El ransomware ha cambiado mucho a lo largo del tiempo. Queremos ayudarle a proteger a su organización contra esta creciente tendencia de ataques.
El ataque de ransomware que sufrió Colonial Pipeline es solo parte de lo que parece ser una nueva ola de ataques de ransomware que los cibercriminales están dirigiendo hacia víctimas de alto valor. ¿Por qué estamos viendo esto?
Estos actores maliciosos están buscando dinero por medio de extorsiones, y como tal están buscando a las organizaciones que tienen más probabilidades de pagar en caso de que se vean interrumpidas sus operaciones de negocio. En el pasado vimos esto con los ataques hacia organizaciones en los sectores educativo y gubernamental. Entre más daño causen estos actores a una organización, es más probable que reciban un pago.
Los ataques de ransomware han pasado por varias iteraciones, y ahora estamos viendo la cuarta fase de estos tipos de ataques. Para darle más contexto, estas son las 4 fases:
-
- 1ª fase: solamente el ransomware, se encriptan los archivos y después de libera la nota de rescate… se espera el pago por medio de bitcoin.
-
- 2ª fase: doble extorsión. Lo que ocurre en la 1ª fase + la exfiltración y amenaza de publicación de datos. Maze fue el primer caso documentado en hacerlo y otros siguieron sus pasos.
- 3ª fase: triple extorsión. Fases 1 y 2 + la amenaza de DDoS. Avalon fue el primer caso documentado.
- 4ª fase: extorsión cuádruple. Fase 1 + (tal vez fase 2 o 3) + correo dirigido hacia la base de datos de clientes de la víctima. Cl0p fue el primer caso documentado de esto, de acuerdo con Brian Krebs
Ahora vemos un modelo de doble extorsión la mayoría del tiempo, pero el cambio principal que estamos viendo es el targeting de los sistemas críticos de negocio. En este último caso, no parece que los sistemas OT fueran afectados pero los sistemas de TI asociados a la red probablemente sí.
Esto podría cambiar ya que muchas organizaciones cuentan con una red OT que es crítica para sus operaciones y por lo tanto podría convertirse en un blanco. En este blog destacamos como los fabricantes están siendo blanco de ransomware moderno y el impacto asociado.
Tirar los sistemas que corren las operaciones de negocios del día a día de una organización puede causar daños financieros y de reputación.
Pero también podrían existir consecuencias imprevistas al atacar a víctimas de muy alto perfil, y este es el último ejemplo de esta situación. Atacar una pieza de infraestructura crítica para una nación, incluso si el motivo solamente es financiero, podría detonar acciones de fuerza mayor contra las entidades detrás del ataque. Por lo que, en el futuro, los actores maliciosos podrían tener la necesidad de evaluar las potenciales ramificaciones que representa su víctima y decidir si hace un buen sentido de negocio iniciar el ataque.
Continuaremos viendo el ransomware en el futuro y y es por este motivo que las organizaciones necesitan tomar el tiempo de implementar un plan de respuesta a incidentes que se enfoque en el nuevo modelo de los ataques de ransomware. Algunas cosas que debe considerar son:
-
- Comprenda que será un blanco en algún momento. Cada negocio puede estar en el radar de los actores maliciosos,pero aquellosen infraestructuras críticas deben evaluar la posibilidad de convertirse en una víctima en el corto plazo.
- Los atacantes dedicados encontraron una forma de acceder a su red. Access as a Service (usualmente donde otro grupo obtiene el acceso inicial y se lo vende a otro grupo)se utiliza de forma regular actualmente y, ya sea a través de un empleado que caiga en un esquema de phishing, un sistema vulnerable abierto al internet o el uso de un ataque a la cadena de suministro, los criminales encontrarán una entrada.
- El uso malicioso de herramientas legítimas son una táctica preferida que se usa a lo largo del ciclo de vida completo del ataque. Revise nuestroblogreciente acerca del tema.
- Las credenciales de cuentas clave de administradores y aplicaciones se convertirán en blancos.
- Los actores de ransomware buscan exfiltrar los datos que se usarán en el modelo de doble extorsión.
- El componente de ransomware será la última opción en su arsenal de actividades maliciosas, ya que es la parte más visible del ciclo de vida del ataque y como tal usted sabrá que se le ha comprometido.
Para aquellas organizaciones que tienen redes OT, algunas cosas clave:
-
- Comprenda su riesgo si se saca de línea a su red OT
- Diseñe un modelo de seguridad que proteja a los dispositivos dentro de la red OT, especialmente aquellos que no pueden soportar un agente de seguridad
-
- La segmentación de redes es crítica
- Si se necesita sacar de línea a la red OT debido a que se comprometió a la red IT, necesita identificar cómo superar esta situacion
Este último ataque es otro llamado a la acción para que todas las organizaciones fortalezcan sus redes contra ataques y mejoren la visibilidad de posibles actores maliciosos en su red. Trend Micro cuenta con una plataforma multicapa de ciberseguridad que puede ayudar a mejorar su detección y respuesta contra los últimos ataques de seguridad y mejorar su visibilidad. Revise la plataforma de Trend Micro Vision One o póngase en contacto con nostros para discutir cómo podemos ayudar.
Leave a Reply