Cómo funcionan las negociaciones de ransomware

0
51

El ransomware ha sido una de las amenazas de malware más devastadoras a las que se han enfrentado las organizaciones en los últimos años, y no hay indicios de que los atacantes se vayan a detener pronto. Es muy rentable para ellos. Las demandas de rescate han crecido de decenas de miles de dólares a millones, e incluso decenas de millones, porque los atacantes han aprendido que muchas organizaciones están dispuestas a pagar.

Muchos factores y grupos están involucrados en las decisiones de pago del ransomware, desde los CIO y otros ejecutivos, hasta asesores externos y compañías de seguros, pero la creciente necesidad de realizar dichos pagos ha creado un mercado para consultores y empresas que se especializan en la negociación de ransomware y la facilitación de los pagos mediante criptomonedas.

¿Qué sucede cuando golpea el ransomware?
En un mundo ideal, un ataque de ransomware debería desencadenar un muy ensayado plan de recuperación en caso de desastres, pero desafortunadamente muchas organizaciones se ven tomadas por sorpresa. Si bien las grandes empresas pueden tener un equipo de respuesta a incidentes y un plan para lidiar con los ciberataques, generalmente faltan los procedimientos para lidiar con varios aspectos específicos de un ataque de ransomware -incluida la amenaza de una fuga de datos, comunicarse externamente con clientes y reguladores, y tomar la decisión de negociar con actores de amenazas.

«Incluso en las grandes empresas que cotizan en bolsa y cuentan con planes de RI (respuesta a incidentes), por lo general no cubren los detalles relacionados con el ransomware”, comenta Kurtis Minder, CEO de la firma de negociación de ransomware e inteligencia de amenazas, GroupSense. «Una vez que llegamos al proceso de negociación del descifrado, de tomar esa decisión de negocio, de determinar quién debería estar involucrado, mucho de esto no está documentado. Tampoco existe ningún plan de comunicación o relaciones públicas. Nada de eso existe en la mayoría de las empresas con las que contactamos, lo cual es lamentable”.

Incluso para las empresas que han practicado sus planes de RI y tienen procedimientos establecidos, sigue produciéndose una especie de pánico cuando llega el ransomware, según Ian Schenkel, vicepresidente de EMEA en Flashpoint, otro proveedor de inteligencia de amenazas que también ofrece servicios de respuesta ante el ransomware. «No estamos tratando simplemente con un ransomware que cifra archivos y una red completa. Lo que estamos viendo últimamente es una especie de segundo factor en el que, en realidad, están tratando de pedir más dinero diciendo: ‘si usted no paga el rescate, publicaremos toda la información que tenemos sobre su organización’”.

En otras palabras, a medida que más grupos de ransomware adoptan esta técnica de doble extorsión, al combinar el cifrado de archivos con el robo de datos, un ataque de ransomware que, en última instancia, es una denegación de servicio, también se convierte en una filtración de datos. Según el lugar del mundo en el que se encuentre, y qué tipo de datos se vieron comprometidos, dicha filtración se encuentra sujeta a diversas obligaciones regulatorias. Si bien en el pasado las empresas privadas no tenían que revelar públicamente los ataques de ransomware, podrían verse cada vez más obligadas a hacerlo debido a este componente de robo de datos.

Se deben realizar dos acciones críticas y urgentes cuando se produce un ataque de ransomware:

  1. Identifique cómo entraron los atacantes, cierre el agujero y expúlselos de la red.
  2. Comprenda con qué está lidiando, lo que significa determinar la variante de ransomware, vincularla a un actor de amenazas y establecer su credibilidad, especialmente si también realizan amenazas de filtración de datos.

La primera acción requiere un equipo de respuesta a incidentes, ya sea interno o externo; mientras que la segunda puede requerir una empresa que se especialice en inteligencia de amenazas.

