeline también estaba parcialmente cubierto por un ciberseguro, aunque en esta etapa no está claro. si ha reclamado.

Si bien el ciberseguro puede financiar el pago del rescate y llevar a cabo la negociación que tiene como resultado un impacto amortiguado, por supuesto, hay muchos otros costos involucrados, como se discutió anteriormente. Las aseguradoras de Norsk Hydro pagaron US $ 20,2 millones cuando la empresa sufrió un ataque en 2019, y el costo total se estimó en entre US $ 58 y $ 70 millones; Es posible que parte del monto adicional también haya sido cubierto por el seguro. La retrospectiva es un lujo, y estoy seguro de que si Norsk Hydro, o cualquier otra empresa que haya sido víctima, volviera a tener su tiempo, podría decidir gastar parte de los US $ 38 a US $ 50 millones estimados que luego gastó por encima del pago del rescate. la ciberseguridad como prevención, en lugar de cubrir los gastos posteriores al ataque para recuperarse de un ataque.

Si yo fuera el ciberdelincuente, mi primera tarea sería averiguar quién tiene ciberseguro, reducir la lista de objetivos a aquellos que tienen muchas probabilidades de pagar; no es su dinero, entonces, ¿por qué no lo harían? Esta puede ser la razón CNA Financial fue atacado y supuestamente pagó US $ 40 millones para recuperar el acceso a sus sistemas, y supongo que para recuperar los datos que fueron robados. Como empresa que ofrece seguro cibernético, el pago significativo podría verse como un pago para no atacar a los clientes de CNA, ya que la aseguradora terminaría pagando por cada ataque. Esto supone que el ciberdelincuente obtuvo acceso a la lista de clientes, lo cual no está claro. Por otro lado, si una aseguradora paga, sería difícil para ellos no pagar si uno de sus clientes asegurados fuera atacado; pagar en este caso podría estar enviando un mensaje equivocado.

El ciberseguro probablemente llegó para quedarse, pero las condiciones que el seguro debería exigir desde una perspectiva de ciberseguridad (un plan de resiliencia y recuperación) deberían definir estándares extremadamente altos, reduciendo así la posibilidad de que se realice alguna reclamación. No se debe permitir que el seguro se convierta en la opción alternativa. ¿Atacado? Es una molestia, pero está bien … estamos asegurados.

¿Es hora de prohibir los pagos de ransomware?

El ataque de ransomware en mayo por parte del grupo de ransomware Conti en el Servicio de salud irlandés podría resaltar la razón para no prohibir el pago al ciberdelincuente por un descifrador y prohibir el pago para que no publiquen los datos que han exfiltrado. Al igual que el ataque al Colonial Pipeline; ningún gobierno quiere que se formen colas en las gasolineras y si no pagar significa no prestar ningún servicio a los ciudadanos o hacerlo de forma limitada, esto podría ser políticamente perjudicial. Existe un dilema moral causado por un ataque a la infraestructura, y pagar sabiendo que los fondos se usan para financiar futuros ataques cibernéticos es difícil, especialmente cuando se considera la atención médica.

Pagar la demanda de ransomware también parece crear una segunda oportunidad para los ciberdelincuentes: según la encuesta de Cybereason mencionada anteriormente, el 80% de las empresas que pagan el rescate posteriormente sufren otro ataque, y el 46% de las empresas cree que se trata del mismo atacante. Si los datos muestran que el pago de una demanda provoca ataques adicionales, la prohibición del primer pago cambiaría significativamente la oportunidad de los ciberdelincuentes de ganar dinero.

Aprecio el argumento de no prohibir los pagos de ransomware debido al posible daño o riesgo para la vida humana; sin embargo, esta opinión parece contradecir la legislación actual. Si el grupo que lanza el próximo ataque a un importante servicio de salud está en la lista de sanciones, pagar ya es ilegal; esto significa que las organizaciones pueden pagar a algunos ciberdelincuentes pero no a otros. Si el dilema moral es proteger a los ciudadanos, entonces sería legal que un hospital, por ejemplo, pagara cualquier ataque de ransomware, independientemente de con quién se haya identificado al atacante.

