Bienvenido al mundo del rescate cibernético, una de las preocupaciones de seguridad de más rápido crecimiento en todo el mundo. En su raíz, el el concepto no es nada nuevo; el chantaje ha existido durante años. Hoy se ha transformado en algo decididamente moderno y con multitud de variedades maliciosas.
¿Qué se puede hacer con el rescate cibernético? Como ocurre con tantas amenazas, el conocimiento es poder. Este post ofrece una concisa descripción general de los ataques de denegación de servicio de rescate (RDoS), incluido el panorama actual de amenazas, quién probablemente puede ser objetivo (y por qué), el mercado y las herramientas que alimentan la tendencia y, quizás lo más importante, las preguntas que debes hacerte y los pasos que debes seguir para proteger tu organización.
Indice
¿Qué es un ataque RDoS?
En un ataque RDoS, los perpetradores envían una carta amenazando con atacar a una organización, haciendo que su negocio, operaciones o capacidad no estén disponibles, a menos que se pague un rescate antes de la fecha límite.
Estos ataques han crecido en número cada año desde 2010 y normalmente vienen en forma de ataque de denegación de servicio distribuida volumétrica (DDoS). Sin embargo, cada vez está más de moda encontrar técnicas que sean más penetrantes y más eficientes. Los ataques más avanzados combinan tanto volumen como no volumen.
Todos los días, se utilizan tácticas de rescate para dirigirse a personas y empresas de todas las industrias de todo el mundo. Los daños potenciales pueden ser devastadores. Otros tipos de ataques, como amenazas persistentes avanzadas o ataques multicapa, necesitan mucho tiempo para defenderse o incluso para ser detectados. Por el contrario, las amenazas de ransomware y RDoS gritan: «Soy un ataque ¡y estoy aquí! » Luego tienes de 24 a 48 horas para pagar el rescate o sufrir la pérdida.
Motivación
El rescate como motivación para los atacantes está en aumento, lo que representa el 16% de los ataques en 2014 y 25% en 2015.
¿Qué impulsa este incremento? Sencillamente, se está volviendo más rápido, más fácil y económico de ejecutar.
Un mercado en crecimiento que ofrece herramientas y técnicas para un rescate cibernético está armando a todos desde estudiantes universitarios a grupos de hackers organizados con los recursos que necesitan para facilitar
ataques y obtener ganancias rápidas. Mientras tanto, cada vez es más fácil enmascarar la fuente de los ataques.
Los atacantes pueden falsificar direcciones IP o acceder a objetivos a través de una red de entrega de contenido (CDN) o traducción de direcciones de red global (NAT), ocultando así los recursos específicos para lanzar un ataque dentro de una red más amplia.
Atacantes y objetivos
Hasta la fecha, se han llevado a cabo ataques RDoS principalmente por estos grupos:
DD4BC
Este grupo de ciberdelincuentes, cuyo nombre es un acrónimo de denegación de servicio distribuida para Bitcoin, comenzó a lanzar campañas de extorsión de Bitcoin a mediados de 2014. Dirigido inicialmente a la industria del juego, DD4BC ha ampliado desde entonces sus objetivos para incluir servicios financieros, entretenimiento y otras empresas de alto perfil.
Armada Collective
Otra banda de ciberdelincuentes, Armada Collective, utiliza tácticas similares a DD4BC y normalmente exige un rescate de 10 a 200 BTC (aproximadamente US $ 3.600 a US $ 70.000). Esta pandilla es conocida por acompañar sus notas de rescate con un breve Ataque «demo». Cuando expire el tiempo de pago, Armada Collective elimina los datos de las víctimas con volúmenes de tráfico que suelen exceder 100 Gbps.
Aparentes imitadores comenzaron a usar el nombre de Armada Collective; una de las primeras tácticas involucradas en un intento de extorsión de unos 7,2 millones de dólares en tres bancos griegos.
Escuadrón ezBTC
En lugar de utilizar mensajes de correo electrónico, este grupo de ciberdelincuentes utilizan Twitter como vehículo para entregar sus amenazas RDoS. Otros están siguiendo su ejemplo.
