La advertencia ha sido clara y tajante: los ataques de ransomware son cada vez más sofisticados, lo que incrementa su efectividad para causar daños severos a las empresas. Sin embargo, hay detalles que no siempre se esclarecen. ¿En qué consiste la señalada sofisticación? ¿Por qué es un factor tan amenazante?
Para responder dichos cuestionamientos, el primer paso es entender que los ataques de ransomware, tal como ocurre en otras áreas tecnológicas, están en permanente evolución. En ese sentido, lo que está ocurriendo en la actualidad –el hecho que ha encendido las alarmas– es que los cibercriminales están mostrando menos interés en los ataques “tradicionales” de ransomware (lo que algunos analistas llaman “commodity ransomware”), los cuales tienen un alto componente de automatización: las herramientas de los ciberactores maliciosos están diseñadas para activar la agresión tan pronto como consiguen el acceso a la red empresarial, a esto se le llama enfoque indiscriminado –el “talento” de los cibercriminales tiende a concentrarse en la creación de la campaña de phishing que promueve el ataque.
Hoy, los grupos cibercriminales están optando por un enfoque menos brutal, si hablamos de la cantidad de equipos comprometidos. Sin embargo, la intrusión ahora se lleva a cabo de manera quirúrgica y con toda la intención de causar daño en donde más le duela a las organizaciones. Cuando logran entrar a una red, la prioridad de los atacantes ya no es el golpe súbito, sino la posibilidad de permanecer ocultos en la infraestructura. De esta forma, podrán explorar la red para ubicar las vulnerabilidades y perfilar los activos corporativos más valiosos. Una vez que obtienen dicha información (tarea a la que le podrían dedicar horas, días, semanas o meses), los cibercriminales están listos para lanzar un ataque preciso, oportuno y difícil de contener; y que por su impecable planeación y ejecución les garantiza una mejor recompensa económica o, por lo menos, estar en una mejor posición para la extorsión.
Ya dentro de la red, los cibercriminales pueden ser muy eficientes en los preparativos del ataque. Un reporte de este año de la firma Crowdstrike señaló que el llamado “tiempo de ruptura” – el tiempo que le toma a un adversario moverse lateralmente de un host ya comprometido a otro host dentro del entorno de la víctima- registró un promedio de 1 hora y 32 minutos. El estudio también descubrió que en el 36% de estas intrusiones, el adversario pudo moverse lateralmente a hosts adicionales en menos de 30 minutos.
Además, el tiempo que los cibercriminales logran mantenerse escondidos en la red, rastreando información valiosa de la compañía, facilita la puesta en marcha de un ataque de ransomware de doble extorsión (no sólo el cifrado/secuestro de datos, sino también la amenaza de divulgar documentos comprometedores o confidenciales).
Para preparar y ejecutar un ataque de este tipo, las herramientas maliciosas automatizadas no son el ingrediente indispensable. El factor que marca la diferencia es un conjunto de mentes humanas –malintencionadas, pero con grandes conocimientos técnicos e inclinación hacia el razonamiento estratégico. En esto radica el peligro del llamado “ransomware operado por humanos” o “ransomware 2.0”. En este tipo de ataques, las organizaciones, más allá del factor tecnológico, están enfrentando a un grupo de personas que pueden reaccionar, con sagacidad, agilidad y eficiencia, frente a cualquier circunstancia u oportunidad que se les presente en el camino. Y peor aún: esta capacidad intelectual con fines nocivos puede ponerse a disposición de un tercero, a través de la modalidad de Ransomware como Servicio (RaaS).
Por su componente humano, estos ataques de ransomware se están convirtiendo en un problema serio de ciberseguridad. Prueba de ello lo podemos encontrar en los casos de LockBit y Conti. En días recientes, la consultora global Accenture fue atacada por el grupo que opera LockBit. Aunque la empresa ha intentado ocultar los detalles de la agresión (algo que se le ha criticado con dureza en la prensa internacional), trascendió que los actores maliciosos solicitaron $50 millones de dólares para “liberar” 6 TB de información.