Algunas grandes empresas tienen acceso permanente a estas firmas, pero muchas organizaciones no y, a menudo, se sienten perdidas cuando se enfrentan a un ataque de ransomware y terminan perdiendo un tiempo precioso. En esos casos, la mejor opción podría ser contratar un abogado externo con experiencia en la gestión de respuestas a ciberataques. Según los abogados de la firma legal internacional, Orrick, que hablaron con CSO, en alrededor del 75% de los casos se llama primero a un abogado externo y se inicia el proceso de respuesta, que incluye:

  • Notificación a la policía
  • Involucrar personal forense
  • Realización de una reunión interna con el liderazgo de la organización
  • Cubrir la investigación de acuerdo con privilegio
  • Evaluar las notificaciones, dirigidas al exterior, que puedan ser necesarias
  • Ayudar a la organización de la víctima a ponerse en contacto con su compañía de seguros para notificarle sobre el ataque y obtener la aprobación de los costos, incluidos abogados, análisis forense, comunicación de crisis y cualquier otra cosa que sea necesaria, incluido el pago del rescate si se tomó esa decisión.

¿Quién decide si se paga el rescate?
Las conversaciones con el proveedor de seguros deben iniciarse temprano porque, según lo que indique la póliza, es posible que tengan una mayor o menor participación en la selección del proveedor de RI, así como en la de otros grupos que asistirán a confrontar el incidente. Las compañías de seguros suelen tener listas de proveedores aprobados.

Sin embargo, cuando se trata de decidir si pagar el rescate o no, según la experiencia de los abogados de Orrick, las empresas toman esa decisión por su cuenta y luego se comunican con su proveedor de seguros para ver si lo aprueban. En algunos casos, la empresa afectada puede decidir pagar -independientemente de si se encuentra cubierta o no por su seguro- el ransomware, porque el impacto del ataque en su negocio es tan dañino que no puede permitirse dejar de hacerlo. Dichas empresas esperan recuperar más tarde el dinero, o parte de este, del proveedor de seguros.

El proceso de toma de decisiones generalmente involucra al asesor legal, al CIO y al COO. El asesor legal sopesa la decisión basándose en la legalidad y el riesgo. El CIO y su equipo están a cargo de los procesos de backup y los planes de continuidad del negocio o recuperación ante desastres. El COO toma la decisión en función de cómo los datos involucrados afectan las operaciones. Por ejemplo, el CIO puede determinar que existen backups, pero la cantidad de sistemas afectados es tan grande que restaurarlos llevará mucho tiempo, y el COO puede decidir que las operaciones comerciales no pueden sobrevivir con un tiempo de inactividad prolongado. En última instancia, es una decisión comercial. Es por esto por lo que, con frecuencia, el CEO también intervendrá y/o dará la aprobación final para pagar el rescate, afirman los abogados de Orrick.

Antes de aprobar un pago de ransomware, las compañías de seguros harán varias preguntas, como el estado de los backups, si fueron destruidos durante el ataque, si existen backups offsite, cuántos sistemas se vieron afectados o cuánto tiempo llevará restaurarlos. También es probable que investiguen al actor de la amenaza para determinar si están en la lista de sanciones del Departamento del Tesoro y, de ser así, podrían rechazar el pago porque tienen excepciones para eso en sus pólizas.

En octubre, la Office of Foreign Assets Control (OFAC) del Departamento del Tesoro emitió un aviso recordándoles a las organizaciones que enfrentan multas si violan las sanciones al realizar pagos de ransomware. Sin embargo, si el proveedor de seguros rechaza la cobertura de un pago de ransomware, es posible que la organización aún decida seguir adelante para salvar el negocio, pero el próximo obstáculo que enfrentarán es la decisión del facilitador de pagos.

Los pagos de ransomware se hacen en criptomonedas, y las empresas no suelen tener criptobilleteras con millones de dólares en criptomonedas a su disposición. Dependen de un tercero con la infraestructura para realizar dichos pagos. A la luz del aviso de la OFAC, estos terceros también pueden negar el pago si el grupo de amenaza está en la lista de sanciones. A menudo, las empresas que se especializan en la negociación de ransomware también facilitan el pago en nombre de la víctima.

¿Cómo funciona una negociación de ransomware?
Según Minder de GroupSense, antes de que se aborde a los atacantes mediante el método de comunicación que proporcionaron -generalmente algún servicio de correo electrónico cifrado- es importante que el equipo de RI se asegure de que el ataque haya sido aislado y los atacantes hayan sido expulsados de la red.

