Actualizar preferencias de cookies
| 27 de agosto de 2024

Análisis del Ransomware Moderno RaaS y su Operativa

Imagina despertarte con la pantalla bloqueada exigiendo un rescate en Bitcoin: tus datos retenidos como rehenes.

Autor/a: SealPath

Compartir en    

  • Imagina despertarte con la pantalla bloqueada exigiendo un rescate en Bitcoin: tus datos retenidos como rehenes. Este escenario de pesadilla es una cruda realidad hoy en día, con el ransomware evolucionando hasta convertirse en una sofisticada ciberplaga. Como profesionales de la ciberseguridad, conocemos casos cercanos de la devastación que causa. Empresas paralizadas, momentos de tensión: ninguna organización es inmune. Ahondemos en el submundo digital del ransomware en 2024, aprendamos cómo operan estos ciberdelincuentes y armémonos con los conocimientos necesarios para protegernos.

1. Entendiendo el ransomware Moderno

El ransomware, un software malicioso diseñado para bloquear el acceso a un sistema informático hasta que se paga una suma de dinero, lleva años asolando el mundo digital. Sus orígenes se remontan a finales de la década de 1980, pero no fue hasta mediados de la década de 2000 cuando se convirtió en una amenaza destacada. En 2024, el ransomware ha evolucionado hasta convertirse en un ataque muy sofisticado, que aprovecha las herramientas de cifrado y anonimato para atacar tanto a particulares como a organizaciones. A medida que continúa adaptándose, comprender su mecánica es crucial para una defensa eficaz.

1.1 Evolución del ransomware hasta 2024

  • 1989: El troyano AIDS – Considerado el primer ransomware, cifraba los nombres de los archivos del ordenador de la víctima, exigiendo un pago para recuperarlos.
  • 2005-2006: Gpcode, TROJ.RANSOM.A, Archiveus – Primeros ejemplos que encriptaban archivos, mostrando un enfoque más directo para extorsionar a los usuarios.
  • 2013: Cryptolocker – Un cambio de juego en la historia del ransomware, Cryptolocker utilizó fuertes métodos de cifrado haciendo imposible descifrar los archivos sin una clave, propagándose a través de archivos adjuntos de correo electrónico. Cifrado de archivos a pequeña escala, a particulares.
  • 2017: WannaCry – Infame por explotar vulnerabilidades de Windows, afectó a miles de ordenadores en todo el mundo, incluyendo interrupciones significativas en los servicios sanitarios. Los ataques dirigidos se centraron en organizaciones que pretendían restablecer las operaciones.
  • 2019: Maze – Maze no sólo cifró archivos, sino que también robó datos, amenazando con liberarlos a menos que se pagara un rescate, introduciendo la doble extorsión y el uso de una táctica de filtración pública.
  • 2020-2021: REvil/Sodinokibi – Conocido por ataques de gran repercusión y por exigir rescates millonarios, REvil afectó a grandes empresas, aprovechando vulnerabilidades en las cadenas de suministro de software.
  • 2022-2023: LockBit – Un ransomware como servicio (RaaS) que permite a los afiliados desplegar ataques, enfatizando la tendencia hacia la comercialización del ransomware. LockBit automatiza la exfiltración de datos, aumentando la presión sobre las víctimas.
  • 2024: Aparición del ransomware impulsado por IA – Los ataques de ransomware se vuelven más sofisticados con la IA, personalizando los ataques en función de los datos de la víctima, lo que dificulta la prevención y la respuesta.

1.2 El impacto del ransomware sigue en ascenso: Algunas estadísticas

Veamos el creciente impacto del ransomware con algunas estadísticas:

  • A lo largo de 2023, los incidentes de ransomware aumentaron un 20%, y los intentos alcanzaron la asombrosa cifra de 7,6 billones, según el Informe sobre Ciberamenazas de SonicWall.
  • Los ataques mundiales de ransomware ascendieron a 317,59 millones de casos en 2023, según los datos de Statista.
  • Un abrumador 83% de las víctimas del ransomware capitularon pagando a los atacantes y más del 50% pagaron al menos 100.000 dólares, según ha documentado Splunk.
  • El tramo de pago más común en las resoluciones de ransomware se situó entre 25.000 y 99.999 dólares, lo que representa el 44% de todos los pagos de este tipo, según Splunk.
  • Las filtraciones de datos alcanzaron nuevos máximos en 2023, y el incidente medio costó la cifra récord de 4,45 millones de dólares, según los datos de IBM.
  • Del primer al segundo trimestre de 2023, el pago estándar de rescate se duplicó con creces, disparándose de aproximadamente 328.000 dólares a más de 740.000 dólares, tal y como señala Statista.
  • Tras los ataques de ransomware, el 32% de las víctimas no sólo sufrieron el secuestro de sus datos, sino también el robo de los mismos, según los datos registrados por Sophos.
  • Según Sophos, un preocupante 70% de los ataques de ransomware concluyeron con la encriptación exitosa de los datos de las víctimas por parte de los atacantes.
  • La petición de rescate inicial media se cifró en 2,0 millones de dólares, según ha documentado Sophos.
  • Los costes asociados a la recuperación tras los ataques de ransomware alcanzaron una media de 2,73 millones de dólares, según los datos registrados por Sophos.
  • Entre el primer trimestre de 2023 y el primer trimestre de 2024 se observó una sorprendente expansión del 55% de grupos activos de ransomware, que saltaron de 29 a 45 grupos distintos, según se indica en el Informe GRIT sobre ransomware del primer trimestre de 2024 de GuidePoint Security.
  • En línea con un aumento del 68% en los casos de ransomware durante 2023, también se produjo un repunte significativo en el rescate medio solicitado. Podría decirse que LockBit estableció un récord con una petición de 80 millones de dólares tras vulnerar Royal Mail, según detalla Malwarebytes en su informe 2024 ThreatDown State of Malware.

