Si le preguntas a cualquier CISO qué le quita el sueño, la respuesta será el ransomware. Es una de las mayores fuentes de ingresos de los cibercriminales, pero sus efectos pueden ser devastadores para una empresa: es capaz de destruir sus sistemas operativos, lo cual implica un elevadísimo coste para poder recuperarlos o bien desencadena pérdidas de empleo o de valor bursátil. Y sí, un ataque de ransomware puede ser completamente evitable.
Breve historia del ransomware
El ransomware 1.0 realmente comenzó con la llegada de las criptomonedas, permitiendo a los cibercriminales monetizar anónimamente los ataques. En su primera iteración el malware era enviado libremente en cantidades masivas de emails maliciosos y exigían el pago desde cualquier máquina que infectara. Alcanzó su apogeo en mayo de 2017 con la oleada global del virus Wannacry, que utilizó un mecanismo de ataque automatizado para infectar cientos de miles de máquinas, provocando un auténtico pánico en la industria de la seguridad, ya que afectó a infraestructuras nacionales críticas como las instituciones sanitarias. Sin precedentes en su escala, Wannacry subrayó el hecho de que el ransomware era capaz de crear oportunidades de extorsión masivas tanto a instituciones privadas como públicas.
La encarnación actual, a menudo llamada ransomware de caza mayor o ransomware 2.0, es un ataque más dirigido y metódico. Los atacantes comprometerán un endpoint individual a través de un email, un protocolo de escritorio en remoto o un dispositivo vulnerable conectado a Internet como una VPN; se conectarán a la red e intentarán esconderse. Con el tiempo, aumentarán sus privilegios de acceso, identificarán los datos valiosos, extraerán información, “envenenarán” las copias de seguridad y luego plantarán el ransomware.
Cuando se detona el malware, la víctima dispone de pocos recursos. La opción de no pagar es todo un desafío, porque las copias de seguridad se ven comprometidas. Incluso, si se recuperan por sí mismas, el atacante filtrará todos sus datos confidenciales. Es una situación desoladora y la razón por la que los CISOs de todo el mundo temen esta misma situación. Y si esto de por sí ya es suficientemente malo, ¿qué es lo siguiente?
La próxima etapa del ransomware
La adopción de las tecnologías cloud, parcialmente impulsada por la COVID-19, ha hecho que las compañías tengan más dependencia en sistemas de terceros y en el almacenamiento de datos. En 2021 podremos ver cómo el ransomware evoluciona más agresivamente hacia infraestructuras cloud, ya sea usándolas como gateway de acceso a las identidades corporativas o directamente atacando a los datos almacenados en su interior. Este modelo de ransomware 2.5 también pondrá a las soluciones SaaS en el punto de mira y ampliará el potencial impacto y la influencia de los cibercriminales.
Los avances en los métodos de ataque, sin embargo, podrían traer aparejados riesgos adicionales. Los trickbots, un ransomware con un link de descarga, han experimentado su habilidad de permanecer en el BIOS (Basic Input Output System) de una máquina, persistiendo más allá de una reinstalación del sistema operativo y siendo capaz de alterar los controles centrales del ordenador. Residiendo en el nivel BIOS, el malware tiene el potencial de “enladrillar” el dispositivo. Como resultado, el ransomware puede aumentar (o cambiar) su nivel de influencia para que pagues. Puede revelar datos corporativos sensibles o amenazar con la simple destrucción del dispositivo, obligando a la compañía a comprar nuevos equipos antes de que puedan empezar con su recuperación.
El ransomware 3.0 representa, no obstante, un desarrollo más allá de la cadena de ataque, ya que extiende su impacto y crea un flujo de ingresos más a largo plazo para el atacante. Para entender esto, necesitamos dar un paso atrás.
Repensando la tríada CIA
La mayoría de los profesionales de seguridad consideran fundamental la confidencialidad en su trabajo, mientras que ven la integridad y la disponibilidad más como una responsabilidad del departamento de operaciones de TI. Muchas compañías, sin embargo, reconocen la importancia de estas tres cuestiones como parte de una gran infraestructura nacional, independientemente de si estas empresas se dedican a las centrales hidroeléctricas, los servicios de transportes públicos o pagos; y, durante mucho tiempo, han mantenido una aproximación diferente a la hora de priorizar esta clásica triada CIA (confidencialidad – integridad - disponibilidad).
- En algunas compañías con infraestructuras críticas, la integridad de los datos es lo principal. Sin esto, el servicio adoptaría decisiones incorrectas y cada una de estas decisiones crearía un problema de seguridad. Pongamos un ejemplo: imagina lo que sucedería si en operaciones de velocidad y priorización de trenes se dirige el tráfico ferroviario de una manera determinada, pero realmente no sucede así.