La selección del gobierno, a través de la lista de sanciones, de qué ciberdelincuentes pueden recibir pago y cuáles no, parece, en mi opinión, no ser el curso de acción correcto.

El enigma de las criptomonedas

Como saben todos los que me conocen, este es un tema que me provoca despotricar y agitarme, tanto por la falta de regulación como por el consumo extremo de energía utilizado para procesar las transacciones. La mayoría de las instituciones financieras están reguladas y se les exige que cumplan con ciertos estándares que previenen y detectan el lavado de dinero, es decir, dinero obtenido mediante actividades delictivas. Abrir una cuenta bancaria o invertir en una nueva organización financiera requiere que demuestre su identidad más allá de toda duda, requiriendo pasaportes, facturas de servicios públicos, medidas internas de las piernas y mucha información personal. En algunos países, esto se extiende a la contratación de un abogado, una transacción inmobiliaria y muchos otros tipos de servicios y transacciones. Y luego está la criptomoneda, el salvaje oeste para inversores valientes y el moneda de elección para los ciberdelincuentes.

Maze ransomware - nota de rescate Sodinokibi (también conocido como REvil) ransomware - nota de rescate NetWalker ransomware - nota de rescateFigura 3. Notas de rescate del Laberinto, Sodinokibi (también conocido como REvil) y Grupos de NetWalker, respectivamente (primer semestre de 2020)

Existe un nivel de anonimato otorgado por la criptomoneda que estableció un método para que los ciberdelincuentes realicen demandas y los pagos sean procesados ​​por las víctimas sin revelar quién está recibiendo el pago. Sin embargo, vale la pena señalar que no todas las criptomonedas son iguales en este sentido, ya que algunas ofrecen al menos un vistazo de la billetera receptora, pero no quién está detrás de la billetera, y otras incluso ocultan la billetera en sí.

En el último mes está clara la confusión de los políticos sobre cómo regular la criptomoneda. El Salvador anunció su intención de aceptar bitcoin como moneda de curso legal dentro de los tres meses posteriores al anuncio; esto sería junto con el dólar estadounidense como moneda de curso legal actual. Sin embargo, el Banco Mundial ha rechazado una solicitud del país para ayudar con la implementación, citando preocupaciones sobre la transparencia y los problemas ambientales. La minería de monedas utiliza un consumo de energía significativo y, en un mundo preocupado por el medio ambiente, de ninguna manera es ecológico: actualmente Bitcoin consumo de energía es igual que todo el país de Argentina.

La provincia de Sichuan en China también citó problemas de consumo de energía y recientemente emitió una orden para detener la minería de bitcoins en su región. Posteriormente, el estado chino ordenó a los bancos y plataformas de pago que dejaran de respaldar las transacciones en moneda digital. Sin duda, la confusión continuará con los países que toman decisiones unilaterales sobre cómo reaccionar ante el mundo relativamente nuevo de las monedas digitales.

La criptomoneda ha resuelto un gran problema para los ciberdelincuentes: cómo recibir pagos sin revelar su propia identidad. También creó demanda de criptomonedas: por cada víctima que paga, se genera demanda para adquirir la moneda para realizar el pago. Esta demanda eleva el valor de la moneda y el mercado lo aprecia; cuando el FBI anunció que había logrado apoderarse de la billetera criptográfica y recuperar 63.7 bitcoins (US $ 2.3 millones) del pago Colonial Pipeline, el mercado general de criptomonedas declinó ante la noticia; como el mercado es una montaña rusa, esto puede ser una coincidencia espeluznante.

Curiosamente, si usted es un inversionista en criptomonedas y acepta que la demanda de las monedas es creada en parte por los ciberdelincuentes (lo que, a su vez, aumenta el valor), entonces, en parte, se está beneficiando indirectamente de la actividad delictiva. Recientemente compartí este pensamiento en una sala de profesionales de la aplicación de la ley, algunos de los cuales admitieron haber invertido en criptomonedas … creó un momento de silencio en la sala.