2. El ransomware en la actualidad

2024 ha visto la llegada de variantes de ransomware más especializadas. Las RansomOps representan un enfoque más intrincado, que implica campañas orquestadas que se dirigen a organizaciones específicas para obtener la máxima interrupción y ganancia financiera. Un facilitador crítico del crecimiento de este ecosistema es el auge de los Brokers de Acceso Inicial (IAB, por sus siglas en inglés), que se especializan en violar e infiltrarse en las redes corporativas, sólo para vender este acceso no autorizado a operadores de ransomware que pujan alto. Esta división del trabajo demuestra un cambio hacia una operativa más organizada entre los ciberdelincuentes, que se asemeja a las redes delictivas tradicionales en su estructura y eficacia.

Una tendencia significativa es la proliferación del ransomware como servicio (RaaS), una inquietante democratización de la ciberdelincuencia. Este modelo permite que incluso aquellos con una experiencia técnica mínima lancen ataques de ransomware, aprovechando la infraestructura, el software y el apoyo proporcionados por hackers experimentados a cambio de una parte de los beneficios del rescate. La especialización y segmentación de los roles dentro del ecosistema del ransomware, destacada por la aparición de roles expertos como los IAB y la difusión de las plataformas RaaS, pone de manifiesto un cambio preocupante. Los ciberdelincuentes ya no son lobos solitarios o grupos aislados, sino parte de una industria altamente organizada y orientada a los servicios, cuyo objetivo es maximizar los beneficios de sus actividades ilícitas con un inquietante nivel de profesionalidad y eficacia.

3. El modelo RaaS

Como hemos señalado, este modelo está perfectamente organizado y cada agente de la cadena cumple funciones específicas.Echemos un vistazo a cada una de ellas:

  • Grupos RaaS: Los arquitectos del modelo RaaS, estos grupos diseñan, desarrollan y mantienen el ransomware. Su papel consiste en innovar en la creación del ransomware, garantizando que siga siendo inalcanzable y eficaz. Proporcionan la infraestructura para las campañas de ransomware, incluidos los portales de pago y los servicios de negociación. Los grupos RaaS comercializan sus servicios en la dark web, ofreciendo sus herramientas a los afiliados a cambio de una cuota o de una parte del rescate.
  • Brokers de acceso inicial (IAB): Se trata de ciberdelincuentes especializados que se centran en conseguir una vía no autorizada en las redes corporativas. Los IAB utilizan varios métodos, como explotar vulnerabilidades, ataques de phishing o utilizar credenciales robadas para infiltrarse en los sistemas. Una vez que obtienen el acceso, lo venden al mejor postor en los mercados de la dark web. Sus servicios son cruciales para los grupos RaaS y afiliados que necesitan un punto de entrada en la red de un objetivo.
  • Afiliados: Los clientes o «franquiciados» de los grupos RaaS, alquilan las herramientas de ransomware para lanzar los ataques. Los afiliados se encargan de elegir los objetivos, ejecutar el ataque de ransomware y, en ocasiones, gestionar el proceso de extorsión. A cambio de utilizar la plataforma RaaS, comparten una parte de sus ganancias con los grupos RaaS. Los afiliados varían en sofisticación, desde ciberdelincuentes oportunistas hasta grupos de delincuencia organizada.
  • Mercados de la Dark Web: Los escaparates digitales del mundo de la ciberdelincuencia. Estos mercados operan en las partes ocultas de Internet y ofrecen una gran variedad de bienes y servicios ilegales. En el ámbito del RaaS, los mercados de la web oscura facilitan el comercio de credenciales robadas, servicios de intermediarios de accesos, herramientas de pirateo y las propias plataformas RaaS. Estos mercados son la columna vertebral del ecosistema RaaS, ya que conectan a compradores y vendedores de forma anónima.
  • Ladrones de credenciales: Especialistas en adquirir credenciales de acceso no autorizadas. Estos individuos o grupos emplean técnicas como el phishing, el keylogging o la explotación de vulnerabilidades del sistema para robar nombres de usuario, contraseñas y otros datos de autenticación. Su mercancía robada se vende después en los mercados de la dark web al mejor postor, convirtiéndose a menudo en el punto de apoyo inicial para nuevos ataques de los IAB y los afiliados a RaaS.
  • Desarrolladores de herramientas de pirateo: Los innovadores y proveedores del mundo de la ciberdelincuencia, estos desarrolladores crean y venden herramientas de software diseñadas para explotar vulnerabilidades, realizar inspecciones o facilitar el acceso no autorizado a sistemas. Sus productos son cruciales para que los IAB y sus afiliados lleven a cabo con éxito las violaciones y mantengan el acceso a las redes de las víctimas.
  • Blanqueo de criptomonedas: Facilitadores de las transacciones financieras que sustentan el ecosistema RaaS. Dada la dependencia de la criptodivisa para el pago de rescates, los blanqueadores de dinero se especializan en ofuscar los orígenes de las ganancias mal habidas. Utilizan técnicas como la «mezcla» o el «volteo» para limpiar la criptodivisa, dificultando su rastreo hasta las actividades delictivas. Este servicio garantiza que los grupos RaaS, los afiliados y otros ciberdelincuentes puedan utilizar sus ganancias sin ser rastreados fácilmente por las fuerzas del orden.

