29/10/2020

El ransomware, aupado por el coronavirus

Los ciberdelincuentes son cada vez más atrevidos y la culpa es de la pandemia. Más que de amenazas latentes hay que hablar de ataques de gravedad y frecuencia pocas veces vistas. Lo que se lleva este año es el ransomware, no sólo por el número de casos sino porque abre la puerta a nuevas técnicas de extorsión. Además de exigir rescate a cambio de desbloquear el sistema secuestrado, los hackers amenazan con filtrar los datos si no se les paga. Según la entrevista a Eugene Kaspersky  https://www.norbertogallego.com/eugene-kaspersky-2/2020/10/26/ ,  “es el negocio más fácil que tienen a su alcance aquellos cuya única motivación es el dinero”. Tal vez lo peor sea la ocultación de lo ocurrido (cuando se puede) para evitar daños en la reputación de las víctimas.

Para los ciberdelincuentes, el ransomware es la amenaza más lucrativa porque combina intrusión con extorsión. Organizaciones que robaban información bancaria han visto que es más eficaz chantajear a empresas mediante el cifrado de las informaciones que les permiten funcionar. El robo de datos personales, que durante años ha sido el objetivo prioritario para estos grupos, es hoy menos lucrativo porque hay menos cantidad de ellos disponible en el mercado negro, debido precisamente a que muchas compañías han tenido brechas de seguridad. Además, los emisores de ransomware se aprovechan de una tendencia al alza: cada vez es más común – aunque no por ello más barato – contratar un seguro contra la eventualidad de un ciberataque, que puede convertirse en arma de doble filo.

Ejemplos recientes y cercanos han sido el ataque que ha dejado noqueada durante semanas a SegurCaixa Adeslas, hasta el punto de que el papel y el boli volvieron a ser imprescindibles, o el que afecto el funcionamiento de Endesa. Por supuesto, se ignora qué solución han encontrado, pero cada caso es distinto por definición. Al mismo tiempo, la desactivación de la botnet Trickbot, una de las lanzaderas del malware Ryuk, ha sido un éxito compartido por Microsoft, ESET https://www.eset.com/blog/business/reexamining-infamous-ryuk-ransomware-via-eset-telemetry-1/ y otras empresas de ciberseguridad, pero una espiga no hace molienda. Los informes de distintas fuentes coinciden en una conclusión: el ransomware ha crecido espectacularmente desde el estallido de la crisis sanitaria.

Los especialistas de IBM Security X-Force han informado que en el segundo trimestre la incidencia de estos ataques se triplicó en comparación con el anterior; el 60% de los casos se concentraron en Asia y en Norteamérica. Por su lado, CheckPoint https://www.checkpoint.com/es/press/2018/cinco-consejos-para-prevenir-el-ransomware/ ha identificado una tendencia similar: más de un 50% en tres meses globalmente, casi el doble en Estados Unidos. La compañía israelí concreta la capacidad infecciosa de Ryuk en 20 empresas por semana.

Una de las razones por las que ha aumentado tanto el número de estos ataques es obviamente la avalancha del trabajo a distancia. El pelotón de empleados que de un día para otro han tenido que dejar las oficinas y trabajar desde casa es una fuente de vulnerabilidad ante la difusión de códigos maliciosos. Las redes domésticas son más débiles que las corporativas https://www.norbertogallego.com/jose-tormo-banos/2020/05/25/ y están menos protegidas. A lo que se suman los problemas a posteriori: investigar los puntos frágiles y restaurar una red puede llevar semanas o incluso meses. Si la plantilla trabaja en remoto, las pérdidas se multiplican. Son dos poderosas razones para ceder al chantaje, pero esto naturalmente envalentona a la delincuencia organizada.

Los propios atacantes son conscientes de la debilidad de sus víctimas y modifican su modus operandi. Una de las tendencias observadas por las compañías de seguridad es el incremento de las sumas exigidas: IBM señala que se ha pasado de cantidades casi testimoniales a un caso extremo de 40 millones de dólares. En consonancia, han cambiado los objetivos: apunta a las grandes empresas antes que a las pymes, porque suponen que estarán más dispuestas a ceder ante la extorsión (y a pagar sumas más altas). Como ejemplo, se ha observado que el malware Sodinokibi pide con frecuencia una suma calculada como porcentaje de la facturación de la víctima. Y no es un ejemplo menor: IBM considera que es uno de los tres más corrientes y que en 2020 lleva recaudados unos 81 millones de dólares.

