This post is also available in: Português Español
El famoso evento de seguridad digital reafirma su preocupación con los crackers que invaden sistemas y piden rescate para desencriptar archivos y no filtrar la información privada.
Desde 1997, Black Hat realiza eventos de seguridad cibernética de alcance internacional, donde se exponen las investigaciones más recientes y tendencias del sector. En el evento de este año, que finalizó hace unos días en USA, se destacó un tema: la doble extorsión por ransomware.
Cuando alcanza a una empresa, ese tipo de golpe virtual bloquea el acceso a sus sistemas y deja que los invasores tengan total poder sobre los archivos. Hoy, entre los ransomwares más conocidos están el WannaCry, Cryptolocker, NotPetya, Gandcrab y Locky. Muchos de los cuales cobran dos rescates en una sola invasión: piden dinero para devolver el acceso a los archivos y también para no filtrar la información en internet. O sea, se hacen 2 cobros por 2 «servicios».
Ese tipo de ataque no es nuevo, pero ha llamado la atención por su frecuencia. Se han estado usando herramientas automatizadas en estos ataques de fuerza bruta contra sistemas online para cargar ransomwares, así creando ataques para la cadena de distribución en conjunto. Además, los pedidos de rescate en criptomonedas permiten que los cibercriminales se vuelvan menos rastreables.
Por lo cual, se crea un escenario atractivo para los criminales. Por que hay grandes posibilidades de lucrarse y un alto grado de impunidad. Lo que lleva a muchos cibercriminales a perseguir grandes empresas en busca de la mayor ganancia financiera posible.
En el Black Hat de este año, Edmund Brumaghin, ingeniero de investigación de Cisco Secure, dijo que la llamada tendencia de «buena caza» desarrolló aún más las tácticas de los operadores de ransomware. Ahora que la Caza de Grandes se ganó el foco de atención, Brumaghin dice que los cibercriminales no están implantando ransomwares de manera inmediata en los sistemas que desean infectar. En vez de eso, los agentes obtienen un punto de acceso inicial y luego se mueven lateralmente por la red – sin ser percibidos – consiguiendo acceso al mayor número posible de sistemas.
«Después de maximizar el porcentaje de entorno bajo su control, implantan el ransomware», comentó Brumaghin. «Es uno de esos ataques donde ellos ya saben que la empresa se ve forzada a pagar porque, en vez de tener solamente el endpoint infectado, también tienen un 70 u 80 % de la infraestructura del lado del servidor afectada operacionalmente al mismo tiempo». Es como un cáncer que no da síntomas sino después de afectar a decenas de órganos.
Ataque doble
Después que la víctima pierde el control de sus sistemas, se depara con el problema que Brumaghin alerta: la tendencia a la doble extorsión. Mientras un atacante está al acecho en una red, también puede examinar los archivos y extraer datos empresariales confidenciales – incluyendo información de clientes o de propiedad intelectual – y amenazar a las víctimas con filtrar la información.
«No solo están diciendo que la víctima tiene una cantidad determinada de tiempo para pagar el pedido de rescate y recuperar el acceso al servidor. Están diciendo que si usted no paga, también comenzarán a liberar todas la información confidencial en Internet para el público en general», observó Brumaghin.
Esa táctica se volvió tan popular en los últimos años que los operadores de ransomware acostumbrar crear sitios web de filtrado, tanto en la dark web como en la internet convencional. De acuerdo con el investigador, esto es algo cada vez más intenso y frecuente, porque incluso los grupos de ransomware comenzaron a emplear Corredores de Acceso Inicial (IABs) para eliminar parte de la mano de obra necesaria para lanzar un ciberataque.
Los IABs pueden encontrarse en fórums de la dark web y ser contactados de forma privada. Esos crackers venden el acceso inicial a un sistema comprometido – sea por medio de una vulnerabilidad VPN o de credenciales robadas – y así los invasores pueden saltar las etapas iniciales de infección y están dispuestos a pagar por tal acceso a la red, por que economizan tiempo y esfuerzo .
«Desde el punto de vista de los cibercriminales, eso tiene todo el sentido «, dijo Brumaghin. «Cuando usted considera alguno de los pedidos de rescate que estamos viendo, para ellos es obvio, ya que ellos en vez de intentar hacer todo su esfuerzo, pueden simplemente contar con corredores de acceso inicial para venderles el acceso que fue conquistado».
El equipo de seguridad de Cisco también notó un aumento en los ‘carteles’ de ransomware: grupos que comparten información y trabajan juntos para identificar las técnicas y tácticas con mayor probabilidad de resultar en generación de renta. «Estamos viendo una tonelada de nuevos actores de amenazas comenzando a adoptar ese modelo de negocios y continuamos viendo como surgen nuevos, entonces es algo que las empresas realmente precisan tener presente».
This post is also available in: Português Español