- Después de la integridad, debemos reflexionar sobre la disponibilidad. En la mayor parte de los casos es mejor no tener ningún sistema que uno que está operando con datos incorrectos. Es como si un sistema sanitario ofreciese información errónea en los historiales de pacientes.
- Finalmente, llega la confidencialidad. Perder la base de datos de clientes puede resultar dañino desde el punto de vista reputacional, legalmente desafiante y afectar negativamente a la lealtad de los mismos, pero raramente causará problemas de seguridad como los dos anteriores aspectos.
Ransomware 3.0
Los cibercriminales tienen la oportunidad de incluir ataques a la integridad como parte de su ransomware entregable. Como parte de su modus operandi actual de ataque, no sería una gran distracción para el propio atacante “envenenar” ciertos registros de datos y permitir que sean absorbidos por la cadena de backup. De este modo, los cibercriminales reciben un impulso adicional que podría materializarse de dos formas:
- Si una compañía decide no pagar el rescate y recuperarse o reconstruirse sin la supuesta “ayuda” de los atacantes, esta podría recibir una notificación sobre discrepancias en los datos principales, lo que debilitaría sus servicios. Si los atacantes han “envenenado” los backups, la empresa no será capaz de confiar en sus sistemas o registros y necesitaría pagar para que le indicasen los errores introducidos en los datos.
- Y si la organización paga el rescate y recupera sus datos, los atacantes podrían volver a visitarla y pedir pagos adicionales que subrayarían cualquier error que haya en los datos.
Una compañía que se enfrenta a una simple fuga de datos puede recuperarse, como si se tratase de una interrupción temporal del servicio. Sin embargo, las organizaciones se basan en la confianza del cliente. Si de repente los consumidores no pueden confiar en que sus bancos les digan cuánto dinero tienen en sus cuentas o no pueden fiarse de la tripulación que pilota un avión, el negocio se verá afectado y el daño reputacional a esa escala será simplemente irreparable.
El momento de pasar a la acción
El ransomware es un vector de ataque maligno y los profesionales de la seguridad están en lo cierto al verlo como una preocupación real. Pone a la organización al frente de decisiones desafiantes con pocos resultados positivos en el horizonte. Hay quien dice que el único movimiento ganador es no participar. Pero es más importante que nunca que los CISOs tomen todas las medidas necesarias para evitar estos ataques de la siguiente manera:
- Proteger gateways obvios. Dejar las pasarelas VPN sin parchear es una invitación al desastre. Lo mismo ocurre con conexiones RDP o cualquier pasarela de Internet. Debe asegurarse diariamente la revisión y el control del perímetro.
- Centrar los controles en los principales vectores de ataque: correo electrónico y personas. Hay que prevenir los ataques y las descargas de malware, cerciorándose de que tanto el correo electrónico como la formación en ciberseguridad para empleados son todo lo buenas que pueden ser, ya que es aquí donde se origina gran parte de los ataques.
- Detectar y prevenir el compromiso de credenciales. El robo de credenciales y el mal uso que se hacen de ellas son puntos de partida para los atacantes. Desde ahí se pueden lanzar ataques Business Email Compromise y Email Account Compromise, también robar datos, dañar registros y plantar ransomware. El compromiso de credenciales es el primer signo de que una organización está siendo atacada, así que hay que prestar especial atención.
- Restablecer backups offline. El atractivo de backups near-line e instantáneos ha llevado a muchas empresas a eliminar versiones no digitales, lo que supone que los delincuentes con credenciales robadas puedan ser capaces de dañar estos sistemas de backup. Por ello, no hay que dejar de considerar alternativas offline.
- Invertir en software de análisis de backup. Las grandes tecnológicas ahora procesan análisis sobre los movimientos de los datos, permitiendo identificar cambios imperceptibles en la información a lo largo del tiempo. Esto puede pasar inadvertido durante el ataque, pero ofrece una forma de identificar un camino de vuelta para recuperar completamente la integridad de los datos.
- Revisar el manual de estrategia sobre ransomware. Si una empresa no lo tiene, debe convertirse en su prioridad número uno. Hay que pensar en la capacidad de ganar confianza en la integridad de los datos en caso de no poder hacerlo en los backups.
- Redoblar esfuerzos cuando sea necesario. Garantizar la seguridad de los sistemas críticos puede significar invertir en una infraestructura informática completamente paralela, aunque desconectada, que proporcione respaldo en caso de que falle el sistema principal. Esto no es precisamente barato, pero puede ser de máxima seguridad a la hora de garantizar la continuidad del servicio en caso de un ataque.
Por Andrew Rose, CISO interno de Proofpoint en la región de EMEA