/ ¿Qué es el ransomware de doble extorsión?
¿Qué es el ransomware de doble extorsión?
El ransomware de doble extorsión es un tipo de ciberataque en el que los atacantes exfiltran los datos confidenciales de la víctima además de cifrarlos, lo que proporciona al delincuente una ventaja adicional para cobrar el pago del rescate.Un ataque típico de ransomware solo cifrará los datos de la víctima. La amenaza adicional de exfiltración hace que este ataque sea especialmente peligroso para organizaciones de todos los sectores.
¿Qué sucede durante un ataque de doble extorsión?
En un ataque de ransomware de doble extorsión, un operador de ransomware obtiene acceso a la red de una víctima utilizando cualquiera de los diversos métodos y vectores de amenaza establecidos. Luego, el operador realiza un descubrimiento de red para localizar y asegurar el acceso a activos de alto valor desde toda la red y los puntos finales conectados, y luego exfiltrarlos a la propia red de almacenamiento del operador.
Después de propagarse lateralmente por la red, el malintencionado cifra los datos y exige un rescate. Si no se paga el rescate, los delincuentes suelen vender los datos robados o publicarlos en blogs públicos y foros en línea.
¿Cómo obtienen acceso los atacantes?
Los atacantes tienen métodos establecidos desde hace mucho tiempo para obtener acceso a los sistemas o puntos finales privados de las organizaciones y, por lo general, esos usos para llevar a cabo la doble extorsión no son diferentes:
- Phishing
- Malware
- Exploits de vulnerabilidad
- Violentar por fuerza bruta un servidor RDP
- Credenciales robadas
Los actores malintencionados llevan décadas atacando datos confidenciales, sobre todo en sectores verticales muy regulados como la sanidad, las finanzas y el sector público. Debido a las consecuencias para la reputación que se derivan de estos ataques, cada vez son más los CISO que dan prioridad a la gestión de vulnerabilidades, la gestión de la superficie de ataque y el control de acceso con Zero Trust, pero hablaremos de ello más adelante.
Secuencia de ataque del ransomware de doble extorsión
La cadena de eliminación del ransomware de doble extorsión es solo ligeramente diferente de la del ransomware típico. En la doble extorsión, los atacantes llevan a cabo dos métodos de ataque separados dentro de una sola perpetración. Esta es la cadena de eliminación:
- Acceso inicial: En esta fase, el atacante puede ingresar a los sistemas de un usuario o de una organización utilizando uno de los métodos enumerados anteriormente.
- Reconocimiento de red y movimiento lateral: El malintencionado examina el panorama de seguridad para ver dónde puede ser detectado. Una vez que tiene libertad para utilizar los recursos, el atacante se mueve por diferentes partes de la red.
- Exfiltración de datos (Táctica de extorsión #1): En el primer paso de la doble extorsión, los datos se eliminan del dispositivo, pero aún no se piden como rescate. Por este motivo, el usuario aún no ha sido notificado de la retención de sus datos como rehenes.
- Implementación de ransomware (táctica de extorsión) #2): Esta etapa tiene lugar durante todos los ataques de ransomware. El ransomware se implementa y ejecuta y los datos se cifran.
- Ataque DDoS en el sitio o la red: En este punto, el ataque está en curso. Se notifica al usuario del ataque a su sistema y se le dan instrucciones de pagar un rescate para recuperar sus datos.
Esta secuencia letal de ataque convierte al ransomware de doble extorsión en una de las amenazas más temidas en todo el ámbito de la ciberseguridad. ¿Pero cómo sucedió? ¿Cómo han causado estragos estos ataques en las organizaciones últimamente? Vamos a ver.
Los orígenes del ransomware de doble extorsión
El ransomware ha existido de alguna forma durante décadas, empezando por el troyano AIDS de 1989, o el virus PC Cyborg. Distribuido a través de disquetes, el troyano AIDS pedía a sus víctimas que enviaran por correo 189 dólares a una oficina de correos en Panamá para recuperar el acceso a sus sistemas.
Más de 30 años después, la llegada de las criptomonedas ha dificultado el seguimiento de los pagos por parte de las fuerzas de seguridad, pero los equipos de ciberseguridad han mejorado sus copias de seguridad y sus políticas de seguridad para ayudar al descifrado. En 2019, una organización criminal llamada TA2102 utilizó el ransomware Maze para perpetrar el primer ataque de ransomware de doble extorsión de alto perfil cuando se infiltraron en la empresa de personal de seguridad Allied Universal.
En lugar de limitarse a cifrar los datos de la empresa, TA2102 los exfiltró y amenazó con publicar en Internet la información robada a menos que Allied pagara un rescate de 2.3 millones de dólares en bitcoin. Esto significaba que, aunque Allied hubiera podido restaurar su red y sus datos, seguirían sufriendo una grave violación de datos a menos que pagaran.
Desde entonces, los incidentes de ransomware de doble extorsión se han vuelto más populares y complejos. Solo en 2020, al menos 15 familias de ransomware que utilizaban esta técnica perpetraron 1200 incidentes, lo que provocó muchas fugas de datos de gran visibilidad.
Por si fuera poco, los ataques de ransomware en general se han vuelto más grandes, más frecuentes y más fáciles de ejecutar. Las redes de afiliados ahora pueden comprar ransomware como servicio (RaaS) a través de la web oscura, así como utilizar técnicas de alto impacto, como explotar vulnerabilidades en la cadena de suministro de software, para maximizar sus ganancias.
