La pandemia de las sombras: los peligros presentes y futuros del ransomware para las corporaciones

En medio de la lucha en curso contra el COVID-19, los gobiernos y las empresas de todo el mundo se enfrentan a otra amenaza viral, de la que nadie es inmune. Los ataques de ransomware se han intensificado en los últimos dos años hasta el punto de que ahora Interpol los considera una pandemia mundial. En un llamado a la acción urgente emitido a mediados de 2021, Jurgen Stock, secretario general de la organización de seguridad global, dijo que combatir el ransomware se ha convertido en una tarea demasiado grande para que cualquier organización o industria la haga sola. Sin una respuesta global, dijo, nada puede frenar el crecimiento exponencial de la ola de delitos de ransomware.

En octubre, el Consejo de Seguridad Nacional de la Casa Blanca convocó una cumbre global virtual de ciberseguridad y las 30 naciones participantes se comprometieron a formar una coalición similar a la OTAN centrada en la defensa cibernética. Pero los expertos consultados por Toptal dicen que los líderes corporativos también deben participar en la batalla contra el ransomware.

“Esto tiene que ser más que un grupo de gobiernos y organizaciones internacionales como Interpol”, VS Subrahmanian, líder mundial en investigación de seguridad cibernética y contraterrorismo, y profesor y miembro de la facultad en el Instituto Roberta Buffett para Asuntos Globales en la Universidad Northwestern. , le dice a Toptal Insights. La prevención del ransomware tiene que "incluir a las principales empresas, y tiene que incluir a las personas que piensan en estas cosas con mucha profundidad, como investigadores independientes o académicos".

Los ataques de ransomware se han intensificado hasta el punto de que Interpol ahora los considera una pandemia mundial.

Reducir el crecimiento del ecosistema de ransomware y defender la economía global protegerá a las empresas tanto ahora como en el futuro. Incluso las empresas con listas de verificación de seguridad cibernética estándar de oro no son inmunes a la amenaza actual del ransomware. Y los líderes corporativos que creen que pueden comprar su salida de un ataque pueden sentirse perturbados al saber que solo el 8% de los que pagan a los piratas informáticos recuperan todos sus datos.

“En este momento, los atacantes evolucionan constantemente sus estrategias para evadir o superar las defensas, por lo que esta es una batalla constante”, dice Subrahmanian, quien cofundó SentiMetrix, una empresa de análisis social y ciencia de datos que se asocia con agencias gubernamentales de EE. UU., empresas Fortune 500, y universidades líderes. “El número de ataques está aumentando y todas las empresas están amenazadas”.

El estado actual del juego

El cambio repentino al trabajo remoto y la mayor dependencia de la computación en la nube durante el cierre de COVID-19 de 2020 expuso las debilidades en las redes de muchas empresas y creó más puntos de entrada para el malware: programas de software maliciosos que permiten a los piratas informáticos bloquear los datos de una organización, eliminarlos de las computadoras de la empresa y mantenerla como rehén en servidores externos.

La cantidad total que las organizaciones estadounidenses pagaron a los atacantes de ransomware se duplicó con creces entre 2019 y junio de 2021, según estimaciones de la Red de Ejecución de Delitos Financieros (FinCen) del Departamento del Tesoro de EE. UU. El pago de rescate promedio exigido a cada víctima también se disparó, de poco menos de $ 1 millón de dólares en 2019 a más de $ 5 millones en 2020, según Unit 42, un grupo global de investigación de amenazas y análisis de malware propiedad de la firma de seguridad cibernética Palo Alto Networks.

En uno de los ataques más paralizantes de la historia reciente, los piratas informáticos forzaron el cierre del suministro de gasolina a gran parte de la costa este de los EE. UU. durante cinco días en 2021, hasta que Colonial Pipeline Co. pagó $ 4,4 millones en rescate. Casi al mismo tiempo, el gigante de seguros CNA, con sede en Chicago, pagó a los atacantes de ransomware $ 40 millones, estableciendo una nueva marca de agua para un ataque individual.

A fines de 2021, el líder mundial en soluciones de software de recursos humanos Ultimate Kronos Group recibió un ataque que dejó a los principales empleadores luchando por encontrar formas alternativas de pagar a sus trabajadores, dos semanas antes de las vacaciones de Navidad. La cantidad de rescate exigida no se ha hecho pública, pero es probable que sea enorme, considerando que UKG reportó ganancias de $3.3 mil millones en 2021.

El crecimiento exponencial de las ganancias de los delincuentes está atrayendo a más oportunistas de todo el mundo. Se sabe que China es un punto crítico de ciberdelincuencia; Otros países activos para los piratas informáticos incluyen Brasil, Polonia, Irán, India, Estados Unidos, Rusia y Ucrania.

