Sin servicios disponibles y con petición de rescate: batalla de una ciudad contra la ciberdelincuencia

La ciudad en este caso tuvo suerte hasta cierto punto. El equipo de seguridad detectó el ataque justo después de que hubiera comenzado, por lo que pudo aislar el segmento de red afectado para limitar los daños. 

Aunque el departamento en el que comenzó el ataque tuvo que volver (en sus propias palabras) a trabajar "a la antigua", sin tecnología, el resto de los departamentos pudieron escapar prácticamente indemnes. Sin embargo, en el proceso de recuperación se tardaron semanas, generando un tiempo de inactividad que hizo que los servicios esenciales que el departamento ofrece a la comunidad no estuvieran disponibles.

¿Cómo consiguió el atacante acceder a la red de la ciudad? Según el análisis forense, el atacante utilizó una cuenta del proveedor robada (¿se acuerda de aquel instalador del sistema de climatización?) para utilizar la VPN de la ciudad y acceder a un punto final de dicho sistema. Una vez conectados, los hackers pudieron recopilar credenciales con privilegios para obtener permisos derivados y utilizar el equipo de la víctima para moverse lateralmente por la red. 

Lamentablemente, esto es algo habitual. Las filtraciones de datos y los ataques de ransomware suelen comenzar con el robo de las credenciales de acceso de los proveedores. Hackear a los proveedores puede ser una propuesta lucrativa para los grupos de ransomware, ya que pueden acceder a credenciales de varios objetivos al atacar a una sola organización.

Aunque este método de acceso parece bastante habitual en los últimos tiempos, no es la única manera de hacerlo. Tradicionalmente, los dos principales vectores de infección para las amenazas de ransomware son los correos electrónicos de phishing y los ataques a través del protocolo de escritorio remoto (RDP).

El phishing sigue siendo muy eficaz, ya que la tecnología ha hecho que los correos electrónicos de phishing sean cada vez más difíciles de detectar. Incluso los profesionales más experimentados pueden caer en la trampa de algunos de estos mensajes de aspecto auténtico bien elaborados. Atrás quedaron los días de las estafas del príncipe nigeriano con una redacción que dejaba que desear.

Por algún motivo, algunas organizaciones no se han percatado de que tener conexiones de protocolo de escritorio remoto abiertas a Internet es una mala idea. Los atacantes las encontrarán muy rápidamente y con fuerza bruta podrán acceder al sistema, y una vez que lo hagan, lo siguiente que vendrá será una nota de rescate. 

Los atacantes también pueden abrirse camino utilizando métodos de eficacia probada, como la ingeniería social, el robo de credenciales y dejando por ahí unidades USB comprometidas.

El ransomware ha evolucionado drásticamente en la última década, pasando de ser un simple malware de bloqueo de archivos (más conocido como criptolocker) a unos sofisticados ataques diseñados para maximizar el impacto y los beneficios. Antiguamente, los atacantes de ransomware cifraban los archivos de una víctima en un único sistema, exigiendo el pago a cambio de las claves de descifrado. 

De ahí se produjo una evolución hasta poner en peligro redes completas, incluidos los sistemas de copia de seguridad y recuperación, para reducir la capacidad de recuperación de una víctima.  Con el tiempo, las organizaciones han empezado a mejorar su estrategia de ciberseguridad, con copias de seguridad más sólidas, que han reducido significativamente el efecto de los ataques basados en cifrado.

¿Qué otra opción le quedaba a un pobre ciberdelincuente? Se había dejado demasiado dinero en la mesa como para no hacer nada y volver a casa. En lugar de eso, los ciberdelincuentes se adaptaron incorporando nuevas soluciones de ransomware, lo que dio lugar a la era de un nuevo tipo de ransomware denominado "doble extorsión".

El ransomware de doble extorsión es una infección de ransomware única que implica dos amenazas distintas: el cifrado de datos críticos y la exfiltración de los archivos cifrados, con la amenaza de filtrar información confidencial públicamente si no se paga el rescate. 

Esta táctica aumentó drásticamente la presión sobre las víctimas, ya que transformó los ataques de ransomware de una preocupación principalmente operativa en un grave riesgo de filtración de datos con posibles implicaciones a nivel legal, normativo y en la reputación. 

Este fue el caso de nuestros amigos que trabajan para la ciudad. Antes de iniciar la fase de cifrado del ataque, el grupo de ransomware extrajo varios GB de datos y amenazó con filtrarlos en la dark web si no se cumplían sus exigencias.

Aquí es cuando las cosas se ponen difíciles. Cualquier fuerza del orden que trabaje a cualquier nivel, desde las autoridades locales hasta la Oficina Federal de Investigaciones (FBI) o la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), entre otras, le aconsejarán que no pague cuando le pidan un rescate. Y prácticamente todos los profesionales de la seguridad le darán el mismo consejo, incluidos proveedores de sistemas operativos como Microsoft y de programas antivirus y antimalware. 

El motivo que hay detrás es sencillo: mientras haya organizaciones que sigan pagando, los ciberdelincuentes seguirán lanzando ciberataques. Una vez realizado el pago (utilizando bitcoins o cualquier otra criptomoneda), no existe garantía alguna de que se reciba la clave de descifrado, de que el descifrado funcione, ni tampoco garantía de que no volverá a ser objeto de otro ataque. 