Kadyrovtsy
El nombre de las fuerzas de élite de la administración Kadyrov en Chechenia, este es uno de los grupos más nuevos en surgir en la escena RDoS. Recientemente amenazó a dos bancos polacos y una empresa de medios canadiense. El grupo incluso lanzó asaltos de demostración (15-20 Gbps) para demostrar su competencia, al igual que el infame Colectivo Armada.
RedDoor
RedDoor emitió sus primeras amenazas en marzo de 2016. Estos delincuentes utilizan un correo electrónico anónimo para enviar mensajes exigiendo un rescate de 3 Bitcoins. Las empresas específicas tienen solo 24 horas para realizar la transferencia a una cuenta Bitcoin individual.
Cuidado con los imitadores de RDoS
Los «imitadores» están agravando los dolores de cabeza de RDoS. Estos jugadores están emitiendo falsas cartas, con la esperanza de convertir rápidamente beneficios con el mínimo esfuerzo.
¿Cómo puedes detectar una carta de rescate falsificada?
- Evaluar la solicitud. Armada Collective normalmente solicita 20 Bitcoin. Otras campañas han estado solicitando importes por encima y por debajo de esta cantidad. Los piratas informáticos falsos solicitan diferentes cantidades de dinero. Es muy probable que las cartas de rescate de Bitcoin bajas provengan de grupos falsos que
esperan que su precio sea lo suficientemente bajo como para que alguien pague en lugar de buscar ayuda de profesionales. - Revisa tu red. Los piratas informáticos reales demuestran su competencia ejecutando un pequeño ataque mientras entregan una nota de rescate. Si puedes ver un cambio en tu actividad en la red, la carta y la amenaza probablemente sean genuinas.
- Busca la estructura. Los piratas informáticos reales están bien organizados. Los piratas informáticos falsos, por otro lado, no están vinculados a un sitio web. Tampoco tienen cuentas oficiales.
- Considera otros objetivos. Los piratas informáticos reales tienden a atacar a muchas empresas de un solo sector. Los piratas informáticos falsos están menos organizados y se dirigen a cualquiera con la esperanza de hacer dinero rápido.
Ransomware
El ransomware no es nuevo; ha estado en escena durante casi un cuarto de siglo. Uno de los primeros ejemplos se llamó Sida, Info Disk o PC Cyborg Trojan. Este caballo de Troya cifraría todos los nombres de archivo en la unidad «C», lo que representaría el PC inutilizable. Una vez que un PC estaba infectado, el ransomware exigía que se enviara un pago de $ 189 a un apartado de correos en algún lugar de Panamá. Con el tiempo, el creador del troyano Aids Info Disk fue arrestado y acusado de 11 cargos de chantaje.
Con el tiempo, los fabricantes de software antivirus aprendieron a detectar esta categoría de malware y pudieron bloquearlos rápidamente. Durante años, sus técnicas funcionaron. Sin embargo, la creciente popularidad de las monedas virtuales ha convertido al ransomware en una oportunidad potencialmente lucrativa para los ciberdelincuentes. Nadie solicita pagos a un apartado de correos. Ahora, las víctimas, si alguna vez quieren volver a ver su información, deben realizar un pago a un pirata informático a través de Bitcoin.
Ransomware como servicio
Nuevos tipos de ransomware están apareciendo rápidamente, lo que pone a prueba la capacidad de los proveedores de software antivirus para mantener el ritmo. Lo último es Ransom32, ransomware-as-a-service. En lugar de crear su propio software, el posible ciberdelincuente paga una tarifa para personalizar y usar esta plataforma de ransomware lista para usar. Los beneficios son compartidos por el desarrollador de la plataforma y los rescatadores que utilizan la plataforma para ejecutar campañas. ¿La parte más aterradora? Ya no se requieren habilidades expertas para mantener la información de una víctima como rehén.
