Ransomware: una amenaza en constante evolución

11 de Septiembre de 2020
El robo de datos de la Dirección Nacional de Migraciones (DNM) es una muestra de que el ransomware sigue evolucionando y continúa haciendo estragos. Escribe Leonardo Granda, Gerente de Ingeniería de Sophos para América Latina

El impacto del ransomware es enorme. Cuando sumamos los costos de remediación, tiempo sin operar, recursos humanos, dispositivos afectados, oportunidades perdidas y el valor del rescate, el costo promedio para recuperarse del ataque es de hasta 1.4 millones de dólares, según datos de Sophos. Incluso a eso podemos sumar costos incalculables: la reputación de la organización y la confianza de los clientes.

Muchos administradores de TI se preguntan cómo anticiparse a los ataques de ransomware, ya que nadie está libre de ser el objetivo de estas amenazas. Ni siquiera una entidad como la Dirección Nacional de Migraciones en Argentina, que sufrió hace un par de días el secuestro de información a través del ransomware conocido como NetWalker.

Ante el rechazo en hacer el pago del rescate por parte de Migraciones, los cibercriminales finalmente publicaron datos sensibles del organismo atacado, incluyendo información de Embajadas, Consulados, la AFI, Interpol, y otros tantos más. Los datos robados fueron expuestos en el blog de NetWalker.

En estos días, también se ha dado a conocer un ataque de ransomware similar en el Banco de Estado de Chile. En estas situaciones es importante poder identificar y neutralizar los ataques antes de que causen interrupciones o se conviertan en una infracción. Sin embargo, el panorama de amenazas ha evolucionado y los adversarios se han vuelto más sigilosos, implementando técnicas avanzadas para evitar su detección. También utilizan herramientas nativas del sistema operativo o de ataque de código abierto, que les permiten llevar a cabo su actividad sin alertar al equipo de ciberseguridad.

Conceptos militares

La ciberseguridad se basa en gran medida en conceptos militares y el Threat Detection and Response (TDR) es una metodología que permite detectar y neutralizar los ataques a tiempo. Por ejemplo, el marco de investigación de Sophos para la búsqueda y respuesta de amenazas se basa en el concepto militar conocido como bucle OODA: observar, orientar, decidir, actuar. Este marco permite a los analistas y cazadores de amenazas trabajar de manera coherente y estructurada y garantizar que no se pase nada por alto.

Observe: ¿qué ves en los datos?
Oriente: ¿cuál es el contexto, el comportamiento, cómo se relaciona con las tácticas, técnicas y procedimientos de ataque (TTP) conocidos?
Decida: ¿es malicioso, sospechoso o benigno?
Actúe: mitigar, neutralizar y reingresar al ciclo

Al aplicar las etapas del marco, los cazadores de amenazas y los analistas crean una imagen de lo que está sucediendo dentro del entorno, determinando si es malicioso y qué medidas deben tomarse. Hay cinco componentes del TDR que las sustentan:

  1. Prevención. Implica saber dónde se encuentran los datos críticos y asegurarse de que estén protegidos. Tener implementadas tecnologías de prevención sólidas también reduce la cantidad de alertas de seguridad que se generan diariamente o incluso cada hora.
  2. Recopilación de eventos, alertas y detecciones. Los datos son el combustible que impulsa la búsqueda y el análisis de amenazas: sin el tipo, el volumen y la calidad correctos de señales, es más difícil identificar los indicadores de ataque, que pueden ser centrados en eventos, en amenazas o híbridos. Es importante recordar que las alertas no son el final del juego.
  3. Priorizar las señales que importan. La detección de amenazas es un componente crítico, pero es solo el primero de un proceso que incluye validación, investigación y respuesta a amenazas. Por eso es importante estar atento al contexto de los SIEM y registros para tomar decisiones bien informadas sobre dónde enfocar la atención, y lograr mayor eficiencia en eventos críticos.
  4. Investigación. Una vez que haya aislado las señales clave, es momento de agregar información y de comparar lo que ha descubierto con los marcos y modelos de la industria para construir un umbral de confianza en la convicción de comportamiento malicioso o benigno.
  5. Acción - Una vez determinada la amenaza, hay que mitigar el problema inmediato, sin olvidarse de que probablemente solo esté abordando un síntoma del ataque. A veces será suficiente poner en cuarentena una máquina o desconectarla de la red, mientras que en otras ocasiones se necesita profundizar en una red para extraer los zarcillos del atacante.

En conclusión, los cazadores de amenazas profesionales que ven miles de ataques deben saber cuándo y dónde buscar más a fondo. En Sophos, diseñamos y creamos productos de seguridad que pueden ser administrados por clientes y socios, y soluciones que fusionan la tecnología con la entrega de servicios, a través de la colaboración o en modo de solo notificación.

Lo ideal es que cada organización, independientemente de su nivel de capacidad de operaciones de seguridad, pueda contar con productos y servicios lo suficientemente flexibles para cumplir con ellos desde dónde están, y crecer con ellos hasta donde quieran estar.

(*) Leonardo Granda: Director de Ingeniería para Latam de Sophos