Todo lo contrario, de hecho, como es muy probable que el atacante siga teniendo presencia en su entorno y, puesto que usted ya ha pagado una vez, es muy probable que vuelva a pagar. 

Varias organizaciones de seguridad afirman que alrededor del 78 % de las organizaciones que pagan una petición de rescate vuelven a ser objetivo de los atacantes. Así que no pague el rescate, ¿vale? En realidad, esto no es tan sencillo. En función de la gravedad del ataque, se podría dar el caso de que una organización no pueda recuperarse tras el ataque sin pagar. 

Si el atacante puede acceder a las copias de seguridad, estas se encontrarán cifradas con toda probabilidad (el ataque comenzará con las copias de seguridad). Sin copias de seguridad, la infraestructura no se puede restaurar. Incluso aunque existan copias de seguridad que se puedan utilizar, muchas organizaciones tienen dificultades con el coste y el tiempo necesarios para reconstruir todo desde cero. 

En las organizaciones más grandes, los costes de la reconstrucción y restauración de sus entornos podrían superar con creces al precio que del rescate. En estos casos, no pueden permitirse el lujo de NO pagar. 

Además, no se puede pasar por alto el factor tiempo. La restauración puede tardar semanas o incluso meses, tiempo durante el que los servicios esenciales en los que confían los integrantes de la organización no estarán disponibles. La presión para restaurar estos servicios puede ser muy grande. 

Con el proceso de restauración solo estaríamos a medio camino. Como se ha mencionado anteriormente, la mayoría de las bandas de ransomware utilizan ahora malware de doble extorsión. En primer lugar, roban todos los datos para, a continuación, cifrarlos. 

Las organizaciones se enfrentan en ese momento a la amenaza de que su información confidencial se ha divulgado y que cualquier persona puede verla. Como consecuencia, la marca de la organización podría verse perjudicada, producirse pérdida de confianza y la empresa podría tener que hacer frente a posibles multas u otro tipo de sanciones. Una víctima podría tener que pagar multas por no cumplir con las leyes de privacidad y, a continuación, también tendría que proporcionar un servicio de supervisión de crédito a la personas cuya información haya sido robada durante el ataque.

Si sumamos estos costes a lo que la víctima ya ha pagado por la restauración, el resultado puede ser una pesadilla financiera. En algunos casos, los resultados son catastróficos y la organización sencillamente no puede recuperarse tras el ataque. 

En 2022, el Lincoln College de Illinois se vio obligado a cerrar permanentemente debido a un ataque de ransomware. La escuela universitaria, que ya venía sufriendo dificultades financieras debido a la pandemia de la COVID-19, no pudo pagar el rescate, y su falta de preparación y respuesta ante incidentes no le permitió solucionar el problema. 

Como resultado, se vio obligada a cerrar sus puertas tras 157 años, una consecuencia desgarradora.

En última instancia, el pago de un rescate se convierte en una decisión empresarial. Algunos de los factores que influyen en esta decisión son:

• ¿Cuáles serían las consecuencias empresariales si no se pagara?

• ¿Cuáles serían las consecuencias empresariales si se filtrara la información confidencial?

• ¿Se podrían recuperar los sistemas si no se pagara el rescate?

La ciudad de nuestra historia no pagó a su atacante. Pudo negociar con la banda de ransomware y reducir significativamente la cantidad solicitada para el rescate. Tuvo la suerte de haber podido recuperar sus sistemas en peligro y de no depender de la clave de descifrado. 

Sin embargo, tuvo que informar a un gran número de personas de que su información se había visto comprometida y ofrecer un servicio de supervisión de crédito a todos los afectados. Dicho esto, los resultados podrían haber sido mucho peores.

¿Sigue con dudas? No le culpo. La idea de ser víctima del ransomware puede resultar intimidante, pero no debería quitarle el sueño. Tener un plan y prepararse con antelación puede reducir la gravedad de un ataque de ransomware o evitarlo por completo. 

A continuación se muestran algunas estrategias que puede aplicar de forma inmediata, entre las que se incluyen:

• Copias de seguridad de datos

• Firewalls de DNS

• Segmentación

• Acceso a aplicaciones Zero Trust,

Asegúrese de contar con una excelente estrategia de copia de seguridad de datos (en este caso no bastará con una buena). Querrá tener la garantía de contar con varios duplicados de sus copias de seguridad; lo ideal sería que, al menos una de ellas, estuviera en un espacio protegido para que los atacantes no pudieran acceder a ella. Este es uno de los primeros objetivos de un ataque, así que asegúrese de que el atacante no pueda encontrarla. 

No olvide restaurar. Realizar copias de seguridad de los datos es necesario, pero no estar familiarizado con el método de restauración de los sistemas es casi tan malo como no tener ninguna copia de seguridad. Esté preparado para restaurar todo, especialmente las aplicaciones esenciales, los datos confidenciales y la infraestructura.