El ransomware se ha extendido más allá de las PC con Windows para infectar dispositivos móviles Android e incluso dispositivos de almacenamiento conectados a la red (NAS). En los últimos meses, se han publicado casi 300 nuevas variantes de malware que afectan a los dispositivos Android.
Además, ransomware altamente especializado, diseñado para cifrar la información almacenada en Synology
NAS comenzó a atacar. Aprovechando una vulnerabilidad en el software del dispositivo, el ransomware ha podido tomar el control de la información almacenada.
Evolución de las herramientas de ransomware
Si bien algunas de las primeras herramientas de ransomware extorsionaron a las personas, las nuevas herramientas se dirigen a las empresas con la esperanza de una mayor ganancia. Las nuevas variantes ya plantean desafíos operativos y financieros para numerosas empresas. Tales herramientas cifran todos los archivos en un determinado servidor o estación de trabajo, que se puede descifrar y restaurar solo si se paga el rescate al atacante.
- Locky se propaga a través de correos electrónicos no deseados con archivos infectados y cambia todas las extensiones de archivo a .locky.
- Samas aprovecha las vulnerabilidades del servidor web para propagarse dentro de la red.
- Petya se propaga a través del phishing e introduce un nuevo método de anulando del MBR del disco duro.
- Cerber se hace pasar por una actualización de Adobe Flash Player, haciéndose pasar por un ejecutable de Windows para que aparezca en el próximo reinicio.
- BART una evolución de Locky y de los mismos creadores, distribuida a través del correo electrónico no deseado después de que locky se haya hecho conocido. BART no cifra los archivos, pero crea un archivo protegido con contraseña.
- CTB Locker se propaga a través de correos electrónicos engañosos personalizados. Puede cifrar varias máquinas dentro de la misma red, y también tiene un mecanismo de reconocimiento de programas de análisis de malware con el fin de evitarlos.
- CryptXXX se propaga a través de correos electrónicos no deseados. Escanea archivos y agrega la extensión .crypt. 2,0, 3,0. y las versiones 4.0 cuentan con inmunidad contra herramientas de descifrado, por lo que más víctimas tienden a pagar el rescate.
- TeslaCrypt normalmente aprovecha las vulnerabilidades de Adobe y utiliza un algoritmo AES para cifrar archivos.
• Jigsaw después de cifrar los archivos, comienza a eliminarlos en grandes cantidades cada hora hasta que se pague el rescate (o todo de una vez después de 72 horas).
Objetivos de los ataques
¿Qué buscan los ciberdelincuentes? al considerar objetivos de rescate? Hay cuatro áreas que los criminales evaluarán
al elegir a qué personas y empresas apuntar:
Cultura
La cultura de una organización puede hacer que tenga más o menos probabilidades de ser el blanco de los ciberdelincuentes.
Los dos factores clave: puntos de vista culturales sobre el pago vs. no pagar y el apetito por el riesgo de la organización. Algunas organizaciones tienen miedo hacer pública una infracción o simplemente no están
interesadas en una «pelea» pública. Las organizaciones muy privadas y adversas al riesgo pueden representar fuertes
candidatos a un ataque RDoS o ransomware.
Del mismo modo, aquellos con una cultura de pago, que envian fondos rápidamente para «hacer que desaparezca», a menudo se gana la reputación como tal y pueden recibir nuevos ataques de otros grupos delictivos cibernéticos.
Bienes
Claramente, debe haber algún activo digital: datos comerciales o personales, interfaz o comunicación, que es fundamental para la vida del individuo o las operaciones de una organización. Esos activos digitales son lo que harán que los criminales intenten tomar rehenes.
Vulnerabilidad
Los ciberdelincuentes necesitan una forma de bloquear activos, haciéndolos no disponibles a los usuarios. En general, pueden hacerlo en dos formas principales: encriptando datos en algún nivel o negando el acceso tomando como rehén un elemento de la entrega de la cadena de tecnología de la información.
De cualquier manera, los criminales necesitan detectar una vulnerabilidad clave, como una explotación. Idealmente, los ciberdelincuentes buscarán vulnerabilidades que estén presentes en un gran número de organizaciones. Tales vulnerabilidades pueden ser muy lucrativas, dando a los criminales la capacidad de estandarizar una técnica y repetirla a gran escala.