Ejemplos recientes de alto perfil
Uno de los casos más sonados de doble extorsión se produjo en mayo de 2021 con el ataque al oleoducto Colonial, que en aquel momento transportaba el 45 % del suministro de gasolina y combustible para aviones de la costa este de los Estados Unidos. Los atacantes de la familia de ransomware DarkSide robaron 100 GB de datos, obligando a la empresa Colonial Pipeline a pagar unos 5 millones de dólares en bitcoin para recuperar el control y restablecer los servicios.
Casi al mismo tiempo, los atacantes de la banda de ransomware Conti, con sede en Rusia, atacaron el sistema Ejecutivo del Servicio de Salud de Irlanda y exigieron un rescate de 20 millones de dólares estadounidenses por la devolución de los datos de los pacientes. Más tarde, ese mismo mes, JBS SA, el mayor productor de carne del mundo, se vio obligado a cerrar temporalmente sus operaciones cuando el grupo de ransomware REvil se infiltró en su red, exfiltró sus datos y los mantuvo como rehén solicitando un pago de 11 millones de dólares estadounidenses de rescate en bitcoins.
El ransomware de doble extorsión más popular
Desde finales de 2019, las siguientes familias de ransomware han sido las más activas en la ejecución de ataques de ransomware de doble extorsión. Varios de estos grupos se disolvieron y cambiaron de nombre tras ataques de alto perfil:
- DarkSide
- Egregor
- Conti
- DoppelPaymer/BitPaymer
- REvil/Sodinokibi
- Avaddon
- RagnarLocker
- Maze
Cómo prevenir ataques de ransomware de doble extorsión
Los ataques de ransomware de doble extorsión son insidiosos y costosos. Los ataques han aumentado drásticamente en parte porque las empresas se han mostrado dispuestas a ceder a las peticiones de rescate a medida que los delincuentes se han vuelto más persistentes y agresivos. Sin embargo, todavía hay medidas que puede tomar para proteger su empresa y su información.
Adoptar una política de seguridad Zero Trust
Una defensa clave contra el acceso de un ciberdelincuente a su red, especialmente teniendo en cuenta el aumento constante del procesamiento en la nube, es adoptar una política Zero Trust, o de acceso con privilegios mínimos. Zero Trust significa que no se debe confiar intrínsecamente en ningún usuario ni aplicación. Más bien, se supone que todo es hostil hasta que haya sido autenticado y autorizado. El acceso se concede en función de la identidad y el contexto del usuario, e incluso entonces, solo a un conjunto mínimo de recursos.
Una arquitectura Zero Trust para la defensa contra ransomware se basa en tres principios:
- Minimizar la superficie de ataque: Haga que los usuarios y las aplicaciones sean invisibles a Internet asegurando el acceso tras un intercambio intermediado basado en proxy. Si no se pueden descubrir las aplicaciones, no hay superficie de ataque que explotar.
- Eliminar el movimiento lateral: Los hackers solo pueden cifrar o robar datos que pueden ver. Las técnicas de microsegmentación reducen la exposición de datos y, por lo tanto, minimizan los daños. En una implementación Zero Trust ideal, las organizaciones utilizan una arquitectura basada en proxy para conectar a los usuarios autenticados directamente con las aplicaciones sin exponer nunca la red. Las organizaciones también pueden implementar tecnologías del engaño para atraer y exponer a los atacantes.
- Inspeccione completamente para prevenir eficazmente amenazas y pérdida de datos: Inspeccione todo el tráfico, tanto cifrado como no cifrado, que entra y sale de su organización. Esto elimina los puntos ciegos y maximiza sus posibilidades de mantener a los atacantes afuera y a los datos confidenciales dentro.
Consejos para mantenerse protegido contra el ransomware de doble extorsión
Además de adoptar una filosofía Zero Trust, los equipos de ciberseguridad deberían aplicar estas políticas para reducir aún más la superficie de ataque y mitigar la amenaza del ransomware:
- Aplique una política de seguridad uniforme para evitar un compromiso inicial. Con una fuerza de trabajo distribuida, es importante implantar una arquitectura de perímetro de servicio de acceso seguro (SASE) que permita la autenticación y aplique una política de seguridad uniforme independientemente de dónde trabajen los usuarios.
- Implemente prevención de pérdida de datos en línea. Evite la filtración de información confidencial y mantenga los sitios de fuga de datos al mínimo con políticas y herramientas de prevención de pérdida de datos basadas en la confianza para frustrar las técnicas de doble extorsión.
- Mantenga el software actualizado y la capacitación al día. Aplique parches de seguridad en el software y lleve a cabo capacitaciones periódicas de concienciación sobre seguridad para reducir las vulnerabilidades que pueden explotar los ciberdelincuentes.
- Tenga un plan de respuesta. Prepárese para lo peor con un ciberseguro, un plan de copia de seguridad de datos y un plan de respuesta como parte de su programa general de continuidad empresarial y recuperación de desastres.
Zscaler Zero Trust Exchange
Zscaler cuenta con la protección contra ransomware más completa del sector para su red y su nube, con protecciones en toda la secuencia de ataque del ransomware, incluido el compromiso inicial, el movimiento lateral y la exfiltración de datos.
Zscaler supervisa 400 mil millones de transacciones por día durante los períodos pico en su plataforma global, bloqueando amenazas y compartiendo inteligencia sobre amenazas con clientes de todo el mundo para facilitar la seguridad Zero Trust. Nos asociamos con proveedores de seguridad líderes para garantizar que tenga capacidades de respuesta y visibilidad coordinadas en todo su ecosistema de seguridad.