Durante la pandemia de Covid-19, los ataques de ransomware han crecido a un ritmo rápido y los principales ataques ahora aparecen en los titulares de noticias casi semanalmente. Las organizaciones se enfrentan al dilema de invertir ahora en iniciativas como las modernas capacidades de copia de seguridad para mitigar estos ataques o apostar a que escaparán de la atención de los delincuentes de ransomware. Las probabilidades no son buenas para quienes no hacen nada. Como escribió George Bernard Shaw: “En el juego, muchos deben perder para que unos pocos ganen”.
Una de las razones por las que las probabilidades son tan malas es que los atacantes de ransomware no tienen conciencia moral y no es probable que la obtengan pronto. Podemos ver eso en ataques recientes que se llevaron partes críticas de nuestra infraestructura y arriesgaron vidas en el proceso. Sin embargo, vivimos en un mundo donde los piratas informáticos están fuera del alcance de nuestros poderes jurisdiccionales. Con los gobiernos de aquellos países donde los piratas informáticos disfrutan de la libertad de perpetrar estos delitos y no están dispuestos a hacer nada con respecto a sus actividades, seguiremos sufriendo estos ataques y solo aumentarán en términos de volumen y complejidad.
Un riesgo adicional es que las organizaciones crean erróneamente que, debido a que son relativamente pequeñas u oscuras, no serán el objetivo. Desafortunadamente, los ataques a menudo tienen lugar a escala industrial, y los atacantes simplemente envían el equivalente a correos masivos. Todo lo que necesitan es que un usuario haga clic en un enlace y proporcione sus detalles para que se implemente el ransomware.
Junto con esta capacidad de esconderse fuera del alcance de las fuerzas del orden, los ataques de ransomware también se han vuelto cada vez más fáciles de montar. Hay tutoriales en línea, o los ataques son respaldados por sindicatos criminales que lo tratan como un negocio profesional, cobrando tarifas a los posibles delincuentes de ransomware para configurarlos a cambio de una parte de los ingresos del ransomware. En el entorno actual de Covid-19, las empresas dependen cada vez más de la infraestructura digital y más están dispuestas a pagar un rescate, lo que incentiva aún más el delito.
Los métodos de pago para cobrar el rescate ahora son mucho más fáciles de explotar para los delincuentes. Aunque el valor de la criptomoneda está fluctuando, el nivel de rentabilidad en la realización de ataques de ransomware, junto con la falta de cualquier otro método de pago alternativo anónimo, no disuadirá a los atacantes por ahora. Para aquellos desafortunados que hayan sido atacados y que decidan pagar el rescate, no hay garantía de que los atacantes devuelvan los datos de una organización, y aquellos que los atacantes saben que están dispuestos a pagar pueden ser atacados nuevamente.
Incluso aquellos que se niegan a pagar el rescate quedan expuestos. En un caso reciente en Irlanda, el grupo de ransomware Conti pidió al servicio de salud 20 millones de dólares (14 millones de libras esterlinas) para restaurar los servicios. Aunque el servicio de salud se negó y los atacantes finalmente entregaron una clave de descifrado sin recibir un rescate, aún publicaron datos robados de pacientes.
Esta es una indicación de que podemos ver una ola de ataques significativos relacionados con la extorsión de dinero a través de la publicación de información confidencial asegurada a través de violaciones de datos. Esto a menudo se comercializa en la web oscura y puede incluir activos de propiedad intelectual críticos, que son muy valorados por las organizaciones.
Entonces, ¿las probabilidades cambiarán pronto? Bueno, hay algunos movimientos positivos. El grupo de trabajo estadounidense sobre ransomware y extorsión digital recientemente establecido, creado para eliminar los servicios que “apoyan los ataques, como foros en línea que anuncian la venta de ransomware o servicios de alojamiento que facilitan las campañas de ransomware”, es uno de esos pasos. A principios de junio, el Departamento de Justicia anunció que había recuperado el 85% del bitcoin que Colonial Pipeline había pagado a DarkSide. Ahora hay un enfoque en explotar la tecnología blockchain subyacente que admite bitcoin para proporcionar una forma de intentar rastrear fondos.
Existe la posibilidad de que la acción internacional o la diplomacia puedan ofrecer alguna esperanza. La administración Biden parece haber comprendido el problema, reconociendo que se está convirtiendo en un problema político que debe abordarse. Biden planteó el aumento de los ataques de ransomware con el presidente ruso Vladimir Putin en su cumbre del 16 de junio en Ginebra. Esto dio lugar a un acuerdo en principio de que se debe hacer algo para abordar el problema, pero aún está por verse si las autoridades rusas están dispuestas a unir fuerzas con las de Estados Unidos para abordar el problema.
Mientras tanto, para reducir las probabilidades de un ataque de ransomware exitoso, las organizaciones deben asegurarse de tener un enfoque efectivo de copia de seguridad y restauración. También deben realizar parches rigurosos de aplicaciones y redes, capacitar continuamente a sus empleados sobre cómo evitar hacer clic en enlaces sospechosos y proporcionar sus detalles.
Esto debe basarse en garantizar que sus activos críticos estén protegidos a través de una defensa cibernética en capas, incluida la encriptación de datos en reposo o varias técnicas de anonimización, detección de intrusiones y segmentación de red mediante el uso de tecnologías de diodos de datos, por ejemplo, soluciones aprobadas por NCSC como Oakdoor.
El juego es una estrategia de alto riesgo. No hacer nada frente a la amenaza del ransomware y esperar lo mejor ofrece algunas de las peores probabilidades con las que se encontrará.