Juntos, estos agentes forman una red compleja y altamente organizada que apoya la proliferación del modelo RaaS. Cada uno desempeña un papel específico para garantizar el éxito y la sostenibilidad de las campañas de ransomware, desde el acceso inicial hasta la monetización del ataque.

4. ¿Cómo seleccionan las organizaciones?

Los ataques ya no son aleatorios como en el pasado, ahora eligen muy bien a sus víctimas, y para ello las analizan minuciosamente para maximizar el retorno de la inversión del ataque:

  • Ingresos potenciales: El principal motivador para atacar a una organización concreta son los ingresos potenciales que se pueden extraer de ella. Los ciberdelincuentes estudian meticulosamente sus objetivos, evaluando los flujos de ingresos de la organización, su salud financiera y el valor percibido de sus datos almacenados. Las empresas con ingresos elevados resultan especialmente atractivas porque es más probable que paguen un rescate sustancial para recuperar sus datos o evitar posibles daños a su reputación. El cálculo incluye la evaluación de la información financiera disponible públicamente, la industria en la que operan y cualquier caso anterior de pago de rescates. Las organizaciones percibidas como con gran capacidad financiera o que operan en sectores en los que los datos son cruciales se sitúan más arriba en la lista de objetivos.
  • Sectores débiles y facilidad de acceso: Las vulnerabilidades presentes en determinados sectores los hacen más atractivos para los ciberdelincuentes. Las industrias que están poco reguladas en términos de ciberseguridad, las rezagadas en cuanto a conocimientos digitales o los sectores en los que se sabe que la infraestructura informática está anticuada son objetivos principales. Esto incluye la sanidad, la educación y las pequeñas y medianas empresas (PYMES) de diversos ámbitos. La facilidad de acceso es crucial; es probable que los sectores conocidos por sus débiles prácticas de seguridad, como un cifrado insuficiente, la falta de supervisión de la red o la escasa concienciación de sus empleados en materia de ciberseguridad, ocupen los primeros puestos en la lista de objetivos. El razonamiento es sencillo: cuanto más fácil sea penetrar en las defensas de una organización, menor será el coste y el esfuerzo necesarios para ejecutar un ataque con éxito.
  • Medidas defensivas y capacidad de respuesta: Más allá de los ingresos potenciales y las vulnerabilidades, los atacantes evalúan la postura defensiva de una organización. Esto incluye la sofisticación de sus medidas de ciberseguridad, la capacidad de sus equipos informáticos y de seguridad, y su preparación para un ataque. Las organizaciones que carecen de un marco de ciberseguridad sólido, no realizan auditorías de seguridad periódicas o no invierten en la formación de sus empleados en materia de suplantación de identidad y otros vectores de ataque habituales suponen un reto menor para los ciberdelincuentes. Además, las entidades que carecen de un plan claro de respuesta a incidentes se consideran objetivos más lucrativos, ya que es probable que tarden más en detectar y responder a un ataque, lo que aumenta las posibilidades de éxito de los atacantes y puede dar lugar a un pago mayor por el rescate.

En resumen, los ciberdelincuentes emplean un enfoque estratégico en la selección de sus objetivos, dando prioridad a las organizaciones con perspectivas financieras prometedoras, vulnerabilidades conocidas y capacidades defensivas más débiles. Estos criterios maximizan el rendimiento de la inversión de los atacantes al dirigirse a las entidades más propensas a pagar rescates y en las que pueden penetrar con relativa facilidad.

