El ransomware cambia rápidamente. A nivel técnico, la infraestructura de ataque puede cambiar minuto a minuto, modificando operativamente las técnicas de ataque mientras apunta estratégicamente a ciertos sectores, industrias o regiones en los momentos apropiados.
Los agentes de acceso trabajan en varios grupos, los operadores cambian de red de bots y los desarrolladores de malware refinan continuamente sus técnicas. Toman prestadas las tácticas del otro, se pelean y se reconcilian.
En los últimos 24 meses, esta actividad ha creado un entorno de amenazas más caótico, diverso y complejo, un entorno del que debemos monitorear y aprender para preparar mejor nuestras herramientas y controles de detección y prevención.
Si bien todos estamos trabajando en proyectos de respaldo, recuperación y resiliencia, no debemos olvidar que un objetivo central para los defensores de nuestra red debe ser nunca hay que usarlos.
Hacemos esto habilitando y encargando nuestra función de inteligencia de amenazas cibernéticas para monitorear la amenaza de ransomware y nuestra superficie de ataque, lo que permite recomendaciones prácticas que podrían evitar que ocurra un ataque de ransomware.
Mirar externamente, monitorear las acciones de los actores de amenazas, sus tácticas y técnicas, la infraestructura de ataque y recopilar indicadores nos permite refinar nuestros controles de seguridad, lógica de detección y capacidades de búsqueda de amenazas.
Cada una de estas actividades limita aún más la posibilidad de un brote de ransomware.
Aquellos con el presupuesto o la capacidad interna también buscarán simular lo que han aprendido con probadores de penetración o equipos rojos o morados.
Para respaldar dicha actividad, debe haber una vulnerabilidad integral y una capacidad de inteligencia de explotación.
Es fundamental alinear las vulnerabilidades y los exploits que los actores utilizan contra los sistemas de una organización. Las funciones de inteligencia deben proporcionar evaluación para apoyar la gestión de vulnerabilidades. ¿La vulnerabilidad está escondida en las profundidades oscuras de la red o es accesible a través de los sistemas perimetrales? ¿Está siendo escaneado por actores que sabe que actualmente están apuntando a su región o industria?
Es vital garantizar el contexto para respaldar las prioridades de aplicación de parches. Hacer esto, mientras escanea continuamente sus propios perímetros en busca de debilidades, servicios en la sombra o configuraciones incorrectas, son todas herramientas para reducir la probabilidad de un ataque de ransomware exitoso.
Dentro de la función de inteligencia, quedan dos tareas importantes.
El primero es monitorear el ecosistema asociado. Si bien esto generalmente comprende elementos como proveedores de servicios críticos, socios, oficinas regionales y empresas del grupo, por ejemplo, la cadena de suministro es actualmente el elemento más crítico.
Numerosas empresas se ocupan de las infracciones de ransomware y de datos, no desde dentro de su propia empresa, sino desde su cadena de suministro. Ya sea que el proveedor tenga o no acceso directo a la red, proporcione software con posibles actualizaciones maliciosas o tenga datos confidenciales, monitorear el ecosistema más amplio, particularmente la cadena de suministro, ahora es tan importante como monitorear su organización.
Saber quién puede apuntar a sus proveedores y cuál es la superficie de ataque podría tener un impacto significativo en la probabilidad de que su organización o sus datos se vean comprometidos por operadores de ransomware.
En segundo lugar, por maravilloso que sea todo esto, este trabajo no alcanzará todo su potencial a menos que lo compartas.
No hay mejor inteligencia disponible en ninguna parte que los conocimientos de organizaciones similares que han detectado un ataque. Ya sea compartir los indicadores técnicos, las técnicas de operación observadas, la lógica de detección o la cadena de búsqueda de amenazas utilizada, todo tiene valor.
El ransomware se volvió endémico porque el retorno de la inversión (RoI) para los operadores es alto.
Cuanto más difícil les resulte compartiendo conocimientos, más reduciremos ese ROI hasta el punto en que los riesgos frente a las recompensas se reduzcan tanto que podríamos comenzar a ganar la guerra.