Descifrando ciberamenazas: La eterna evolución de los ataques de ransomware

Durante los últimos años hemos visto cómo se dan a conocer los ataques por los distintos grupos de ransomware. Presenciamos su evolución, desde el cifrado y “secuestro” de información, hasta la extorsión por publicar los datos extraídos.

En un principio el ataque consistió en tomar control de la red y de dispositivos/equipos, posteriormente cifraban la información que encontraban y pedían un rescate para entregar la llave de descifrado. Actualmente existe una doble extorsión, piden un monto en dinero para que puedas recuperar tus datos y no publicar la información que, además de cifrar, extrajeron.

Este tipo de ataque merece un análisis para determinar el comportamiento de los atacantes y la evolución del modus operandi.

Todos sabemos que esto resultó ser llamativo -y lucrativo- para quienes lo realizan porque muchas empresas no cuentan con respaldos que permitan recuperarse frente a un evento de este tipo, por lo tanto, no les quedaban muchas opciones y debían pagar el rescate de los datos. Los ciberdelincuentes se dieron cuenta que todas las plataformas tecnológicas tenían vulnerabilidades o debilidades, además del factor humano para conseguir accesos, y comenzaron a explotar este nicho.

Luego, se dieron cuenta que las empresas no eran capaces de detectar el ataque hasta que los dispositivos dejan de funcionar por encontrarse toda su información cifrada o bien cuando aparecía el mensaje de fondo de pantalla pidiendo el rescate. Es el momento perfecto para dejar instalado algún backdoor o bien para robar la información, antes de dejar en evidencia que habían sido vulnerados.

Hoy, los atacantes son capaces de ingresar a los sistemas, robar muchos GB o TB de información, sin que los mecanismos de monitoreo se den cuenta que hay un aumento significativo en el throughput.

Como consecuencia de esta evolución por parte del atacante, muchas empresas se enteran de que fueron víctimas de un ransomware una vez que éste aparece publicado en algún portal de internet, meses después de que se haya concretado el ataque.

En casi todos los casos, los equipos de respuesta ante incidentes (CSIRT / IR) actúan cuando ya no hay mucho que hacer. La mayoría de las veces, esto no es detectado por los mecanismos de monitoreo y alertas. Se hacen reuniones, se activan protocolos de seguridad, aparecen comunicados indicando que todo está bien, sin embargo esto sólo tranquiliza a algunos, porque los que conocemos al detalle cómo se ejecuta un ataque de este tipo, sabemos que cuando dicen que todo está bien, significa que no lo está.

Para finalizar, debo recordar que lo que vemos en el SIEM, es más de lo que ya conocemos, muchas veces el ataque se está concretando por algo que no verás en el SIEM, por este motivo se debe monitorear mucho más allá que estar mirando una pantalla o revisando alertas. Se deben hacer revisiones preventivas. Un login exitoso no llama la atención de los sistemas de monitoreo, sin embargo, podría ser la puerta de entrada para un nuevo incidente.

Esto último no pasa solo con los ataques de ransomware, sino que con cualquier incidente que se quiera investigar.