Conclusión

Este total desprecio por el comportamiento decente y no financiar el delito cibernético mediante el pago de rescates crea una actitud de que la financiación de la actividad delictiva es aceptable. Que no es.

Lo correcto es hacer que la financiación de los ciberdelincuentes sea ilegal y los legisladores deberían tomar medidas y actuar para evitar que se realicen los pagos. Puede haber una ventaja de ser el primero en actuar para los países que aprueban leyes que prohíben los pagos: los ciberdelincuentes que están detrás de estos ataques de alto valor están enfocados, financiados, dotados de recursos e impulsados. Si un país o región aprobó una legislación que prohíbe a cualquier empresa u organización pagar una demanda de ransomware, los ciberdelincuentes adaptarán su negocio y centrarán sus campañas en los países que aún deben actuar. Si esta visión resuena como lógica, entonces ahora es el momento de actuar: sea el primero en llevar el delito cibernético a otras orillas donde los legisladores y políticos actúan a un ritmo más lento; presionar para que esto sea ilegal.

Sin embargo, en realidad, probablemente exista un término medio para garantizar que las empresas que consideran pagar no lo hagan porque es la opción más fácil. Si el seguro contra riesgos cibernéticos conllevaba un exceso o deducible, pagadero por el asegurado, del 50% del costo del incidente, y solo podía invocarse cuando se notificaba a la policía o un regulador, y se involucraba en la decisión de realizar el pago, entonces la voluntad pagar puede cambiar. Si existiera un regulador de este tipo para los incidentes cibernéticos que requirieran pago, entenderíamos mejor la magnitud del problema, ya que una agencia tendría una visión de todos los incidentes. El regulador también sería un repositorio central para los descifradores, sabiendo quién está en la lista de sanciones, involucrando a las agencias de aplicación de la ley relevantes, notificando a los reguladores de privacidad y ellos sabrían el alcance y el resultado de las negociaciones anteriores.

Vale la pena señalar que un memorando reciente emitido por el Departamento de Justicia de EE. UU. establece requisitos para notificar a la sección de Delitos Informáticos y Propiedad Intelectual de la División de lo Penal de la Fiscalía de EE. UU. para casos que involucren ransomware y / o extorsión digital o un sujeto que esté ejecutando la infraestructura utilizada por ransomware y esquemas de extorsión. Si bien esto centraliza el conocimiento, es solo para aquellos casos que se investigan. No existe un requisito obligatorio para que una empresa informe un ataque de ransomware, al menos hasta donde yo sé; se recomienda, sin embargo, e insto a todas las víctimas a que se conecten con las fuerzas del orden; si se encuentra en los EE. UU., esta página es un punto de partida.

Si considera que los ingresos generados en el pago de la demanda de ransomware son ganancias ilícitas de la actividad delictiva, ¿podría la criptomoneda en su totalidad ser responsable del lavado de dinero o proporcionar un puerto seguro de fondos directamente atribuidos al ciberdelito? A pesar de su nombre, los gobiernos no reconocen la criptomoneda como moneda; lo ven como un vehículo de inversión que está sujeto al impuesto sobre las ganancias de capital, en caso de que tenga la suerte de invertir y ganar dinero. Cualquier empresa de inversión que albergue fondos obtenidos directamente de la actividad delictiva debe estar cometiendo un delito, entonces, ¿por qué no todo el mercado de criptomonedas hasta que tenga total transparencia y regulación?

En resumen, hacer que el pago del rescate sea ilegal, o al menos limitar el papel del mercado de seguros y obligar a las empresas a divulgar incidentes a un regulador de incidentes cibernéticosy regular la criptomoneda para eliminar el pseudo derecho al anonimato. Todos podrían marcar una diferencia significativa en la lucha contra los ciberdelincuentes.



Enlace a la noticia original