RansomOps

El ransomware ha evolucionado de un simple malware. A veces, no son los barridos automatizados habituales de malware los que se pueden reconocer y detener más fácilmente. En realidad, ahora hay operaciones dirigidas por humanos en las que los ciberdelincuentes funcionan de manera similar a las empresas legítimas de software como servicio (SaS). Estos grupos son sofisticados, metódicos e impredecibles. Este tipo de ataque se llama RansomOps.

RansomOps se ha establecido como un alejamiento del malware tradicional, que se entrega de una manera mucho más predecible y automatizada, a lo que puede describirse como rescate como servicio (RaaS). En este caso, los operadores centrales, como BlackMatter, Conti o REvil, brindan las herramientas y los servicios de cobro de pagos con afiliados que se encargarán de la selección y comprometerán la red.

Bearded cyber criminal wearing a hoodie while hacking government security. Dangerous malware.

Este modelo está impulsado por atacantes humanos que utilizan herramientas de atacantes para moverse lateralmente dentro de un entorno, evitando específicamente las herramientas de seguridad modernas para aumentar sus posibilidades de éxito. Este enfoque también hace que las herramientas tradicionales basadas en firmas sean ineficaces, ya que los atacantes pueden navegar a través de las redes de diferentes maneras. Estos ataques también son mucho más rápidos que los ataques de ransomware tradicionales.

Estos ataques de RansomOps van más allá del rescate regular a la extorsión, y los atacantes amenazan con filtrar datos comerciales si no se paga el rescate.

La pandemia ha llevado a la gran adopción de la nube y, junto con esto, hemos visto a los afiliados de RansomOp buscar nuevas formas de segmentación a través de plataformas de nube pública como AWS (Amazon Web Service) y Azure. Esto brinda a los atacantes la oportunidad de pasar del acceso inicial al rescate a velocidades aún más rápidas que los ya rápidos 8 a 30 días. De hecho, estos ataques se pueden completar en un día.

ATAQUES

¿Cómo funciona el RansomOp?

Estos jugadores incluyen los Agentes de Acceso Inicial (IAB) que sientan las bases para un ataque de ransomware al infiltrarse en una red y moverse lateralmente para maximizar el impacto potencial de la carga útil del ransomware, y los operadores de Ransomware-as-a-Service (RaaS) que brindan infraestructura de ataque a los afiliados que realmente llevan a cabo el ataque.

El ransomware se instala en la máquina del empleado y ejecuta su código malicioso; como parte de su proceso de inicio, el ransomware vuelve a llamar a sus atacantes a través de un servidor de  comando y control (C&C) con el fin de recibir instrucciones.

Una vez que ha obtenido sus órdenes de marcha, el ransomware roba el acceso a las credenciales para poder infiltrarse en más cuentas y dispositivos; el ransomware usa esas cuentas y dispositivos comprometidos para descubrir archivos con ciertas extensiones de archivo que es capaz de encriptar; en ese punto, el ransomware se mueve lateralmente a través de la red para comprometer aún más cuentas y dispositivos.

Finalmente, el ransomware actúa sobre sus objetivos activando su rutina de encriptación en archivos locales y de red y luego mostrando su nota de rescate a la víctima. Este nivel de compromiso coloca a los atacantes de RansomOps en una posición en la que pueden exigir rescates aún mayores, y las técnicas de RansomOps también suelen implicar múltiples técnicas de extorsión.  Estos incluyen el uso de doble extorsión donde los atacantes primero extraen los archivos confidenciales de una víctima antes de iniciar la rutina de cifrado de ransomware. 

La lógica es que los atacantes pueden usar esa información robada para amenazar a las víctimas que no cumplen con la posibilidad de una fuga de datos. Esto puede tomar la forma de actores de ransomware que ejercen presión adicional sobre las víctimas para que paguen el rescate a pesar de la disponibilidad de copias de seguridad de datos en funcionamiento. 

O puede involucrar a atacantes de ransomware que exigen dos rescates, uno por una utilidad de descifrado que funcione y otro por la palabra de los atacantes de que eliminaron la información robada de sus víctimas de sus servidores (como si la palabra de un grupo de ransomware significara algo de todos modos).

¿Qué tipo de daño pueden causar las operaciones de ransomOp en operaciones médicas?

  • EEOO: El incidente de Universal Health Services provocó que más de 400 proveedores de atención médica no pudieran acceder a los registros electrónicos y numerosos hospitales e instalaciones médicas se vieron gravemente afectadas.
  • Nueva Zelanda: El incidente del distrito de salud de Waikato, afectó a 680 servicios informáticos, provocó retrasos preocupantes en la atención de los pacientes y en los resultados de las pruebas de COVID-19, y los pacientes en estado crítico tuvieron que ser trasladados a otros hospitales.
  • Australia: Los sistemas de TIC de Eastern Health en Melbourne fueron atacados por piratas informáticos, el incidente provocó una interrupción significativa, incluida la cancelación de cirugías electivas y un gran estrés para el personal y los pacientes.

¿Cómo mitigar los riesgos de esta amenaza?

La detección temprana es la clave para mitigar los daños. Si los hosts infectados se aíslan rápidamente, los cazadores de amenazas pueden ponerse a trabajar para eliminar los procesos que fomentan la replicación. Lo ideal es dejarlo en manos de las herramientas de automatización, ya que la intervención humana en tiempo real hace poco para frenar la rapidez de la propagación del ransomware. Las plataformas que supervisan toda la red son las más indicadas para tomar decisiones automáticas que sean eficaces para evitar daños y pérdidas.

Una estrategia clave en toda la red que tiene éxito en la detección de ransomware es adoptar una visión de conjunto de los comportamientos en lugar de buscar activamente variantes conocidas de ransomware en el tráfico de paquetes o procesos. Esta estrategia es proactiva y se centra en descubrir la actividad inicial de reconocimiento y penetración por parte de los actores malignos, en lugar de esperar a que la carga útil caiga.

Además, unas sólidas políticas de gestión de identidades pueden ayudar a frenar la marea si se ha tenido cuidado de garantizar que sólo unos pocos elegidos tengan acceso a las áreas más sensibles de la infraestructura de TI. El ransomware debe conformarse con las credenciales otorgadas al usuario o a la aplicación que ha permitido su implementación. La supervisión de la actividad de las cuentas con privilegios elevados también es una función que puede automatizarse. Los equipos de seguridad disponen de máquinas de detección incansables y muy eficaces. Pueden detener cualquier intento de penetrar en el sistema informático desde el principio. Los ataques se detienen antes de que tengan tiempo de convertirse en ransomware.