«Imagínese si estoy negociando con el actor de una amenaza y ese actor todavía tiene acceso a la red. Eso implica tener mucha influencia en nuestra contra”, afirma Minder. «Entonces, una de las cosas que intentamos hacer, desde el principio, es trabajar muy de cerca con el equipo de RI para determinar si fueron sacados y no pueden volver a entrar”.

La segunda parte, según Minder, es obtener toda la información sobre el ataque que fue recolectada por el equipo de RI, incluyendo los datos que se han comprometido, establecer quién es el actor de la amenaza y su perfil existente, así como su manual de jugadas previo. Saber qué rescates han pedido en el pasado, establecer su madurez, determinar cuántas otras organizaciones es probable que tenga comprometidas en un momento dado, es toda información valiosa que puede dictar cómo abordar la negociación.

Si han comprometido a 30 o 40 empresas, eso puede cambiar su comportamiento y pueden ser menos pacientes al negociar porque tienen muchas otras opciones, afirma Minder.

Si se trata de una empresa, muchos grupos de hackers personalizan sus demandas de rescate en función del perfil de la víctima. Por lo general, buscan obtener algún porcentaje de los ingresos anuales estimados de la organización. Sin embargo, eso puede sobreestimarse enormemente si se obtiene de fuentes poco confiables o sin más detalles sobre la estructura comercial. Por ejemplo, la empresa matriz de la víctima podría ser un conglomerado internacional de miles de millones de dólares, pero la víctima real podría ser una pequeña empresa en un determinado país. A nivel gubernamental, existen diferencias significativas entre los recursos financieros de las agencias federales y los pequeños municipios que podrían no ser evidentes para los atacantes.

Según Minder, los negociadores pueden tener una discusión con los atacantes para educarlos sobre las circunstancias financieras reales de la víctima, pero es mejor tratarlo objetivamente -como cualquier transacción comercial- y no basarse en las emociones, algo que una víctima es propensa a hacer si intentan negociar por su cuenta.

Dicho esto, todas las comunicaciones que suceden con los atacantes, en tiempo real, están disponibles para la organización víctima a través de un portal seguro, y pueden intervenir y hacer comentarios o sugerencias.

En algunos casos, la víctima puede restaurar algunos de sus sistemas a partir de backups, y eso puede usarse como ventaja en la negociación, porque la víctima no estará dispuesta a pagar el rescate completo solo para poder descifrar los datos de unos cuantos sistemas restantes. Esta es otra razón por la cual es muy importante tener la capacidad para detectar ataques lo antes posible y tener un plan de RI para responder y limitar el daño.

«Algo importante que debe tenerse en cuenta en las primeras etapas, cuando identifica un ataque en curso o ve cómo se implementa ransomware en todo el ambiente, es contenerlo y aislarlo lo más rápido posible”, comenta Tim Bandos, CISO de Digital Guardián, empresa de protección de datos. «Eso se reduce a analizar el alcance del incidente y revisar los registros e identificar dónde se ha ido este elemento y dónde podemos cortarlo de manera efectiva. Tuvimos esa instancia en la que pudimos detenerlo. Se pasó a 10 o 15 servidores de una flota de alrededor de tres mil”. En casos como ese, es posible que la víctima ni siquiera tenga que pagar el rescate porque restaurar 10 o 15 servidores a partir de backups no llevará mucho tiempo, mientras que, en el caso de miles de sistemas, pagar el rescate y descifrar los datos podría ser más rápido.

Incluso si existen backups, puede haber dificultades para restaurar un sistema afectado porque las aplicaciones y sus stacks de software están desactualizadas. Bandos encontró esa situación con un cliente en el sector de fabricación que tenía backups de datos, pero también tenía un servidor que ejecutaba una aplicación interna, hecha para ellos, en una versión de servidor de Windows desactualizada, por lo que el sistema habría tenido que reconstruirse por completo. El tiempo de inactividad de ese servidor le estaba costando a la empresa 10 mil dólares por hora, por lo que pagaron el rescate.

