#74 Ransomware: Prepárate y no entres en pánico
Subscribe to get the latest
on Wed Jan 26 2022 16:00:00 GMT-0800 (Pacific Standard Time)
with Darren W Pulsipher, Stephanie Sabatini,
Darren Pulsipher, Arquitecto Principal de Soluciones de Intel, habla con Stephanie Sabatini, Directora Senior de Servicios Profesionales de Hitachi Systems Security, sobre la prevención y preparación para ataques de ransomware y qué hacer si tu organización es atacada.
Keywords
Aunque un ataque de ransomware comienza para la mayoría de las organizaciones con una solicitud de rescate de algún tipo, la historia completa generalmente ha estado gestándose durante muchos meses.
La demanda de rescate ocurre después de que los atacantes han cifrado la información de los sistemas comprometidos y bloqueado todo lo que pudieron, o han robado información sensible y ahora amenazan con publicarla. En ambos casos, solicitan una suma de dinero para detener la publicación o restablecer la información.
La cantidad de dinero puede ser objetivo porque los atacantes saben cuánto puede permitirse la empresa, y pedirán una cantidad masiva. Los ataques menos dirigidos pedirán una cantidad al azar y esperarán tener éxito. Sin embargo, cada vez más, los ataques son sofisticados y los atacantes han hecho su tarea. Es posible que hayan obtenido un progreso significativo, moviéndose lateralmente a través del entorno y comprometiendo múltiples dominios. Saben que le costará a la organización una cantidad tremenda restablecer sus servicios, por lo que pueden solicitar más.
Pero antes de que los atacantes exijan el rescate, han estado dentro del sistema durante algún tiempo, en promedio un poco menos de 300 días, hasta que ejecutan completamente su plan. Intentan llegar lo más lejos posible dentro de la red para que sea lo más impactante posible. Por ejemplo, eliminarán el ejecutor de copias de seguridad para incapacitar a la organización, dejando datos de respaldo corruptos e inutilizables. También dedicarán tiempo a comprometer credenciales para la escalada de privilegios y moverse lateralmente en toda la red y descubrir cualquier vulnerabilidad.
Cada ataque es diferente, por lo que es difícil identificar la vulnerabilidad más común. Los atacantes encuentran cualquier punto de acceso que puedan, ya sea una debilidad en la gestión de vulnerabilidades o incluso en las personas, por ejemplo, ataques de phishing o tácticas de ingeniería social. Harán llamadas telefónicas e impersonarán ejecutivos, o usarán nombres de tipo ejecutivo para obtener información y datos de los empleados en línea.
Muchos en la industria dirán que no es cuestión de si, sino de cuándo serás atacado. Sin embargo, Stephanie no cree que esto sea cierto porque con la debida diligencia, asegurarse adecuadamente y tomar las medidas necesarias, no serás blanco de ataques.
La debida diligencia es lo que los expertos en seguridad han estado predicando durante décadas: realizar la gestión de vulnerabilidades y parches, cambiar contraseñas y limitar los privilegios cuando sea posible. Capacite a su personal. Los administradores no deberían estar en internet con cuentas administrativas publicando en foros, por ejemplo. Todo se trata de comprender cuáles son las superficies de ataque y gestionarlas.
¿Qué deberías hacer si eres víctima de un ataque de ransomware? Stephanie dice que lo que la gente debería hacer y lo que realmente hacen son dos cosas diferentes. La reacción instintiva de los equipos de TI a menudo es reiniciar o parchar o cambiar el entorno de manera significativa. Esto solo alertará a los atacantes de que su tiempo se está acabando. Para la investigación forense, es extremadamente importante ser cauteloso con esos entornos. Realiza la menor cantidad de pulsaciones de teclas posible y definitivamente no reinicies.
Algunas empresas entrarán en pánico y realizarán negación de servicios en sí mismas, entrando en modo de bloqueo total y cerrando todo. En lugar de entrar en pánico, deberían depender de sus políticas de respuesta a incidentes y darse cuenta de que el problema se puede resolver aunque no sea agradable.
Obviamente, cada empresa debe tener estas políticas de respuesta a incidentes que se puedan activar rápidamente para gestionar las comunicaciones internamente y con los medios de comunicación, y mantener el negocio en marcha si es posible. Los profesionales de seguridad pueden ayudar a establecer estos planes de respuesta y pueden intervenir y ayudar durante un ataque.