5. Su infraestructura en la dark web

En la dark web, utilizan diferentes mercados, sitios web y plataformas para llevar a cabo sus operaciones:

  • Mercados: La dark web alberga una variedad de mercados especializados que funcionan de forma similar a las plataformas de comercio electrónico convencionales, pero que se utilizan con fines ilícitos. Estos mercados son fundamentales para el intercambio de herramientas de piratería informática, acceso a redes corporativas y datos robados. Los ciberdelincuentes aprovechan estas plataformas para reclutar afiliados, vender software malicioso e incluso comprar vulnerabilidades y credenciales de acceso que les ayuden en sus ataques. Una característica notable de estos mercados es su organización, con artículos categorizados meticulosamente, reflejando los mercados en línea legítimos. Por ejemplo, se sabe que plataformas como AlphaBay albergan miles de listados en los que se ofrece de todo, desde exploits Zero-Day hasta acceso a sistemas comprometidos, gestionados de forma sencilla para facilitar las transacciones.
  • Plataformas: Aparte de los mercados, la web oscura alberga varias plataformas diseñadas para actividades específicas relacionadas con la ciberdelincuencia. Entre ellas se incluyen foros para el intercambio de conocimientos y herramientas, servicios de chat privados para la comunicación entre actores y tablones de anuncios para anuncios o llamamientos a la participación en ataques a mayor escala. Estas plataformas sirven de base a la comunidad de ciberdelincuentes, proporcionando espacios para la colaboración, el intercambio de asesoramiento técnico y la formación de alianzas. Permiten a los ciberdelincuentes mantenerse al día de las últimas técnicas de pirateo, compartir estrategias de éxito e incluso reclutar talentos para próximas operaciones. El entorno de colaboración fomenta un ecosistema en el que el conocimiento y los recursos se comparten libremente, mejorando las capacidades de los actores individuales y de los grupos.
  • Sitios web: Los sitios web dedicados en la web oscura ofrecen diversos servicios directamente relacionados con actividades de ciberdelincuencia. Esto incluye sitios de «ransomware como servicio» (RaaS), donde los particulares pueden alquilar ransomware para lanzar sus campañas, y «sitios de filtraciones» donde los ciberdelincuentes publican los datos robados a sus víctimas. Estos sitios web suelen poner en marcha cuentas atrás y mostrar listas de empresas que se han visto comprometidas pero que aún no han cumplido con las peticiones de rescate, lo que aumenta la presión sobre las víctimas para que paguen. La presencia de estos sitios web significa un enfoque estructurado y profesional de la ciberdelincuencia, con servicios y funciones diseñados para maximizar el impacto y los beneficios. El uso de estos sitios para publicitar ataques exitosos no sólo sirve como medio para extorsionar a las víctimas, sino también como herramienta de marketing para atraer a nuevos clientes y afiliados demostrando capacidad y éxito.

La infraestructura de la dark web constituye la columna vertebral de la ciberdelincuencia moderna, ya que proporciona las herramientas, plataformas y servicios necesarios que facilitan la ejecución de ataques sofisticados.

6. La doble extorsión

La doble extorsión es una evolución en la metodología de los ciberataques, que aumenta significativamente el daño potencial y los incentivos para que las víctimas cumplan las peticiones de rescate. Esta táctica implica no sólo el cifrado de datos y la exigencia de un rescate por su descifrado, sino también la exfiltración de datos sensibles con amenazas de divulgación pública a menos que se pague un rescate adicional. De ahí la importancia de conocer las distintas clasificaciones de datos sensibles y ser consciente de cuáles maneja tu organización. Este enfoque agrava las posibles consecuencias para las víctimas, introduciendo daños a la reputación, sanciones y pérdidas económicas mucho más allá de los impactos operativos inmediatos.

Veamos qué impacto tiene en detalle:

