En la última década, el ransomware pasó de ser un delito relativamente oscuro a una industria multimillonaria, con las empresas más grandes e incluso los gobiernos en la mira.
Los grupos organizados de ciberdelincuencia exigen rescates de seis y siete cifras o más a sus víctimas. Utilizando una combinación de infiltración en la red, malware y criptografía, el ransomware impide que las empresas accedan a sus datos al atacar el almacenamiento, cifrar los datos e incluso deshabilitar las copias de seguridad.
Los grupos de delitos cibernéticos también se han visto impulsados por el crecimiento de las criptomonedas, que brindan a los delincuentes una forma de obtener pagos de bajo riesgo, y por técnicas que van más allá del cifrado de datos. Estos incluyen ataques de extorsión doble y triple y amenazas para divulgar datos confidenciales.
Los ataques de ransomware como los que afectaron a Maersk, Colonial Pipelines y Irish Heath Services Executive han dominado los titulares debido a la interrupción que causaron. Pero los ataques de ransomware ahora son comunes y cada vez más difíciles de prevenir.
Según los expertos de Kroll, una empresa de seguridad de datos, entre el 25% y el 45% de las investigaciones de la firma actualmente involucran ataques de ransomware.
Laurie Iacono, directora general asociada que cubre la inteligencia de amenazas en Kroll, dice que una pequeña cantidad de grupos de ransomware ahora están detrás de la mayoría de los ataques, y hasta el 86% de los ataques ahora involucran la exfiltración de datos, no solo el cifrado.
“Lo que vemos es que el ransomware se ha convertido en un vector de ataque predominante”, dice.
¿Cómo funcionan los ataques de ransomware?
La ruta convencional para que el ransomware ingrese a una organización es a través de un archivo adjunto infectado que contiene un archivo ejecutable, o engañando a los usuarios para que visiten un sitio web que contiene malware. Ese software inyectado se despliega en la red y busca sus objetivos.
Los ataques de extorsión doble y triple crean puertas traseras en los sistemas que permiten a los atacantes exfiltrar datos. Cada vez más, esto va de la mano con la desactivación de las copias de seguridad y los ataques a los servicios centrales de la red, como Active Directory.
La última generación de ataques de ransomware tiene como objetivo los sistemas de copia de seguridad, los dispositivos y las máquinas virtuales. “Están apuntando a dispositivos físicos y dispositivos virtualizados”, dice Oisin Fouere, jefe de respuesta a incidentes cibernéticos de la consultora KPMG.
“Muchos sistemas de copia de seguridad están alojados en una infraestructura virtual. Han comenzado a apuntar y eliminar información a nivel del sistema operativo en esos sistemas, así como también a perseguir los huesos básicos de los sistemas”.
Y, como señala Iacono de Kroll, los grupos de ransomware a menudo reclutan personas con conocimientos técnicos sobre sistemas de copia de seguridad.
Pero primero, el ransomware debe ingresar a la red corporativa. El enfoque convencional, y aún el más común, es utilizar un ataque de phishing u otras formas de ingeniería social para enviar archivos adjuntos infectados o convencer a los empleados para que hagan clic en enlaces web infectados.
Durante el confinamiento, los grupos de ransomware explotaron las debilidades de las redes privadas virtuales y los sistemas de escritorio remoto, lo que provocó un aumento en los casos de ransomware.
“Había mucha exposición en torno a los sistemas de acceso remoto mal protegidos o configurados de forma inadecuada, lo que significaba que los atacantes no necesitaban perder tiempo tratando de resolver el problema del vector de intrusión”, dice Fouere de KPMG. “Casi se les presentó un escenario con la puerta principal abierta, y esa fue una de las opciones favoritas en los últimos años”.
El endurecimiento de estos puntos de acceso está detrás de una caída reciente en los incidentes de ransomware. Sin embargo, los expertos advierten que esto no es motivo de complacencia.
Como dice Keith Chappell, un experto en seguridad cibernética de PA Consulting, estamos viendo “ataques más deliberados, más dirigidos y mejor investigados que en realidad tienen un propósito, ya sea interrumpir las operaciones… o extorsionar para ganar dinero”.
¿Cómo afecta un ataque de ransomware al almacenamiento y la copia de seguridad?
Los ataques de ransomware se propusieron negar el acceso a los datos. Los ataques de primera generación tenían como objetivo las unidades de disco, a menudo en las PC de las personas, con métodos de encriptación de grado bastante bajo. Las víctimas podían obtener un código de descifrado por unos pocos cientos de dólares.
Sin embargo, los ataques modernos son más selectivos y más dañinos. Los atacantes utilizan cada vez más el reconocimiento para encontrar objetivos de alto valor. Estos incluyen datos personales identificables, como registros de clientes, comerciales o de salud, o propiedad intelectual. Estos son los archivos que las empresas más temen que se publiquen en público.
Pero los atacantes también tienen como objetivo las redes y los datos de administración de acceso e identidad, los sistemas operativos, incluida la tecnología operativa, y los flujos de datos en vivo, así como las copias de seguridad y los archivos. Los ataques de doble y triple extorsión que persiguen las copias de seguridad o la recuperación ante desastres y los sistemas de continuidad del negocio ofrecen la mayor posibilidad de pago. Sin la capacidad de recuperar un sistema o restaurar datos de copias de seguridad, las empresas pueden tener pocas opciones más que pagar.