Pericia
Estrictamente hablando, los criminales no buscan experiencia; están buscando una falta de ella. Es más probable que se concentren en organizaciones o personas que carecen de recursos para contratar profesionales; aquellos con pocas o modestas inversiones en TI; y los que carecen de conocimiento de las técnicas de rescate cibernético y la mejor forma de responder.
Empresas víctimas de ataques RDoS
Las principales empresas a las que se dirigen estos ataques RDoS son:
Empresas de servicios financieros
Esta industria evoca el viejo chiste: ¿Por qué los criminales roban bancos? Porque ahí es donde está el el dinero. Los ciberdelincuentes no son diferentes; ellos van con frecuencia a la fuente de dinero o a aquellos que tienen acceso a él.
Hospitales y otras Organizaciones sanitarias
Los hospitales parecen caer firmemente en un extremo del espectro o el otro. Algunos están alineados hacia pagar otros son principalmente resueltos y impulsado a NO pagar un rescate.
Despachos de abogados
Los bufetes de abogados no son conocidos por invertir grandes sumas de dinero en seguridad. En la mayoría de los casos, tampoco son hábiles en los controles internos.
Sin embargo, las empresas dependen en gran medida de su capacidad para crear y compartir información. Es más, son notoriamente reacios a hacer pública una infracción, por temor a que su base de clientes de alto perfil se vea afectada. Súmalo todo y tendrás un segmento de la industria que es muy probable que sea el objetivo.
Empresas de servicios profesionales
Al igual que los bufetes de abogados, las empresas de contabilidad, arquitectura, consultoría y otros servicios profesionales pueden tener miedo de cotizar en bolsa con una brecha. Esta falta de voluntad para participar en el discurso público hace que estas empresas sean más propensas a ser atacadas y a pagar.
Escuelas y servicios educativos
Irónicamente, las instituciones educativas generalmente no son expertas en seguridad de la información y mitigación de ataques cibernéticos. Incluso si tienen la experiencia, pueden carecer de los medios financieros para librar una guerra prolongada con un grupo de rescate cibernético. Además, las escuelas a menudo toman decisiones por comité, lo que los hace más propensos a pagar en lugar de ceñirse a principios firmes y universales.
Fabricación e IoT
Las preocupaciones sobre el Internet de las cosas (IoT) y los ataques de fabricación podrían ser el valor del rescate cibernético. Después de todo, qué no pagarías para recuperar el acceso a su automóvil, al termostato de la casa o, lo que es peor, al desfibrilador que regula el latido de tu corazón? Aunque hoy en día son meras conjeturas, los riesgos del rescate cibernético relacionado con IoT, en particular asociados con la salud humana, son demasiado convincentes para descartarlos.
¿Cómo evitar ser víctima de estos ataques?
La clave para frustrar las amenazas de rescate cibernético: una base más sólida. La educación de los empleados es clave para reducir el riesgo de amenazas de ciberseguridad. Ahora es el momento de pensar en estas preguntas clave en relación con tu organización:
- ¿Cuánto tiempo pasará hasta que seamos víctimas de estos ataques?
- ¿Estamos preparados para los rescates cibernéticos?
- ¿Pagaríamos alguna vez un rescate? Si no es así, ¿por qué? ¿Si es así cuando?
- ¿Quién es el responsable de realizar esa llamada?
- Si se paga un rescate cibernético, ¿lo haríamos público? ¿Cuál es nuestro plan de relaciones públicas / comunicaciones?
- ¿Contamos con recursos técnicos internos y externos con la experiencia necesaria para guiarnos en estas situaciones?
- ¿Tenemos acceso privilegiado a estos recursos?
- ¿Disponemos de algún seguro para resucitar pérdidas financieras durante el período de lucha?
- ¿Tenemos un plan legal y / o de aplicación de la ley en cada geografía donde operamos?
- ¿Tenemos una política o un plan para el ciberataque?