  • Daños a la reputación: La amenaza de hacer pública información sensible puede provocar un grave daño a la reputación de las organizaciones afectadas. Para las empresas, la divulgación de información confidencial, datos de clientes o comunicaciones embarazosas puede erosionar la confianza con clientes, socios y el público. El daño a largo plazo para la imagen de marca de una organización y la lealtad de sus clientes puede superar a menudo los costes financieros inmediatos del rescate. Para las instituciones públicas, la exposición de datos sensibles de los ciudadanos socava la confianza pública y puede tener importantes ramificaciones políticas.
  • Sanciones: Más allá del daño a la reputación, la divulgación no autorizada de datos sensibles puede acarrear importantes sanciones legales. Las organizaciones que no protegen los datos de sus clientes pueden encontrarse en violación de las normativas de protección de datos como la Ley GDPR, DORA y la Directiva NIS2 en Europa u otras leyes de privacidad en todo el mundo. Estas normativas pueden imponer multas cuantiosas, a menudo en función de la gravedad y el alcance de la violación de los datos. Las sanciones pueden ir más allá de los daños financieros e incluir medidas correctivas obligatorias y auditorías continuas, imponiendo más tensiones operativas a la organización víctima.
  • Pérdidas económicas: El impacto económico de la doble extorsión va más allá de los rescates pagados. Las organizaciones se enfrentan a interrupciones operativas, costes asociados a la recuperación y a la investigación de la violación de datos, aumento de las primas de seguros y posibles costes legales derivados de las demandas interpuestas por las partes afectadas. El efecto acumulativo de estos gastos, junto con la pérdida potencial de negocio durante la recuperación y debido a la reputación dañada, puede ascender a millones, paralizando financieramente a una organización. El riesgo de una pérdida económica tan sustancial presiona a las víctimas para que paguen rescates, incluso cuando existen copias de seguridad, ya que los costes y las implicaciones de la exposición de los datos a menudo superan el importe del rescate. Aprende aquí a calcular el coste de una violación de datos.

Este enfoque ha demostrado ser muy eficaz, convirtiéndose en una táctica favorita entre los ciberdelincuentes. Las implicaciones de la doble extorsión se extienden mucho más allá de los efectos inmediatos de los ataques tradicionales de ransomware, planteando una amenaza multifacética para las organizaciones de todo el mundo.

7. Incluso una triple extorsión

La triple extorsión aumenta la complejidad y el daño potencial de un ciberataque al añadir otra capa de amenaza a la ya devastadora doble extorsión. En este esquema, los atacantes combinan las amenazas de encriptación de datos, filtración de datos y repercusiones a terceros con ataques dirigidos de denegación de servicio distribuido (DDoS). Esta trifecta de ciberamenazas magnifica la presión sobre la organización víctima para que pague el rescate y aumenta el impacto global del ataque.

Echemos un vistazo más de cerca:

  • Ataques DDoS: Tras cifrar los datos y amenazar con su publicación, los ciberdelincuentes lanzan ataques DDoS para amplificar la urgencia y el daño. Al abrumar la red de la víctima con una avalancha de tráfico, el ataque DDoS puede paralizar las operaciones, imposibilitando la realización de negocios en línea. Estos ataques sirven para reforzar el mensaje de los atacantes: pague el rescate o enfréntese a una interrupción continua y cada vez mayor.
  • Ataques a terceros: El quid de la triple extorsión reside en la ampliación de las amenazas para incluir la red de terceros de la víctima: clientes, socios y proveedores. Los ciberdelincuentes pueden amenazar con filtrar datos robados que podrían incriminar o perjudicar a estos terceros o incluso atacar directamente sus sistemas. Esta ampliación de la superficie de ataque obliga a la víctima a considerar la seguridad del ecosistema más amplio y aumenta la probabilidad de pagar un rescate para evitar daños colaterales.

El impacto extendido de la triple extorsión es profundo. Es este alcance extendido y esta presión multiplicada lo que caracteriza la siniestra eficacia de la triple extorsión.

8. ¡Y cuádruple extorsión!

La cuádruple extorsión añade una cuarta capa de presión y complejidad a las ya sofisticadas estrategias de ciberataque que engloban las tácticas de doble y triple extorsión. Este método avanzado compone las amenazas de encriptación de datos, robo de datos y ataques DDoS con tácticas selectivas diseñadas para aprovechar la presión social contra la víctima. Esto incluye notificaciones a terceros y amenazas públicas, ampliando significativamente el impacto psicológico del ataque y el potencial de daño a la reputación.

Éstas son sus tácticas:

  • Presión social: Los ciberdelincuentes utilizan la presión social como herramienta clave en la cuádruple extorsión, con el objetivo de erosionar la postura de la víctima en contra del pago del rescate. Al avergonzar públicamente a la organización víctima por su supuesta negligencia o irresponsabilidad en la gestión del ataque, especialmente en lo que respecta al daño potencial a terceros clientes, proveedores y socios, los atacantes buscan crear una protesta pública. Este clamor puede presionar a las organizaciones para que paguen el rescate a fin de mitigar un mayor daño a su reputación y demostrar su compromiso con el bienestar de las partes interesadas.
  • Notificaciones a terceros: Extendiéndose más allá de las meras amenazas de afectar a terceros, la extorsión cuádruple implica notificaciones directas a estas partes. Los atacantes pueden ponerse en contacto con clientes, socios y proveedores para informarles de la «irresponsabilidad» de la organización víctima al no proteger sus datos o al optar por no pagar el rescate, poniendo así en peligro no sólo a la víctima principal sino a todo su ecosistema. Esta táctica no sólo amplifica el miedo y la incertidumbre, sino que también tensa las relaciones entre la organización víctima y su red, lo que puede provocar la pérdida de negocio y daños a largo plazo en las asociaciones.
  • Amenazas públicas: La estrategia puede consistir en hacer declaraciones o amenazas públicas sobre la víctima, a veces dirigidas a figuras específicas de la organización, como el Director de Seguridad de la Información (CISO), para personalizar e intensificar el ataque. Los CISO están sometidos a una presión constante para hacer frente a los retos de la ciberseguridad, por lo que son un objetivo perfecto. Al presentar a los responsables clave como responsables directos de cualquier consecuencia, los atacantes tratan de aislarlos, minando su autoridad y capacidad de decisión dentro de su organización y entre las partes interesadas.