También es importante probar el proceso de restauración de los backups y crear imágenes del sistema con todo el software que un sistema necesita para funcionar correctamente. Asimismo, es muy valioso contar con capacidades de detección y software de terminal que permitan detectar y bloquear rutinas de cifrado de archivos y aislar sistemas de la red rápidamente.

Tanto Minder como Schenkel, de Flashpoint, afirmaron que los grupos de ransomware generalmente están dispuestos a negociar y, en la mayoría de los casos, los rescates que terminan pagando las víctimas son un pequeño porcentaje de la cantidad original que piden. Eso es porque los atacantes también están bajo presión de tiempo. Cuanto más se prolongue la discusión, más tiempo tendrá el equipo de RI de la víctima para restaurar los sistemas. Además, según Schenkel, los datos muestran que solo se pagan entre el 25% y el 30% de los rescates y los atacantes son conscientes de ello.

«Por mucho que digamos lo malos que son los actores de amenazas, siguen siendo solo personas que intentan vender algo, por lo que tendrán un precio inicial”, afirma Schenkel. «A veces eso es el 10% de los ingresos, a veces hasta el 20% de los ingresos, pero ese es un punto de partida. Siempre están abiertos a la negociación y a ser ‘razonables’, si es que esa es la palabra correcta, porque no hay nada razonable en esa situación”.

Sin embargo, antes de que se lleve a cabo cualquier transacción, el actor de la amenaza debe demostrar su capacidad para descifrar archivos. Por lo general, eso se hace con un conjunto de datos de muestra, pero no significa que no haya riesgo. En algunos casos, el descifrador proporcionado por los atacantes puede tener errores o no funcionar en ciertos sistemas o volúmenes, o algunos datos pueden estar dañados. Algunas empresas se especializan en la ingeniería inversa de dichos descifradores, volviendo a implementarlos en una herramienta más eficiente que solo utiliza la clave de descifrado proporcionada por los atacantes.

También existen situaciones en las que los atacantes usan diferentes claves en diferentes sistemas de la red. Es por esto por lo que, antes de establecer contacto con el atacante, es importante tener ese componente de inteligencia forense y de amenazas para comprender al atacante, así como su modus operandi.

Por razones legales y de mantenimiento de registros, una vez que el pago se realiza a través de la infraestructura suministrada o acordada con el negociador, el registro completo de la comunicación, la información recolectada sobre el actor de la amenaza y la información sobre la transacción se le proporciona al cliente.

Las amenazas de filtración de datos complican las negociaciones y la recuperación
Cuando se trata de un robo de datos como parte del mismo ataque, donde los atacantes también amenazan con filtrar los datos, las cosas se complican un poco más porque no hay forma de garantizar que los atacantes hayan destruido los datos robados. El año pasado, Coveware, la firma de seguridad que también se especializa en respuesta y negociación de ransomwareinformó que han visto muchos casos en los que, después de haber pagado los rescates, las víctimas fueron extorsionadas con el mismo conjunto de datos o sus datos terminaron filtrándose en línea de todos modos.

A medida que más grupos de ransomware adopten esta técnica, los incidentes de ransomware deberán tratarse como robos de datos y pasar por todos los procesos necesarios en tales casos. Con el propósito de tomar acciones preventivas adicionales, es posible que las víctimas también tengan que considerar pagarle a una empresa de inteligencia de amenazas destinada a buscar datos robados, supervisar los foros y mercados clandestinos, anticipando dónde podrían terminar y cómo podrían usarse los datos.

El post mortem identifica las lecciones aprendidas
Cada incidente también tendrá una revisión post mortem entre las diversas partes involucradas -el equipo legal, los equipos de TI e RI, el especialista en negociación de ransomware– donde se revisará toda la información. Las lecciones aprendidas de este proceso deben convertirse en un proyecto destinado a mejorar las capacidades de la organización para bloquear o ralentizar dichos ataques en el futuro.

Lucian Constantin CSOonline.com – CIOPeru.pe

Artículo anteriorZoom introduce nuevos filtros de video y efectos de estudio
Artículo siguienteLas certificaciones para múltiples habilidades que dominarán el 2021