No son invencibles
Los ataques de ransomware operado por humanos podrán ser sofisticados, pero definitivamente no son indescifrables. Los especialistas en ciberseguridad tienen –para nuestra fortuna– una perspectiva de sus hábitos, recursos preferidos y tácticas principales.
Estos diagnósticos han detectado un patrón claro: obtener el control del Directorio Activo (AD, Active Directory), el componente tecnológico que le permite “apalancarse” a los actores maliciosos para concebir e ir construyendo el ataque de ransomware, ya que, gracias a las debilidades nativas del AD, estos podrán robar credenciales, mapear la red, realizar movimiento lateral y escalar privilegios –actividades que realizan con criterio estratégico.
Sin embargo, la principal ventaja de los agentes nocivos nada tiene que ver con la sagacidad humana, sino con la falta de preparación de la mayoría de las organizaciones. De acuerdo con un estudio, las empresas, por cuestiones de infraestructura y de prácticas de gestión de red, terminan por facilitar el trabajo de los operadores de ransomware: usan herramientas de protección desactualizadas y que no son aptas para amenazas como el ransomware; descuidan la ciberseguridad de sus equipos expuestos a internet; generan demasiadas cuentas con privilegios excesivos; no tienen un control estricto de sus credenciales (por ejemplo, para detectar credenciales “abandonadas” en un endpoint); su monitoreo de la actividad en la red puede ser negligente (por desdén o confusión, llegan a ignorar una alarma, asumiendo que es un falso positivo, que revela un comportamiento extraño en la red); por mencionar algunas situaciones recurrentes.
Para evitar un ataque de este tipo de amenazas, las empresas deben recurrir a innovaciones con capacidades y características muy específicas. El primer criterio es buscar soluciones de ciberseguridad que realmente estén especializadas en ransomware, lo que implica protección ante las distintas variedades y en diversas instancias (red, puntos finales, nube, archivos y carpetas locales, drives removibles, shares de red y de nube).
Asimismo, dadas las prácticas del ransomware operado por humanos, las tecnologías idóneas deben tener recursos especiales para aspectos como:
• Directorio Activo: monitoreo permanente del AD, con el fin de detectar oportunamente malas configuraciones, vulnerabilidades, exposiciones y consultas no autorizadas, así tomar medidas de protección en forma automática. El prevenir la enumeración de los recursos del AD es fundamental para interrumpir el avance del adversario.
• Credenciales y escalación de privilegios: detección de credenciales expuestas cuya extracción pasa desapercibida y que empiezan a utilizarse de manera sospechosa (lo que sugiere la presencia de un agente malicioso); en el caso de los privilegios, detección de escalamientos no validados y gestión avanzada de todos los privilegios disponibles en la infraestructura. Por años los grupos APT/FIN han “cosechado” credenciales sin ninguna oposición, ahora es el turno de los grupos detrás del ransomware.
• Movimiento lateral: detección y contención temprana de comportamientos dudosos en la red –como acciones que sugieren actividades de reconocimiento de red (un actor nocivo explorando la infraestructura). Si un defensor puede detectar e impedir de manera temprana las actividades previas, sin duda puede inhibir el movimiento lateral como etapa.
Con esta clase de recursos defensivos, una empresa puede enfrentar a los grupos del ransomware operado por humanos y detectar las señales tempranas de manera anticipada. Sin duda son agentes maliciosos sumamente capaces, sin embargo, su mayor ventaja siempre la encuentran en una estrategia de ciberseguridad “nada sofisticada”. Hablar de una estrategia anti-ransomware implica ver el problema no sólo como el recurso para evitar la materialización del cifrado de los datos, sino como un “libro de jugadas” muy bien planeado que, sin duda, le permite al defensor tener oportunidades de detección para evitar el impacto.
Juan Carlos Vázquez, Director para Latinoamérica de Attivo Networks