En resumen, la extorsión cuádruple representa una sofisticada evolución en la estrategia del ransomware, que aprovecha no sólo las amenazas técnicas, sino también la guerra psicológica y las tácticas de relaciones públicas para obligar a las organizaciones víctimas a cumplir.

9. Los megaataques

Los megaataques representan una nueva categoría de ciberamenazas, que se distinguen por su escala, sofisticación y la amplia franja de daños que son capaces de infligir en todo el ecosistema digital. Estos ataques se dirigen especialmente a los proveedores de servicios en la nube (CSP), aprovechando vulnerabilidades Zero-day para comprometer no sólo a entidades individuales, sino potencialmente a cientos o miles de organizaciones que dependen de estas infraestructuras en la nube. El objetivo estratégico de los CSP marca un cambio significativo en el enfoque de los ciberdelincuentes. Al vulnerar un único proveedor de servicios en la nube, los atacantes pueden obtener acceso a los datos y sistemas de numerosas organizaciones simultáneamente. Este enfoque magnifica exponencialmente el impacto del ataque, ya que los CSP son fundamentales para las operaciones de una amplia gama de empresas de diversos sectores.

Un elemento central de la metodología de los megaataques es la explotación de vulnerabilidades Zero-day, es decir, fallos de seguridad desconocidos hasta ahora para los que no existen parches ni soluciones inmediatas. Estas vulnerabilidades ofrecen a los atacantes una oportunidad de oro para infiltrarse en los sistemas y desplegar programas maliciosos antes de que la vulnerabilidad se conozca y sea rectificada por los proveedores. El recurso a este tipo de vulnerabilidades subraya la sofisticación de los megaataques y el alto nivel de destreza y recursos que poseen los atacantes.

Las consecuencias de un megaataque contra un proveedor de servicios en la nube pueden ser catastróficas y afectar potencialmente a miles de empresas y organizaciones dependientes. Este daño generalizado puede ir desde pérdidas financieras, interrupción de las operaciones, hasta un grave daño a la reputación. Auditar las prácticas de seguridad de los proveedores de servicios en la nube, establecer normas de seguridad estrictas en los acuerdos de nivel de servicio y mantener una postura activa de vigilancia son pasos fundamentales para mitigar el riesgo de ser víctima de estos ciberataques a gran escala.

10. ¿Qué tácticas utilizan los atacantes?

Las operaciones de los grupos RaaS, al igual que las empresas, actualizan sus tácticas y herramientas para adelantarse a las medidas de ciberseguridad, realizando una serie de pasos calculados para ejecutar sus ataques con éxito. A continuación se presenta un esquema del proceso típico y las tácticas clave que los grupos RaaS utilizan en sus operaciones:

  1. Acceso inicial: Los grupos RaaS suelen conseguir su punto de apoyo inicial a través de campañas de phishing diseñadas para engañar a los usuarios para que revelen sus credenciales o instalen malware.También son conocidos por explotar vulnerabilidades de seguridad conocidas en el software o comprar vulnerabilidades Zero-day en los mercados negros para eludir las medidas de seguridad sin ser detectados.
  2. Escalado de privilegios: Después de obtener acceso, los atacantes buscan aumentar sus permisos a nivel administrativo. Esto podría implicar el aprovechamiento de puntos débiles en las configuraciones deActive Directory, la manipulación de directivas de grupo o la explotación de vulnerabilidades del sistema que les permitan obtener un acceso más amplio dentro del entorno.
  3. Infiltración: Con privilegios elevados, los atacantes establecen una presencia más fuerte dentro del sistema. Pueden crear nuevas cuentas con privilegios elevados, duplicar los tokens de autenticación o reunir credenciales que proporcionen un mayor acceso a los sistemas y a los datos, asegurándose así múltiples vías para conservar el acceso.
  4. Movimiento lateral: Los atacantes se mueven dentro de la red para identificar y acceder a los sistemas y activos críticos. Este movimiento suele implicar intentos adicionales de phishing dentro de la organización, la explotación de las relaciones de confianza entre sistemas y el uso de técnicas sigilosas para evitar que salten las alarmas.
  5. Evasión de las defensas: Para mantener su presencia sin ser detectados, los operadores de RaaS pueden limpiar o alterar los registros, desactivar los sistemas de detección y respuesta de puntos finales (EDR) y utilizar el cifrado para ofuscar sus actividades. Existen muchos tipos de cifrado, asegúrese de utilizar el mejor. Este paso es crucial para que los atacantes puedan llevar a cabo sus objetivos sin interrupciones.
  6. Recogida, extracción de datos y despliegue: Los atacantes identifican los datos valiosos, los exfiltran a un lugar que controlan y proceden a desplegar el ransomware. Esto podría implicar la encriptación de datos y sistemas empresariales críticos, interrumpiendo así las operaciones y obligando a la víctima a pagar un rescate por la clave de desencriptación.