Los ataques de ransomware actuales son cada vez más despiadados

Los ataques de ransomware solían seguir un procedimiento muy simple: “Serías atacado. Algunos de sus archivos estarían encriptados. Tendrías que pagar un rescate en Bitcoin para recuperar esos archivos”, dice Subrahmanian. Estos tipos de ataques comenzaron a fines de la década de 1980, cuando se distribuían virus informáticos en disquetes a víctimas desprevenidas que tenían que enviar dinero en efectivo a apartados postales anónimos para desbloquear sus computadoras. A medida que los negocios globales se movían en línea, también lo hacían los esquemas.

A lo largo de los años, las organizaciones se dieron cuenta de que hacer copias de seguridad frecuentes de los archivos en discos duros externos o servidores en la nube neutraliza la amenaza de los bloqueos de datos. “Entonces, lo que hicieron los actores de amenazas de ransomware fue cambiar su modus operandi”, dice Subrahmanian. “Cuando llevan a cabo un ataque, no solo cifran sus datos. También roban algo de eso”.

Aprovechando los datos robados, los hackers ahora emplean regularmente hasta cuatro tipos de extorsión durante los ataques. El primero es cifrar los datos de la víctima y exfiltrarlos (eliminarlos) a un servidor controlado por el ciberdelincuente. El segundo amenaza con divulgar públicamente los secretos de propiedad de la organización o la información que podría dañar la reputación de la empresa. Un tercer tipo de extorsión consiste en amenazar con un ataque de denegación de servicio (DOS), que cierra los sitios web públicos de una organización.

Estos son ataques cibernéticos realmente agresivos y las personas que los llevan a cabo tienen más poder que los estados-nación. —Austin Dimmer, experto en DevSecOps

Un cuarto tipo nuevo de extorsión de ransomware, la llamada "extorsión externa", surgió en 2020 en un ataque único en su tipo contra una empresa privada que administra 25 clínicas de salud mental en Finlandia. Los atacantes no solo exigieron dinero para que la empresa pudiera recuperar el acceso a sus sistemas y evitar que se publicaran sus datos internos, los delincuentes también extorsionaron a decenas de miles de pacientes individuales, amenazando con publicar sus notas confidenciales del terapeuta y los registros de tratamiento si no lo hacían. pagan una media de 200 euros cada uno.

“Estos son ataques cibernéticos realmente agresivos y los tipos que han estado llevando a cabo estos ataques ahora tienen más poder que los estados-nación”, dice Austin Dimmer a Toptal Insights. Un experto en DevSecOps (desarrollo, seguridad y operaciones) que ha construido y administrado redes seguras para la Comisión Europea, Lego y Publicis Worldwide, Dimmer ha visto su parte del trabajo de los ciberdelincuentes. “Simplemente son despiadados y no muestran piedad”.

Una red compleja hace que los atacantes sean difíciles de atrapar

La naturaleza descentralizada y compleja del mercado de ransomware hace que detener a los atacantes sea increíblemente difícil. La red de personas que perpetran un solo ataque va mucho más allá de un desarrollador de software malicioso que crea el malware. Los desarrolladores rara vez llevan a cabo ataques ellos mismos. Más bien, descargan sus productos en la web oscura para comprarlos o alquilarlos. En ese momento, los distribuidores contratan con los desarrolladores el derecho a implementar el software y realizar ataques.

Luego, una vez que se paga un rescate, interviene una red de lavadores de dinero en criptomonedas, limpiando los fondos y distribuyendo las ganancias a los desarrolladores, distribuidores y otros actores.

Incluso cuando se encuentran y detienen a los atacantes de ransomware, la restitución monetaria para las víctimas es generalmente mínima. En el caso de Colonial Pipeline, por ejemplo, el FBI solo pudo rastrear transacciones de criptomonedas para recuperar aproximadamente la mitad de los $ 4.4 millones en rescate pagado.

Predicción y prevención de futuros ataques

Con pocas esperanzas de rastrear a los delincuentes y los fondos de rescate después de que se complete un ataque de ransomware, Subrahmanian se centra en la predicción y la prevención. Él y su equipo en Northwestern actualmente están desarrollando un sistema predictivo que puede anticipar el tipo y el momento de futuros ataques de ransomware antes de que los datos se vean comprometidos.

Su software utiliza inteligencia artificial para rastrear las comunicaciones y las tendencias en la web oscura y las redes sociales para identificar el nuevo malware que se está desarrollando y notar cuándo se promociona a los posibles distribuidores.

Subrahmanian tiene como objetivo determinar no solo cuándo, sino también cómo los piratas informáticos intentarán infiltrarse en los sistemas. Sus hallazgos iniciales mostraron que de las miles de posibles vulnerabilidades que se identifican en las listas de verificación de seguridad y por los consultores, los piratas informáticos solo apuntan al 9,3% de las debilidades. Esto significa que las organizaciones pueden estar desperdiciando el 90 % de sus esfuerzos de seguridad de TI en las protecciones incorrectas.

