El ransomware ha sido noticia recientemente, incluyendo los ataques a Colonial Pipeline, el departamento de policía de Washington, D.C. y otras víctimas. Estos ataques son cada vez más frecuentes, más costosos y selectivos. Además, los ataques de ransomware se basan cada vez más en la inteligencia artificial para mejorar su eficacia, y pueden incluir tácticas de «doble extorsión» -filtrar datos sensibles antes del ataque de ransomware y amenazar con liberarlos- para mejorar las probabilidades de extraer el rescate. En resumen, el ransomware está preparado para convertirse en una pandemia en las redes de empresas, gobiernos y otras organizaciones.
Anatomía de un ataque de ransomware
Recientemente, los hackers robaron casi 100 gigabytes de datos de las redes de Colonial Pipeline antes de bloquear sus ordenadores con un ransomware y exigir el pago. La compañía dijo que detuvo proactivamente todas las operaciones del oleoducto para aislar el ataque. El gobierno estadounidense declaró el estado de emergencia para mantener abiertas las líneas de suministro de combustible tras el cierre. El conducto de 5.500 millas de Colonial transporta 2,5 millones de barriles al día a la Costa Este, o el 45% del suministro de diésel, gasolina y combustible para aviones de la región.
Múltiples fuentes, incluido el FBI, identificaron el ataque de ransomware como perpetrado por el grupo ruso de ciberdelincuencia Dark Side. Según los medios de comunicación, los funcionarios federales creen que el malware estaba dirigido a las operaciones de back-office de Colonial en lugar de a los sistemas de control del oleoducto. Una investigación preliminar habría revelado prácticas de seguridad deficientes que hicieron «bastante fácil» que los hackers se infiltraran en la red de la empresa.
El ransomware no desaparecerá
Por aterrador que parezca, los expertos en ciberseguridad predicen que la extorsión cibernética (es decir, el ransomware) no va a desaparecer; de hecho, sólo empeorará. Los expertos prevén que la mayor parte del ransomware seguirá procediendo de la ciberguerra patrocinada por el Estado, principalmente de Rusia, Irán y Corea del Norte.
El ransomware seguirá siendo una de las formas más comunes de ciberataque. Se está convirtiendo en un método «de referencia», impulsado en parte por los proveedores de ransomware como servicio (RaaS). Estos servicios hacen que los ataques de ransomware sean mucho más fáciles y accesibles, y ayudan a aumentar la sofisticación del malware.
El ransomware seguirá aprovechando los comportamientos de los usuarios y las malas prácticas de seguridad de las empresas. El phishing y el spear-phishing seguirán siendo los métodos más eficaces para la violación inicial, a menos que los usuarios se vuelvan más educados y cautelosos a la hora de abrir correos electrónicos sospechosos.
Cambio de tendencias, aumento de la sofisticación
Los ataques de ransomware son cada vez más sofisticados y frecuentes, y es muy probable que se vuelvan aún más selectivos. Las tecnologías de código abierto y otras de inteligencia artificial (IA) se utilizan cada vez más para crear ataques de ransomware más sofisticados y precisos. Por ejemplo, la IA puede utilizarse para construir perfiles de usuario extraídos de las redes sociales y otras fuentes y luego construir tácticas de spear-phishing muy convincentes para abrir la puerta a un ataque de ransomware.
Otro problema son las falsificaciones profundas, en las que la IA se utiliza para modificar un vídeo de forma que parezca que alguien está diciendo algo que, en realidad, no ha dicho. Un deepfake podría ordenar (y de forma convincente) a un empleado que emita un pago directamente a la cuenta del atacante, o divulgar secretos corporativos, por ejemplo.
Debido a estas tendencias, muchos expertos en seguridad están de acuerdo en que la IA debe desempeñar un papel mucho más importante en la protección contra el ransomware en los próximos años, en gran medida porque las amenazas a las que nos enfrentamos ahora son en sí mismas potenciadas por la IA.
Nuevos objetivos y tácticas
Como se ha mencionado, el ransomware es cada vez más selectivo. Se han producido varios ataques de ransomware de gran repercusión contra instituciones educativas y sanitarias, y se están lanzando más ataques contra organizaciones gubernamentales hasta el nivel de condado y ciudad.
Durante el año 2020, los equipos de investigación de inteligencia observaron que los grupos de hackers pasaron de la distribución generalizada e indiscriminada a campañas muy específicas. De forma alarmante, el ransomware se desplegó a menudo a través de proveedores de servicios de seguridad gestionados (MSSP) comprometidos. Estas tendencias coinciden con la tendencia de Ransomware-as-a-Service (RaaS) que cambia a un modelo más privado.
Otra tendencia preocupante es la exfiltración de datos antes del proceso de cifrado del ransomware. Esto permite a los atacantes «extorsionar» a las víctimas con la amenaza de filtración de datos sensibles si no pagan.
Dado que las empresas de todo el mundo han mejorado la gestión de sus datos haciendo copias de seguridad más frecuentes y seguras, una amenaza de pérdida de datos podría no ser suficiente para convencer a las víctimas de que paguen. En consecuencia, el negocio del ransomware ha evolucionado para adaptarse a estas circunstancias cambiantes mediante la doble extorsión.
En algunos casos, la publicación de información sensible puede ser significativamente más perjudicial que la pérdida de datos, y por lo tanto hacer mucho más probable que el atacante extorsione el pago deseado por el ransomware. En el incidente de Colonial Pipeline, por ejemplo, los hackers exfiltraron 100 gigabytes de datos antes de bloquear los ordenadores. La banda cibernética que atacó a la Policía Metropolitana de Washington, D.C. publicó información exfiltrada de los archivos de la base de datos del personal y de la banda en la web oscura.
Cada vez más, los actores de las amenazas eligen sus objetivos en función de su capacidad de pago. O, dependiendo de sus tácticas, también pueden beneficiarse de la sensibilidad de los datos exfiltrados para aumentar la disposición de su objetivo a pagar el rescate para preservar la integridad de sus datos.
Más información sobre el ransomware
En nuestro próximo artículo, analizaremos con más detalle los costos financieros y de otro tipo de los ataques de ransomware, y el dilema al que se enfrentan las empresas en cuanto a pagar (o no pagar) el rescate. Además, proporcionaremos tácticas y técnicas prácticas para ayudar a proteger su red en esta nueva era de ransomware pandémico.