11. Lista de medidas de protección contra los modernos ataques de ransomware

Para fortificar las defensas contra los ataques modernos de ransomware, las organizaciones deben adoptar un enfoque global, que integre tanto soluciones tecnológicas como estrategias centradas en las personas. La siguiente lista de comprobación esboza las medidas defensivas clave que pueden mejorar significativamente la resistencia de una organización frente a estas amenazas:

  • Implementa un cifrado robusto: Emplea el cifrado para los datos sensibles en sus tres estados, en reposo, en uso y en tránsito, haciéndolos menos útiles para los atacantes incluso si consiguen exfiltrarlos.
  • Lleva a cabo formación periódica de concienciación sobre la seguridad: Educa al personal sobre los riesgos del ransomware, incluida la identificación de intentos de phishing y la importancia de informar sobre actividades sospechosas.
  • Mantén copias de seguridad con periodicidad: Mantén copias de seguridad actualizadas de los datos críticos en varias ubicaciones, incluido el almacenamiento fuera de línea, para garantizar la recuperación en caso de cifrado por ransomware. Asegura los documentos de tu empresa en los sistemas de almacenamiento, conozca las mejores prácticas aquí.
  • Mantente al tanto de los parches: Actualiza regularmente el software y los sistemas para parchear las vulnerabilidades conocidas, reduciendo drásticamente las opciones de ataque de los ciberdelincuentes.
  • Impón un estricto control de accesos: Aplica el principio del menor privilegio del enfoque de confianza cero, garantizando que los usuarios sólo tengan el acceso necesario para sus funciones, limitando así la propagación del ransomware.
  • Invierte en identificación y detección continua: Utiliza herramientas de identificación avanzadas o aprovecha tus herramientas existentes con capacidades de monitorización para detectar actividades inusuales indicativas de un ataque de ransomware, lo que permite una respuesta rápida.
  • Elabora un plan integral de respuesta a incidentes: Prepara un plan de respuesta a incidentes para garantizar una respuesta rápida y organizada, minimizando el tiempo de inactividad y las pérdidas.
  • Segmentación de la red: Segmenta tu red para restringir el movimiento, confinando la propagación del ransomware a segmentos aislados de la red.
  • Mejora la protección en los endpoints: Implementa soluciones avanzadas de protección de puntos finales que contrarresten específicamente el ransomware y otras amenazas sofisticadas. Por ejemplo, protege de la mejor manera los datos almacenados en dispositivos como PC o Mac.
  • Implementa la autenticación multifactor (MFA): Utiliza MFA para añadir una capa adicional de seguridad, protegiendo las cuentas incluso si las credenciales se ven comprometidas.
  • Utiliza listas blancas de aplicaciones: Permite que sólo se ejecuten las aplicaciones aprobadas, bloqueando eficazmente las aplicaciones no autorizadas.
  • Despliegua soluciones antiphishing: Implementa tecnologías y servicios antiphishing para detectar y bloquear los correos electrónicos de phishing antes de que lleguen al usuario final.
  • Establece políticas de uso y control: Formula políticas que rijan el uso seguro de dispositivos y redes, incluido el uso de dispositivos personales y el acceso remoto.
  • Refuerza la seguridad del correo electrónico: Aplica soluciones de filtrado y escaneado de correo electrónico para identificar y bloquear los mensajes maliciosos, reduciendo el riesgo de phishing y de envío de malware.
  • Gestión segura de contraseñas: Fomenta el uso de contraseñas fuertes y únicas y el cambio regular de las mismas, junto con el uso de gestores de contraseñas para mejorar la seguridad.

Al integrar estas estrategias defensivas, las organizaciones pueden establecer una postura de seguridad sólida capaz de frustrar los ataques de ransomware y minimizar su impacto potencial.