Su primer paso para preservar la información es observar algunas de las actividades cuestionables que ocurren en la red. Los ataques de ransomware no comienzan cifrando o robando información; hay muchos ataques previos. Es importante identificar de dónde vienen, dónde se originan y por dónde han pasado. Para hacer eso, los profesionales de seguridad necesitan evidencia e información que deban ser preservadas adecuadamente. Un buen comienzo es tener a las personas indicadas en el lugar correcto para gestionar lo que está sucediendo.
A continuación se debe administrar adecuadamente el entorno. Desafortunadamente, una vez que hay ransomware o cualquier tipo de violación o incidente, la organización es altamente vulnerable. Cien por ciento de las veces, cuando los entornos han sufrido exitosos ataques de ransomware, ya sea publicitados o no, son blanco del mismo grupo o de un grupo diferente. Es como un animal herido rodeado de buitres. Los atacantes saben que estás herido y vulnerable. Viene otro ataque.
La mayoría de las veces, cuando los profesionales de seguridad están llevando a cabo su investigación, encuentran otros indicadores de ataque y compromiso en diferentes partes de la red. Deben determinar si es parte del mismo ataque o de un ataque diferente. Esta investigación es una parte crítica de la recuperación de malware porque incluso cuando crees que has limpiado un ataque y el negocio está funcionando correctamente de nuevo, todavía existe el potencial para estos otros ataques.
Un ataque típico cuesta en promedio cuatro millones y medio de dólares en limpieza, y eso no incluye el rescate. La cantidad puede ser mucho mayor y es proporcional al tamaño de la organización.
Es imposible estar seguro de cuántas organizaciones pagan el rescate. Muchos de los rescates vienen con amenazas de no contactar a las autoridades o de revelar el ataque. Por esta razón, las estadísticas disponibles sobre cuántas organizaciones pagan son variadas.
Algunos tomadores de decisiones de organizaciones responden diciendo que no pagarán bajo ninguna circunstancia, incluso si cuesta más reconstruir, destruyendo así la capacidad de negociación. Esta es una decisión emocional que puede nublar el juicio. Al final del día, si el objetivo es seguir haciendo negocios y ganar dinero, pagar un rescate bajo de tal vez diez o veinte mil dólares será más barato que los servicios forenses y el resto del proceso. Por otro lado, existen casos documentados donde se pagó el rescate y los datos no fueron completamente restaurados. Además, la organización no tiene garantías en cuanto a la seguridad de su entorno. No hay garantía de buena fe cuando se paga un rescate; se está solicitando a criminales que actúen de buena fe.
Muchos gobiernos alrededor del mundo han prohibido pagar un rescate debido a que los atacantes son considerados terroristas, y no está permitido negociar con terroristas. Otro obstáculo es que los atacantes a veces se niegan a tratar con negociadores profesionales. A menudo designarán a alguien dentro de la organización como la única persona con quien negociar, esperando que esa persona tome decisiones emocionales.
Las amenazas se comunican de varias formas: correo electrónico, teléfono e incluso en el fondo de pantalla de un escritorio.
La mejor estrategia para evitar o mitigar un ataque es no esperar a que tu organización se encuentre en esa situación. En su lugar, involúcrate en la debida diligencia. Realiza evaluaciones al menos anualmente para identificar las brechas en la seguridad. Las amenazas y los ataques están en constante cambio y se vuelven más sofisticados, por lo que la seguridad de tu organización debe mantenerse al día. Monitorea y actualiza de manera continua. Realiza gestión de vulnerabilidades, cambia las contraseñas de forma constante y recuerda y educa a los usuarios sobre las amenazas. Estas no son estrategias nuevas. Los profesionales de seguridad han estado recomendando estos pasos durante décadas; simplemente las organizaciones no los están llevando a cabo de manera adecuada ni evolucionando.
También es inteligente llamar a los expertos para guiar el proceso de los planes y ejercicios de respuesta a incidentes. Todos en la organización deberían saber qué hacer y a quién llamar en un escenario de ataque para evitar más daños.
Si tu organización es atacada, esperemos que el impacto sea mínimo, o al menos contenido y manejable si ha habido preparación. Todo el tiempo, energía y dinero que una compañía invierte en medidas preventivas es una fracción pequeña del costo de un ataque.