Lo que significa que los delincuentes no diseñan sus ataques a bulto sino afinando el cálculo de lo que la atacada puede considerar que más vale la pena pagar que denunciar. También experimentan la predisposición en principio de cada sector. En 2019, las compañías más castigadas fueron las financieras; este año, casi una cuarta parte de los incidentes han ido contra  empresas manufactureras, seguidas de servicios profesionales y universidades https://securityintelligence.com/posts/ransomware-2020-attack-trends-new-techniques-affecting-organizations-worldwide/?category=threat-intelligence . El 41% de los ataques ransomware analizados por la Security X-Force han tenido como objetivo a compañías con redes OT – factorías, plantas petroquímicas, utilities, transporte, obras públicas – que no pueden permitirse riesgos de  interrupciones en sus operaciones. También las instituciones académicas han vivido un incremento en el número de ataques. Pero el gran salto – y en ocasiones dramático – se ha dado en el sector sanitario https://www.norbertogallego.com/el-sistema-sanitario-un-iman-para-ciberataques/2020/05/06/ con ataques a centros hospitalarios. CheckPoint afirma que en Estados Unidos este es el sector más atacado en los últimos meses.

Si el problema del ransomware se ha agravado en 2020, no ha sido sólo por la cantidad sino sobre todo por la renovación de la receta básica, en sí misma muy simple. Primero, los atacantes encuentran forma de obtener beneficio incluso si la compañía afectada consigue descifrar la información y recuperar el funcionamiento normal. Cada vez son más los ataques que combinan el secuestro con la copia de piezas de información valiosa, que amenazan poner en el mercado negro si no reciben el pago exigido. La consultora Kroll apunta que el 42% de los casos con una variante conocida de ransomware están compinchados con otro grupo delictivo. Maze  https://www.kroll.com/en/insights/publications/cyber/latest-maze-ransomware-ttps , la tercera familia en abundancia, airea que las credenciales que obtiene de las empresas que no paguen, serán usadas para atacar a partners y clientes, así que muchas víctimas se lo piensan dos veces.

Pagar es siempre una mala idea. Así lo afirman, como cuestión de principio, las firmas especializadas y las autoridades. Someterse a la extorsión no garantiza que a la empresa le devuelvan la información íntegra ni que no se la vuelvan a cifrar o que no aparezca en circuitos clandestinos. Además, hay un factor agravante: cada transferencia de dinero incentiva nuevos ataques, así como el incómodo etiquetado como buen pagador. Algunas voces han sugerido la ilegalización de estos pagos, pero lo cierto es que muchas empresas no ven otra salida para restaurar sus sistemas.

Según la rama de investigación del Wall Street Journal, las empresas más propensas a pagar (en Estados Unidos) son las de construcción (74% dicen que lo considerarían) y las tecnológicas (57%).

No es el único dilema. En los casos de ransomware, por el camino pueden perderse datos y por ello la normativa obliga a las compañías a informar del ataque. Pero pocas lo hacen y hasta ahora las autoridades se resignan, en espera de encontrar fórmulas eficaces. Se acepta generalmente en silencio que un suceso de esta naturaleza es dañino para la reputación de las empresas e incluso perjudicial para la imagen del país [ay de la marca España] pero esta opacidad va en detrimento de la investigación de los ataques.

En su Internet Organised Crime Threat Assessment 2020  https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2020 , Europol destaca la falta de avisos por parte de las empresas afectadas. En una encuesta, el organismo coordinadora de los cuerpos policiales europeos destacaba que informar a las autoridades no estaba entre las prioridades para las víctimas de un ciberataque, prefiriendo concentrarse en garantizar la continuidad de sus operaciones y limitar daños adicionales de reputación. Y apuntaba otra razón que no deja de ser atendible: la mayoría de las empresas atacadas no creen que las autoridades tengan capacidad real para ayudarlas.

El proyecto No More Ransom https://www.europol.europa.eu/newsroom/news/no-more-ransom-law-enforcement-and-it-security-companies-join-forces-to-fight-ransomware  , de Europol, trata de combatir esa impresión ofreciendo gratuitamente herramientas de descifrado referidas a cientos de familias de ransomware. Aunque las recomendaciones siguen siendo las de costumbre: es esencial la planificación y la prevención, que incluye bloquear todo acceso RDP innecesario, usar siempre autenticación de doble factor, etcétera. O, aun más genéricas pero descuidadas, como mantener actualizado el software, hacer copias de seguridad regularmente y, cómo no, formar a la plantilla para evitar que piquen el anzuelo del phishing. La puesta en práctica de un plan de respuesta ante estos incidentes es otra medida que debería ser de adopción obligada en un contexto en el que el ransomware campa a sus anchas. Pero es difícil esperar que la especie humana aprenda tras tropezar dos veces en la misma piedra.

[informe Pablo G. Bejerano]


Contacto Suscríbete RSS


Sobre el autor. Copyright © 2024 El dominio norbertogallego.com es propiedad y está administrado por Diandro SL. B85905537. Creative Commons