El ransomware se está convirtiendo en un problema más serio aún de lo que ya era. Lo que había sido un trabajo casi artesanal, ahora se ha convertido en un proceso fabril al que cualquiera puede acceder. Aquí va un paralelismo para que lo entiendas: si el ransomware fuese hacer muebles, ya hay más de un Ikea por ahí.
Quizá el ataque más sonado de los últimos tiempos haya sido el sufrido por Colonial Pipeline, el oleoducto que suministra el 45 por ciento del combustible utilizado en la costa este de Estados Unidos. El ataque fue ejecutado por DarkSide, considerado como uno de los grupos cibercriminales más sofisticados del mundo, y supuso el pago de un rescate de cinco millones de dólares en bitcoins [de los cuales, por cierto, el FBI asegura haber recuperado 2,3 millones].
Los 850 profesionales de TI de JBS USA y 200 millones al año en tecnología no han sido capaces de evitar el ataque
Once millones de dólares
Pero, por supuesto, no es el único. JBS USA, el mayor productor de carne del mundo, también ha sufrido un reciente ataque. El pasado día 9, la empresa confirmaba en un comunicado haber pagado once millones de dólares para rescatar sus ordenadores.
Andre Nogueira, su CEO, aseguraba: “Ha sido una decisión muy difícil de tomar para la compañía y para mí personalmente”. Y eso que afirman dedicar más de 200 millones de dólares al año en tecnologías de la información y cuenta con más de 850 profesionales en ese departamento en todo el mundo.
Por si todavía no sabes lo que es, el ransomware es un ataque por el que los hackers “secuestran” los datos de los ordenadores y no los devuelven hasta haber recibido el pago de un rescate por ellos.
Herramientas como PowerShell, Mimikatz y Cobalt Strike permiten que cualquiera pueda lanzar un ataque
La tormenta perfecta
Según la compañía de ciberseguridad Sonicwall, “desde una nueva clase de trabajadores en remoto, que son millones y en muchos casos desconocen por completo las implicaciones de seguridad y las mejores prácticas”, hasta “una población en pánico y confusa”, pasando por “hospitales con sobrecarga de trabajo y de capacidad”, se ha creado una “tormenta perfecta” de la que sacar el máximo partido.
“La combinación de infraestructuras a escala de nube; la disponibilidad generalizada de herramientas de ataque como PowerShell, Mimikatz y Cobalt Strike; y el pago anónimo a través de criptomonedas, han permitido a actores de todos los tamaños infligir el tipo de daño típicamente asociado a las campañas más sofisticadas elaboradas por las naciones-estado”, aseguran en su Informe sobre ciberamenazas 2021.
Sus investigadores registraron en 2020 un total de 5.600 millones de ataques con malware. Aunque reconocen que el número puede ser mucho mayor, puesto que el incremento del tráfico que ha supuesto el auge del teletrabajo hace que se pierda visibilidad de muchas amenazas.
El ecosistema del e-crimen es una economía difusa y activa
Grandes empresas
Crowdstrike, que es otra compañía de ciberseguridad que se centra en grupos criminales que tienen como objetivo las grandes corporaciones, asegura haber detectado 1.377 infecciones en 2020 y 1.024 en lo que va de 2021, con un rescate medio de 5,6 millones de dólares.
“El ecosistema del e-crimen es una economía difusa y activa de entidades motivadas financieramente, que se involucran en una miríada de actividades criminales para generar ingresos”, explica su equipo de Inteligencia.
Las organizaciones generan herramientas para ciberataques que son utilizadas por otros delincuentes
Acceso en venta
Una de las figuras que ha surgido es el de los Access Brokers o agentes de acceso. Se trata de actores que consiguen penetrar los sistemas de diferentes organizaciones, “tanto corporaciones como entidades gubernamentales” y que posteriormente “venden este acceso tanto en foros criminales, como en canales privados”.
De esa forma, los atacantes no necesitan dedicar tiempo a “identificar objetivos y conseguir el acceso, lo que permite incrementar y hacer más rápidos los desarrollos, así como generar un mayor potencial para la monetización”.
Según relatan desde Crowdstrike, “algunos Access Brokers escalan los privilegios hasta nivel de administrador de dominino (con frecuencia anunciado como acceso total), mientras que otros solo facilitan las credencias y puntos de acceso necesarios para entrar”.
Es lo que se denomina RaaS, Ransomware as a Service. Consiste en generar herramientas que puedan utilizar otras organizaciones o hackers. Muchas de ellas se ofrecen en un paquete que incluye hasta las plataformas para montar el phising y recibir el pago. Se sospecha que el ataque a Colonial Pipeline se realizó a través de un RaaS.
Lo primero, incrementar la vigilancia
Soluciones
Desde Crowdstrike recomiendan, en primer lugar, incrementar la vigilancia: “Los equipos de seguridad deben entender que es su responsabilidad asegurar sus entornos en la nube, al igual que harían en sus sistemas on-premise [en sus propios servidores]”. Para conseguirlo, es clave “establecer una visibilidad consistente para todos los entornos”.
Además, es fundamental proteger las identidades y el acceso. Para conseguirlo, apuestan por la autenticación multifactor y generar “un proceso robusto de gestión de los privilegios de acceso”.
Y, por supuesto, “asegurarte de que dispones de una política de ciberseguridad que tiene en cuenta el trabajo en remoto”.