Si bien es casi imposible anticipar las acciones de grupos de hackers anónimos e individuos que se encuentran dispersos por todo el mundo, monitorear las comunicaciones agregadas marcadas para detectar conexiones con el ciberdelito puede ser indicativo de áreas de amenaza crecientes. Al igual que observar el flujo de los mercados financieros para predecir tendencias, Subrahmanian espera que observar el amplio mercado de la actividad del ransomware ayude a los investigadores a reconocer el malware emergente y sus objetivos potenciales para que las organizaciones puedan tomar medidas proactivas.

Formas innovadoras en que el sector privado puede ayudar a combatir el delito cibernético

Sin el tipo de pronóstico confiable que el equipo de Subrahmanian está tratando de crear, las líneas del frente siguen siendo un lugar desgarrador para que las organizaciones operen. Pero estas cuatro estrategias pueden ayudar a los líderes de la empresa a contraatacar ahora mismo:

Reduzca las ganancias de los atacantes de ransomware

Si los ataques de ransomware continúan dando grandes ganancias a los ciberdelincuentes, Dimmer cree que la mayoría de los esfuerzos gubernamentales y policiales están condenados al fracaso. Simplemente hay demasiadas oportunidades de obtener ganancias, razona, especialmente considerando que otras oportunidades económicas de este tipo pueden no existir en algunos de los países donde se encuentran los piratas informáticos.

Para debilitar este motor económico, las empresas deberían considerar la adopción de reglas internas contra el pago de rescates y apoyar una legislación que haría ilegal el pago de rescates, dicen Subrahmanian e Ismael Peinado, director de tecnología de Toptal. “Solo piense en por qué estamos teniendo estos ataques. Porque los atacantes obtienen el dinero. ¿Y por qué está empeorando? Porque siguen recibiendo el dinero”, dice Peinado. “¿Por qué no pagamos rescate a las personas que van a los bancos y toman rehenes? Por la misma razón."

Puede sonar controvertido penalizar las acciones realizadas por las víctimas del ransomware, pero Subrahmanian señala que las empresas que pagan a los ciberdelincuentes para rescatar sus datos ya pueden estar infringiendo el derecho internacional si los atacantes son de países con sanciones internacionales en su contra o están afiliados a organizaciones que patrocinan el terrorismo. Un informe sobre pagos de criptomonedas a piratas informáticos que rastrearon los países de destino de los pagos de criptomonedas para ransomware mostró que al menos el 15% de los pagos terminaron en manos de entidades prohibidas, en violación de las leyes internacionales.

Además, pagar no garantiza que los hackers cumplan con su parte del trato. Según una encuesta reciente a más de 5000 líderes de TI de todo el mundo realizada por la empresa de seguridad cibernética Sophos, las organizaciones que pagaron recuperaron un promedio de solo el 65 % de sus datos. Solo el 8% de las víctimas pudieron recuperar todos sus archivos.

Concéntrese en SecOps en lugar de listas de verificación y auditorías externas

Los líderes tecnológicos que tratan de proteger a sus empresas a menudo emplean listas de verificación de mejores prácticas de seguridad, invierten en el último software de seguridad y contratan costosos auditores de seguridad para probar las vulnerabilidades de la red. Desafortunadamente, Peinado, un líder mundial en seguridad cibernética con 20 años de experiencia trabajando con organizaciones gubernamentales, nuevas empresas y grandes empresas de alto crecimiento, dice que ese es el enfoque equivocado.

Perseguir listas de verificación y certificaciones y centrarse en el simple cumplimiento normativo puede devorar los recursos de TI de una institución y crear una falsa sensación de seguridad entre los líderes corporativos. Con los puntos de entrada adicionales a los sistemas y la dependencia de la computación en la nube, obtener acceso a las redes ya no es tan difícil como lo era antes, dice. Sin embargo, las empresas de seguridad aún dedican incontables horas a buscar vulnerabilidades en las redes que tal vez nunca sean el objetivo de los piratas informáticos. “Al final del día, pierden el enfoque de lo que hacen los piratas informáticos reales, que es que si aseguras una forma de entrar a tu casa, simplemente encuentran otra forma de entrar”, dice.

En cambio, Peinado recomienda que los líderes tecnológicos integren la seguridad directamente en las operaciones de ingeniería y eliminen el ciclo constante de pruebas y parches. Estos tipos de operaciones de seguridad, denominadas DevSecOps o SecOps, integran la seguridad directamente en las operaciones de desarrollo de software de una empresa y fomentan un entorno de respuestas ágiles a las nuevas amenazas, afirma.