- ¿Deberíamos considerar ejercicios de prueba o eventos de planificación de escritorio para ayudar con los preparativos?
- ¿Tenemos planes para recuperar datos técnicos e infraestructura?
Si tienes la responsabilidad de alguna de estas áreas, no seas un espectador. Se proactivo sobre los controles de incorporación.
Cuando se trata de un rescate cibernético, la experiencia ha demostrado que pagar un rescate a menudo conduce a ataques repetidos. Una mejor estrategia: darle la vuelta a la situación económica contra los atacantes haciendo que la empresa sea un objetivo más difícil a través de una postura de seguridad fuerte.
Aquí tienes una lista de verificación para hacer precisamente eso:
Protégete contra los ataques de disponibilidad
Dada la clara y significativa correlación entre el tiempo de inactividad y la pérdida de ingresos, evitando la interrupción resultante de los ataques de disponibilidad debe estar en la parte superior de la lista de cualquier negocio. Con una gran cantidad de datos confidenciales, no es raro que las organizaciones se concentren demasiado en la confidencialidad e integridad de los datos. Esto es especialmente cierto para aquellos que permiten que las iniciativas de cumplimiento de seguridad dicten prioridades. Pero, con el crecimiento de la frecuencia y la gravedad de los ataques DDoS y RDoS, la protección proactiva es imprescindible.
Prepárate para ataques cifrados
Los ataques que aprovechan el tráfico cifrado como vector de ataque van en aumento, desafiando aún más a muchas de las soluciones de ciberamenazas actualmente en vigor. La mayoría de las tecnologías de mitigación de ataques cibernéticos no inspeccionan el tráfico SSL, ya que requiere descifrar el tráfico cifrado.
Las organizaciones deben asegurarse de poder abordar las necesidades de mitigación de alta capacidad, apoyo
todas las versiones comunes de SSL y TLS, y aislar el tráfico cifrado sospechoso mediante análisis de comportamiento para limitar el impacto del usuario legítimo.
Protege los activos detrás de una CDN
Es cada vez más común que las empresas utilicen Content Delivery Networks (CDN) para mejorar el rendimiento de la web. Sin embargo, los atacantes también pueden aprovechar las CDN para lanzar e incluso amplificar ataques. Los ataques de contenido dinámico aprovechan la protección basada en CDN al sobrecargar los servidores de origen con solicitudes para contenido no almacenado en caché que los nodos CDN simplemente transmiten. Al aprovechar las CDN, observa detenidamente la necesidad de protecciones de seguridad dedicadas frente a los servidores de origen.
Implementar la protección independiente de la propiedad intelectual
Los actores maliciosos han convertido la suplantación de direcciones IP en una forma de arte. El objetivo: no solo ofuscar su identidad, en algunos casos, también para hacerse pasar por usuarios aparentemente legítimos en función de la ubicación geográfica o información de reputación positiva sobre las direcciones IP que pueden comprometer.
Busca soluciones que utilicen la tecnología de huellas dactilares del dispositivo, empleando varias herramientas y metodologías, para recopilar información independiente de IP.
Considera los costes de CAPEX y OPEX para procesar el tráfico no deseado
CAPEX es la abreviatura en inglés para el término Gastos de Capital, que indica la cantidad de dinero gastada en la compra de bienes de capital de una empresa determinada.
OPEX, por otro lado, es la abreviatura en inglés de Gasto Operacional que indica el capital utilizado para mantener o mejorar los activos físicos de una compañía determinada, como préstamos, propiedades y construcciones.
Las amenazas cibernéticas continúan creciendo en tamaño, complejidad y duración. No solo plantean riesgos asociados con la confidencialidad de los datos, integridad transaccional y disponibilidad de la plataforma, también aumentan los costes asociados con el procesamiento de todos los datos no deseados. Procesar tráfico deficiente en un centro de datos genera costes significativos a cualquier negocio. Por el contrario, eliminar la actividad maliciosa en el perímetro permite a una organización evitar costes operativos y de capital innecesarios.