El ataque de ransomware Colonial Pipeline es solo parte de una nueva ola de ataques de ransomware que usuarios maliciosos están lanzando cada vez más contra víctimas de alto valor. ¿Por qué está sucediendo esto?
Estos usuarios malintencionados pretenden obtener dinero mediante la extorsión y para ello buscan a las organizaciones que tienen más probabilidades de pagar si logran interrumpir sus operaciones comerciales. En el pasado hemos visto situaciones similares contra víctimas del gobierno y la educación. Cuanto más fuertes son los problemas que puedan causar estos actores a una organización, más probable será que reciban un pago como resultado de la extorsión.
Los ataques de ransomware han pasado por muchas iteraciones y ahora estamos viendo la fase 4 de este tipo de ataques. Para mayor contexto, aquí están las cuatro fases del ransomware:
• Primera fase: Solo ransomware, cifrar los archivos y luego liberar la nota de rescate y esperar el pago en bitcoin.
• Segunda fase: Doble extorsión. Fase 1 + extracción de datos y amenaza de publicación de datos. Maze fue el primero en hacer esto y otros grupos de actores de amenazas hicieron lo mismo.
• Tercera fase: Triple extorsión. Fase 1 + Fase 2 y amenaza de DDoS. Avaddon fue el primero en hacer esto.
• Cuarta fase: Cuádruple extorsión. Fase 1 + (posiblemente Fase 2 o Fase 3) + envío directo por correo electrónico a la base de clientes de la víctima. Cl0p fue el primero en hacer esto, según lo documentado por Brian Krebs.
La mayor parte de los casos actuales son un modelo de doble extorsión, pero el cambio principal ahora es que el objetivo son sistemas empresariales críticos. En este último caso, no parece que los sistemas OT se hayan visto afectados, pero los sistemas IT asociados a la red fueron potencialmente sus objetivos.
Sin embargo, eso puede cambiar, ya que muchas organizaciones cuentan con una red de OT que es crítica para sus operaciones y podría convertirse en su objetivo. En esta columna destacamos cómo los fabricantes están siendo atacados con ransomware moderno y el impacto relacionado a estos ataques.
Eliminar los sistemas que ejecutan las operaciones comerciales diarias de una organización puede causar daños financieros y de reputación.
Pero también podría haber consecuencias no deseadas de ir tras víctimas que son de alto perfil, y este último podría ser un ejemplo de esto. Derribar una pieza importante de infraestructura crítica para una nación, incluso si el motivo es solo una ganancia financiera, podría incurrir en acciones importantes contra los actores detrás de este ataque. Por lo tanto, en el futuro, los usuarios maliciosos deberán evaluar las ramificaciones potenciales de su víctima y decidir si tiene sentido comercial iniciar un ataque.
Seguiremos viendo el uso de ransomware en el futuro, y las organizaciones necesitan tomarse el tiempo para poner en marcha un plan de respuesta a incidentes centrado en el nuevo modelo de ataques de ransomware. Algunas consideraciones:
- Comprender que usted puede ser un objetivo. Es probable que todos los negocios estén en el radar de estos usuarios maliciosos, pero aquellos con infraestructura crítica deben evaluar la probabilidad de convertirse en víctimas.
- Los atacantes dedicados encontrarán una manera de entrar en su red. El acceso como servicio (generalmente donde otro grupo realiza el acceso inicial y lo vende a otro grupo) se usa con frecuencia, y ya sea a través de un empleado que fue víctima de phishing, un sistema vulnerable abierto a Internet o un ataque a la cadena de suministro, los criminales probablemente encontrarán una forma de entrar.
- El uso malicioso de herramientas legítimas es una táctica que se utiliza a lo largo de todo el ciclo de vida del ataque.
- Sus credenciales de administrador y de cuenta de la aplicación serán el objetivo.
- Los responsables del ransomware buscarán extraer datos para utilizarlos en el modelo de doble extorsión.
- El ransomware será la última opción en sus actividades maliciosas, ya que es la parte más visible del ciclo de vida del ataque y por lo tanto usted sabrá que ha sido vulnerado.
Para las organizaciones que tienen redes de OT, hay que tener en cuenta algunas cuestiones clave:
• Comprenda el riesgo que corre si su red de OT se desconecta
• Construya un modelo de seguridad que proteja los dispositivos dentro de la red de OT, especialmente aquellos que no permiten un agente de seguridad
• La segmentación de la red es crítica
• Si su red OT requiere ser desconectada debido a que la red IT está comprometida, necesita identificar cómo resolver esta limitación
Este último ataque es otra llamada a la acción para que todas las organizaciones refuercen sus redes contra los ataques y mejoren su visibilidad ante la presencia de actores maliciosos en su red.
Juan Pablo Castro, Director de Innovación tecnológica en Latinoamérica para Trend Micro