Por ejemplo, cuando se crea y lanza públicamente una nueva función o característica del sitio web de una empresa, surge un nuevo conjunto de vulnerabilidades para los piratas informáticos. En un ciclo de trabajo tradicional, los desarrolladores crearían las funciones del nuevo sitio web en un silo y luego las enviarían para que las probaran expertos en seguridad internos (ya veces externos). Luego, la seguridad se parchearía y se colocaría sobre las vulnerabilidades encontradas después del hecho.

En un entorno SecOps, los ingenieros y desarrolladores que construyen el sitio o la funcionalidad se sientan junto a un ingeniero de seguridad para garantizar que se integre el nivel adecuado de seguridad a medida que se desarrolla el producto. Este enfoque integrado hace que los desarrolladores de SecOps sean más conscientes y responsables de una manera que simplemente no es posible en los procedimientos más tradicionales, dice Peinado.

Aproveche el talento contingente en ciberseguridad

Dimmer, que trabaja con clientes como parte de la red de talentos de desarrolladores de Toptal, dice que recibe reacciones encontradas cuando trata de introducir el punto de vista de SecOps en los procesos de los clientes, a menudo debido a las brechas de habilidades en los equipos internos de TI: los sistemas se vuelven más difíciles de usar como los haces más seguros. El éxito significa no solo contar con los sistemas correctos, sino también contar con el personal capacitado para usarlos, dice.

Dotar de personal a roles tecnológicos de alto valor, como ingenieros de seguridad, sigue siendo un punto crítico para las empresas. Casi 1 de cada 10 organizaciones encuestadas para un informe sobre el estado de las operaciones de seguridad realizado por TechBeacon dijo que la falta de talento calificado era el principal desafío de seguridad cibernética en 2021, y casi el 30 % dijo que estaba entre sus tres principales obstáculos.

Se puede contratar talento tecnológico de primer nivel a través de redes contingentes, como Toptal, para ayudar a llenar esos vacíos. Los desarrolladores en las trincheras y los líderes tecnológicos como Dimmer han tenido una gran demanda durante décadas, pero ahora lo son aún más debido a la escasez masiva de trabajadores de seguridad cibernética. La Asociación de Seguridad de Sistemas de Información estimó una brecha de 4 millones de profesionales en la industria en 2019, y su encuesta de líderes de TI en 2021 encontró que la brecha se ha ampliado desde entonces.

Algunos líderes corporativos pueden dudar en utilizar talento externo para los proyectos de seguridad más sensibles, como incluir trabajadores independientes en las trincheras de SecOps. Pero externalizar una parte de las operaciones de seguridad a talentos externos ya es, de hecho, la norma: más de la mitad de las organizaciones encuestadas por TechBeacon informaron que utilizan una combinación de recursos internos y externos para abordar sus funciones de ciberseguridad.

El futuro de la lucha contra el ciberdelito

Hasta ahora, el software de inteligencia artificial de alerta temprana de Subrahmanian ha demostrado ser un 70 % efectivo para predecir ataques de ransomware en modelos experimentales, dice. Si las pruebas siguen siendo satisfactorias, espera publicar pronósticos de ataques en el mundo real a partir de mediados de 2022.

Su investigación también se centra en la brecha entre el momento en que se identifican las vulnerabilidades en el software y el momento en que los parches de software y las actualizaciones de seguridad están ampliamente disponibles para el público. Los hallazgos iniciales de esta investigación revelan que casi la mitad de los ataques de malware tienen lugar durante este período, que, en promedio, dura alrededor de 132 días. Este período prolongado de vulnerabilidad hace que su búsqueda de un modelo predictivo efectivo sea aún más crítica para detener a los piratas informáticos ante la aparición de nuevas amenazas.

Mientras tanto, Big Tech está intensificando. Google se comprometió a gastar $10 mil millones durante los próximos cinco años para ayudar a proteger la cadena de suministro de software y expandir el uso de sistemas de confianza cero, marcos de seguridad que requieren que todos los usuarios internos y externos se autentiquen continuamente. Microsoft ofrece 150 millones de dólares en servicios técnicos para ayudar a los gobiernos locales de EE. UU. a mejorar sus defensas. Y Amazon se comprometió a comenzar a ofrecer al público la misma capacitación de concientización sobre seguridad que brinda a sus empleados y hacer que la autenticación en dos pasos sea gratuita para todos los clientes de Amazon Web Services (AWS).

La lucha contra el ransomware como una amenaza en constante evolución requerirá una aldea global, dice Subrahmanian, y las empresas, grandes y pequeñas, deben ser parte de ella.

Relacionado: Explore el directorio de habilidades de desarrollador de Toptal para el talento de SecOps