Los correos electrónicos de phishing son el vector de infección más habitual para el ransomware. Por más que lo intente, no podrá evitar que la gente haga clic en enlaces de phishing y en otros enlaces maliciosos. Sin embargo, puede reducir sus consecuencias. 

Cuando alguien hace clic en un enlace malicioso o abre un archivo adjunto malicioso, su sistema realiza una búsqueda de DNS del dominio malicioso. Un firewall de DNS puede bloquear la resolución del dominio malicioso y no permitir que el enlace funcione. Un firewall de DNS puede bloquear solicitudes de conexión similares a dominios de malware conocidos y a la infraestructura de mando y control (CnC). 

Akamai Secure Internet Access es una excelente opción para un firewall de DNS. Los equipos de investigación de amenazas de Akamai utilizan algoritmos avanzados para bloquear de forma proactiva la resolución de dominios maliciosos, y la solución incluso cuenta con protección contra phishing de día cero. 

La cosa mejora aún más en el caso de la comunidad de gobiernos estatales, locales, tribales y territoriales (SLTT). Hay una versión gratuita de Secure Internet Access (SIAE) disponible para los miembros de MS-ISAC a través de su servicio de bloqueo y denuncia de dominios maliciosos (MDBR). 

Para las organizaciones que necesitan aún más protección, Secure Internet Access está disponible como MDBR+ de MS-ISAC. Por su parte, CIS CyberMarket ha reducido considerablemente los precios para los miembros de MS-ISAC que deseen comprar directamente a Akamai.

La triste realidad es que no se trata de si se va a producir una filtración de datos, sino de cuándo. Cuando se produce una filtración, ¿qué capacidad tiene el atacante para moverse lateralmente en su entorno para difundir su software malicioso? 

Disponer de segmentación es la clave para controlar el movimiento lateral. La segmentación básica es útil, pero los resultados pueden ser devastadores. 

He mencionado que la ciudad pudo desconectar el segmento afectado de su red del resto de departamentos. A pesar de ello, el atacante pudo lanzar un ataque de ransomware devastador. Los servicios esenciales para la ciudad no estuvieron disponibles durante un período prolongado, lo que provocó importantes costes financieros y daños a la reputación de la marca. 

En los métodos de segmentación tradicionales se utilizan controles de capa 2 y capa 3 como VLAN, controles de firewalls y listas de control de acceso (ACL). La microsegmentación es un enfoque más eficaz. El uso de un enfoque basado en software le permite controlar la segmentación en el nivel de host, para que pueda contener aún más el radio de efecto en caso de riesgo. 

Akamai Guardicore Segmentation es el líder en este sector. Akamai Guardicore Segmentation es una solución de firewall basada en host que le proporciona visibilidad de todo el tráfico de red de su entorno, para ver no solo "quién está hablando con quién", sino también "de qué están hablando". 

Esto significa que podemos ver no solo qué dispositivos se comunican entre sí, sino también obtener información contextual detallada de la capa 7 sobre los procesos que se ejecutan en cada uno de los sistemas. 

Con esta visibilidad podrá crear políticas que solo permitan las comunicaciones necesarias para que la red y las aplicaciones funcionen de la forma prevista. Todo lo que no esté permitido específicamente se bloquea, por lo que, en caso de vulneración, el atacante no puede moverse lateralmente a otros sistemas ni ejecutar procesos que le permitan derivar privilegios. 

Esta estrategia basada en el software puede hacer que los proyectos de segmentación sean más fáciles y rápidos de realizarse, lo que se traduce en una mejora de las estrategias de seguridad con un retorno de la inversión más rápido.

En nuestra historia de la ciudad estadounidense afectada por el ataque de ransomware, el vector de infección era una cuenta de la VPN comprometida. Las VPN tuvieron su momento; sin embargo, en el entorno de amenazas actual, las organizaciones necesitan algo mejor. 

El acceso a la VPN permite al usuario entrar en la red, lo que significa que si el usuario sabe lo que está haciendo, puede acceder a cualquier elemento de ese segmento de red, independientemente de si se supone que es algo que deba o no hacer. Como hemos visto, las credenciales comprometidas pueden provocar un desastre. 

Una estrategia más recomendada sería sustituir las VPN por una solución de acceso a aplicaciones Zero Trust. Estos productos proporcionan una experiencia de inicio de sesión único a los usuarios, ya que les dan acceso solo a los recursos que necesitan para hacer su trabajo, y a nada más. Los usuarios no pueden acceder a nada a lo que no se les haya otorgado acceso. 

Akamai Enterprise Application Access es una respuesta excelente a esta necesidad. Nuestro servicio de proxy con reconocimiento de aplicaciones permite disfrutar de una experiencia de acceso perfecta a las aplicaciones, independientemente de dónde resida el origen de la aplicación o desde dónde acceda el usuario a los recursos. Enterprise Application Access también puede ser útil con esas molestas sesiones de protocolo de escritorio remoto (RCP) que aún no se han desconectado de Internet. Incluso puede aprovisionar sesiones de protocolo de escritorio remoto y protocolo de comunicaciones seguras (SHH) para acceder a ellas a través de un navegador web, lo que resulta perfecto para el acceso de proveedores externos.