12. Ejemplo de un caso real mitigado

Ejemplo de un caso real mitigado:

  • Contacto inicial: Los atacantes penetraron en la red de la empresa y cifraron los datos confidenciales, después se pusieron en contacto con la empresa exigiendo un rescate por el descifrado.
  • Táctica de extorsión: Al rechazar el pago del rescate, los atacantes amenazaron con hacer públicos los datos encriptados, intentando presionar aún más a la empresa.
  • Prueba y verificación: Para demostrar que tenían el control de los datos, los atacantes enviaron una muestra de los datos robados, demostrando la naturaleza crítica de la información encriptada.
  • Evaluación de los datos comprometidos: Tras la inspección de la muestra proporcionada, se descubrió que los datos habían sido encriptados previamente por la empresa como parte de sus medidas de seguridad, por lo que resultaban inaccesibles para los atacantes.
  • Daños mitigados: Gracias a la encriptación proactiva de los datos sensibles por parte de la empresa y al mantenimiento de copias de seguridad actualizadas, el daño potencial se mitigó significativamente. La empresa restauró los sistemas afectados a partir de copias de seguridad, evitando el pago del rescate e impidiendo la divulgación pública de datos sensibles.

13. Los datos son lo más valioso para ellos

Los datos son sin duda el activo más preciado para los ciberatacantes, que no buscan causar daños al azar, sino beneficiarse sustancialmente de la información sensible de las organizaciones. Conscientes de ello, es imperativo que las organizaciones concedan a la protección de los datos el mismo nivel de importancia que los atacantes. Esto implica considerar la seguridad de los datos como una preocupación fundamental y aplicar medidas integrales para salvaguardarla.

En el núcleo de estas medidas se encuentrala adopción de un marco de seguridad de confianza cero. Este enfoque dicta que a ninguna entidad -independientemente de su posición dentro o fuera de la red de la organización- se le concede una confianza implícita, reduciendo así considerablemente el potencial de acceso no autorizado a los datos. Además de implantar un modelo de confianza cero, las organizaciones deben adoptar un enfoque de seguridad centrado en los datos. Esta estrategia da prioridad a la salvaguarda de los propios datos, en lugar de centrarse únicamente en las defensas del perímetro. De este modo, incluso si los atacantes eluden otras formas de defensa, los datos permanecen inaccesibles gracias a la aplicación de un cifrado fuerte y de estrictos controles de acceso. Estos métodos garantizan que sólo el personal autorizado pueda acceder a los datos y manipularlos, lo que disminuye aún más el riesgo de violación de datos.

Una postura de seguridad centrada en los datos sigue siendo eficaz contra un amplio espectro de vectores de ataque, tanto si las amenazas proceden de servicios basados en la nube, de proveedores externos o incluso de fuentes internas de la organización. Al convertir la protección de los datos en un elemento central de su estrategia de seguridad, las organizaciones pueden asegurarse de que, independientemente de la naturaleza de la violación, sus datos permanezcan a salvo de accesos y exfiltraciones no autorizados.

14. SealPath, su aliado para no ceder a sus amenazas

SealPath entra en este terreno como un aliado formidable, ofreciendo soluciones de gestión de derechos digitales empresariales (EDRM) diseñadas para fortificar los datos contra el acceso no autorizado, la manipulación y la extorsión. La tecnología de SealPath permite a las organizaciones proteger sus datos más valiosos incrustando la seguridad directamente en la propia información, garantizando que permanezca inaccesible para los atacantes, incluso en caso de infracción.

En esencia, el enfoque de SealPath se centra en cifrar los archivos y establecer controles de acceso granulares que dicten quién puede ver, editar, copiar o compartir los datos protegidos.
Este método de protección viaja con los datos, independientemente de dónde se almacenen o con quién se compartan, ofreciendo una capa de seguridad persistente y dinámica que se adapta a los distintos escenarios de amenazas. Esto garantiza que, incluso si los atacantes eluden otras capas de defensa y consiguen acceder a los archivos confidenciales, no podrán explotar los datos para ataques de ransomware o cualquier otro fin malicioso.

Lo que diferencia a SealPath de otras herramientas es su diseño centrado en el usuario y su fácil integración en los flujos de trabajo existentes. Este enfoque intuitivo garantiza que la protección de datos mejore la productividad en lugar de obstaculizarla, lo que convierte a SealPath no sólo en una herramienta de seguridad, sino en un facilitador de operaciones empresariales seguras. Además, SealPath proporciona capacidades detalladas de seguimiento y elaboración de informes, lo que permite a las organizaciones supervisar quién accede a sus datos y cuándo, ofreciendo una visibilidad y un control sin precedentes sobre la información sensible.

En resumen, SealPath representa una herramienta crítica en el arsenal contra el ransomware y otras ciberamenazas, ya que ofrece una mezcla única de cifrado de datos robusto, controles de acceso granulares y un funcionamiento fácil de usar.

Su valor reside no sólo en su capacidad para proteger los datos de accesos no autorizados, sino también en su capacidad para garantizar que, en el espacio de trabajo digital, la seguridad y la eficacia vayan de la mano.Con SealPath, las organizaciones pueden navegar con confianza por el panorama digital, sabiendo que sus datos están a salvo de la amenaza siempre presente del ransomware.

Post original aquí.


Próximos eventos