Y los atacantes también buscan cuentas que puedan comprometer y usar para escalar privilegios, para llevar a cabo ataques adicionales o más profundos. Por lo tanto, los equipos de seguridad deben proteger no solo los principales almacenes de datos, sino también los sistemas administrativos.
“Muy a menudo, un ataque de phishing o un ataque de rescate se puede usar como una técnica de enmascaramiento para otra cosa que está sucediendo, o se puede enmascarar haciendo otra cosa”, advierte Chappell de PA Consulting.
¿Cómo ayudan el almacenamiento y la copia de seguridad en caso de un ataque de ransomware?
Aunque los piratas informáticos criminales apuntan activamente a las copias de seguridad, siguen siendo la mejor defensa contra el ransomware.
Las empresas deben asegurarse de realizar copias de seguridad regulares y que estas sean inmutables, almacenadas fuera del sitio o, idealmente, ambas cosas. “Debe hacer una copia de seguridad de los datos diariamente, semanalmente y mensualmente, y debe almacenar las copias de seguridad en ubicaciones físicamente separadas y desconectadas, idealmente en diferentes formatos”, dice Chappell.
Mucho se ha dicho sobre la necesidad de “liberar” los datos de los sistemas que podrían ser atacados, y esto es más importante que para el almacenamiento de copias de seguridad. Sin embargo, los medios de copia de seguridad más antiguos, como las cintas, suelen ser demasiado lentos para permitir una recuperación completa en los plazos que exige la empresa.
“Las organizaciones se dieron cuenta de que no pueden esperar varios meses para restaurar estas copias de seguridad en cinta”, dice Fouere de KPMG. En cambio, dice, los clientes están buscando resiliencia y recuperación basadas en la nube, principalmente por velocidad.
A su vez, los proveedores de copias de seguridad y los proveedores de servicios en la nube ahora ofrecen copias de seguridad inmutables como una capa adicional de protección. Los sistemas de continuidad del negocio activo a activo de gama alta siguen siendo vulnerables al ransomware, ya que los datos se copian del sistema principal al sistema de respaldo. Por lo tanto, las empresas necesitan copias de seguridad sólidas y formas de escanear volúmenes en busca de malware antes de que se utilicen para la recuperación e, idealmente, mientras se guardan los datos.
Pero las organizaciones de TI también deben tomar medidas para proteger los propios sistemas de copia de seguridad. “También son vulnerables, al igual que cualquier otro producto de software”, dice Iacono de Kroll. “Tienes que asegurarte de que los sistemas de respaldo estén parcheados. Hemos tenido casos en los que los actores de amenazas aprovechan las vulnerabilidades en los sistemas de respaldo para ayudarlos con la filtración de datos o para evadir la detección”.
Algunos equipos de TI van más allá. Dado que los grupos de ransomware dedican más tiempo al reconocimiento, las empresas ocultan los nombres de los servidores y los volúmenes de almacenamiento. Es un paso simple y de bajo costo para evitar el uso de etiquetas obvias para almacenes de datos de alto valor, y podría ganar un tiempo valioso cuando se trata de cerrar un ataque.
¿Cuáles son los límites de almacenamiento y copia de seguridad como protección contra ransomware?
La buena disciplina en torno a las copias de seguridad de datos ha reducido la eficacia de los ataques de ransomware. Esto puede explicar por qué los grupos delictivos cibernéticos se han movido a ataques de doble y triple extorsión, apuntando a sistemas de respaldo y extrayendo datos.
El uso de copias de seguridad inmutables junto con el almacenamiento en disco o en la nube aún minimiza el impacto del ransomware. Pero las empresas deben asegurarse de que todas las partes de los sistemas críticos estén completamente protegidas. Esto incluye pruebas. Incluso si se realiza una copia de seguridad de un almacén de datos principal, un sistema puede fallar en la restauración si los datos operativos o de administración están encriptados, porque se han dejado fuera del plan de copia de seguridad.
Y las empresas también deben permitir la restauración de datos cuando existan buenas copias de seguridad. Incluso con las últimas herramientas de copia de seguridad y recuperación, este sigue siendo un proceso disruptivo.
Las copias de seguridad inmutables tampoco evitarán la exfiltración de datos. En este caso, las empresas deben invertir en el cifrado de los activos de datos. Solo pueden hacer esto si tienen una comprensión precisa y actualizada de dónde están sus datos. Las organizaciones deben buscar herramientas de monitoreo que puedan detectar movimientos de datos inusuales e invertir en la protección de cuentas de usuarios privilegiados.
Dado que la mayoría del ransomware aún se propaga mediante el phishing y la ingeniería social, las empresas pueden tomar medidas técnicas para proteger su perímetro.
Pero capacitar al personal para detectar correos electrónicos, enlaces y archivos adjuntos sospechosos, junto con la autenticación de múltiples factores, son las defensas más sólidas contra el ransomware. Para el ransomware, al igual que con otras formas de fraude y delincuencia en línea, la concienciación sobre la seguridad es una parte esencial de la defensa en profundidad.