Código Morse y doble extorsión:el estado actual del malware

El ransomware no es ajeno a las redes corporativas, ya que presenta enormes riesgos e incluso mayores esfuerzos de recuperación que son bastante costosos. Los ataques exitosos de ransomware pueden resultar en sistemas bloqueados, identidad robada y datos retenidos como rehenes, todo lo cual puede provocar el caos y el desastre en las organizaciones objetivo.
Cuando el ransomware llega a su objetivo, prácticamente se termina el juego. El malware cifra los archivos y se propaga a todo el sistema para maximizar el daño, lo que obliga a muchas empresas a bloquear las redes para detener la propagación.

Si bien el cifrado se usa en todas partes, no debe confundirse con hash u ofuscar archivos. Las técnicas de hash y ocultación son útiles para evadir las herramientas de detección, mientras que el ransomware toma sus datos como rehenes debido al cifrado.

Cada uno utiliza diferentes tipos de criptografía, desde cifrados simétricos modernos hasta cifrados asimétricos, con la idea de evitar cualquier operación inversa sin una clave.

Muchas cepas de ransomware muestran una "nota especial" después del cifrado, que exige que la única forma de descifrar los archivos es enviar Bitcoins a la billetera de los delincuentes. Sin embargo, como sabemos, algunas formas de ransomware son descifrable, y no es necesario pagar el rescate, o la carga no debería recaer únicamente en el seguro cibernético. Por ejemplo, Jigsaw, una forma antigua de malware acuñada por primera vez en 2016, contiene la clave utilizada para cifrar archivos en el código fuente. Recientemente vimos este tipo de ataque emerger nuevamente este año dentro del código Morse, lo que demuestra que incluso a medida que el malware continúa evolucionando, los delincuentes usarán cualquier cosa que funcione, lo que significa que las empresas deben ser conscientes no solo de las amenazas en evolución, sino también de las viejas formas de ataque.

Los ataques recientes no solo cifran datos. El malware también puede exfiltrar información crítica antes del cifrado. A medida que mejora la protección contra el ransomware, especialmente con las estrategias de eliminación y recuperación, los piratas informáticos están recurriendo al uso de datos robados como una nueva ventaja para seguir amenazando a las víctimas si no pagan el rescate, lo que crea una amenaza doble de ransomware.

Recientemente, hemos observado que los actores de amenazas adoptan un modelo de "doble extorsión", en el que cifran los datos del objetivo y no solo exigen un rescate por su devolución, sino que también aprovechan los incentivos de pago adicionales para presionar a la víctima para que pague el rescate. Algunos actores de amenazas incluso utilizarán un enfoque más específico y amenazarán con publicar o subastar los datos a menos que la víctima pague, una situación que destaca el riesgo de no cumplir con el Reglamento General de Protección de Datos (GDPR) de la UE y los cientos de datos. políticas y leyes de privacidad. Dos de esos ejemplos son Conti y REvil, ambos en nuestra lista de malware más desagradable de 2021, que se sabe que publican datos filtrados en sitios web oscuros si no se pagan los rescates.

Una forma fundamental de mejorar la resiliencia cibernética, la capacidad de resistir ataques y garantizar el acceso continuo a los datos, es tener una estrategia de respaldo sólida. Sin embargo, los esfuerzos pueden resultar inútiles si las organizaciones olvidan enumerar e identificar claramente sus requisitos y luego no prueban sus procedimientos con regularidad para evitar fallas masivas en los peores momentos.

La protección de datos tiene que ver con la mitigación de riesgos y debe hacerse algunas preguntas clave para tener el plan más completo:

• ¿Cómo se relacionan sus datos con sus operaciones comerciales o sus ingresos? ¿Es necesario archivar los datos?
• ¿Los datos residen en un sistema heredado donde podrían estar sujetos a marcos regulatorios que podrían exponer a su empresa a sanciones si se violan los datos?
• ¿Cuáles son los datos sin los que su empresa no puede funcionar?
• ¿Cuánto tiempo puede llevar restaurar esos datos?
• ¿Cuánto podría costar restaurar completamente?

Los ciberdelincuentes continuarán perfeccionando sus enfoques y experimentando con diferentes modelos comerciales, ya que los ataques de ransomware evolutivos ejercen una enorme presión sobre la disponibilidad de los servicios y los flujos de datos.

Si bien esos adversarios, sin duda, continuarán buscando formas adicionales de presionar a las víctimas para maximizar sus posibilidades de recibir un pago, usted puede tener el poder de preservar lo que es más valioso para usted hoy mediante la implementación de sólidas prácticas de resiliencia cibernética, tanto ahora como en el futuro.

David Dufour es vicepresidente de ingeniería de inteligencia de amenazas y ciberseguridad con Webroot y Carbonite, empresas OpenText.