¿Está listo para enfrentar un ransomware como se debe?

Redaccion

Ransomware está evolucionando, es más que un negocio. Los criminales están innovando y utilizan técnicas de malware para crear ransomware polimórfica.

CSO

Usted recibe la llamada que ha estado temiendo. No, no es una violación, la otra llamada. A pesar de los mejores esfuerzos y buenas intenciones, ransomware ha bloqueado los servidores críticos. Y ahora los atacantes están exigiendo que se les paguen en bitcoin si desea su información de nuevo.

¿Qué haría? Por supuesto, suena simple: No negociamos, no pagamos. ¿Esa es la respuesta correcta? ¿Estamos dando a las personas un buen consejo? Apenas la semana pasada un hospital llegó a los titulares cuando pagaron. En este momento mi distrito escolar local está manejando la misma situación. De repente, la gente habla ransomware, de nuevo.

¿Cuál es el enfoque correcto? Resulta que la respuesta es un poco matizada. Rob W. Gresham (LinkedIn), consultor Sr. con el equipo de Servicios Foundstone DFIR, una parte de Intel de Seguridad, nos puso al día.

Rob también sirve en la Guardia Nacional. Aporta, como proveedor agnóstico, experiencia en el trato con técnicas avanzadas con adversarios, tácticas y procedimientos. Es por ello que dirige el programa de inteligencia de amenaza para el equipo de Servicios de Foundstone.

Rob ha mencionado que ransomware está evolucionando, es más de un negocio ahora y es por eso que nos comparte su experiencia a través de una serie de preguntas que no pueden dejar de leer.

¿Cómo es eso de que que ransomware está evolucionando?

Con más de US$445 mil millones en pérdidas a los consumidores, la ciberdelincuencia es un gran negocio. Al igual que todos los negocios, sin embargo, las implementaciones iniciales de ransomware no cumplen con las expectativas, por lo que los criminales están innovando. ¿Cómo seguir pagando por un producto si nunca entregó sus expectativas?

La innovación en los delitos informáticos es imprescindible. A medida que aprendemos las técnicas y protegemos a nuestros clientes, por ejemplo, las primeras versiones de cryptolocker no tomaron en cuenta los servicios de Windows Volume Shadow Copy. Para que los clientes puedan simplemente hacer clic en el derecho de sus datos y de reversión, los criminales se han innovado para desactivar el servicio antes de la encriptación. Ahora bien, es un proceso estándar, si el ransomware es de una acumulación estática.

Los criminales están innovando y utilizan técnicas de malware para crear ransomware polimórfica. Muy parecido a la oferta y la demanda, los delincuentes están creando soluciones SaaS y los venden en los rincones oscuros de Internet.

Siempre dijimos a la gente que no paguen. Les advertimos que era similar a la negociación con los terroristas.

b: Recomendaciones de Amazon para asegurar sus Web Services

¿Ha cambiado este consejo? ¿Deben pagar las empresas?

Todavía es extorsión y chantaje y personalmente le digo a los clientes que no paguen. Sin embargo, las autoridades lo han dicho de otra manera. Todo se reduce a motivaciones. Sin embargo, si nadie paga, los delincuentes tendrían que buscar otra cosa que hacer por dinero. Para mí, el consejo no ha cambiado. Lo que ha cambiado es la aceptación del riesgo y el coste de recuperar. Estamos eligiendo el camino más fácil y para algunos puede ser la única manera si no tienen un buen plan de continuidad del negocio (BCP).

Pero no siempre funciona de esa manera limpia. Algunos clientes son atacados y la información vital de la compañía se ve comprometida. No tienen un BCP sólido en su lugar y no hay forma de recuperar la información, honestamente no puedo decirles que no paguen.

En la mayoría de los casos, se trata de una transacción de riesgo de negocio en una ecuación de costos retorno a la inversión, compare el costo del rescate para recuperar los datos con la pérdida de tiempo (que podría incluir nuevos negocios), la pérdida de negocio real, daño a la reputación, y similares. No tanto por el elemento criminal turbio, pero debido a que los programas están diseñados por personas, y a veces el proceso descifrado no siempre funcionan tan bien como nos gustaría.

¿Cómo una auditoría puede asegurar su estrategia de seguridad?

Hay un lado positivo: el pago cambia la dinámica legal. Se inicia un rastreo de dinero que ayuda a las autoridades a procesar, con el tiempo. Hay una gran cantidad de investigadores cualificados que saben cómo seguir el dinero, ya sea virtual o físicamente.

Más criminales usan tácticas para convencer a los consumidores a pagar y pagar pronto. Obtención de ransomware en los datos críticos de negocio mediante el uso de sus recursos comprometidos externamente para implementar y difundir ransomware a los sistemas internos críticos. Este cambio en las tácticas de innovar es aterradora. Antes, era un ataque de phishing, suplantación de identidad local de atención al cliente y podría poner en peligro los datos compartidos, pero las infecciones de servidor son poco frecuentes.

Cualquiera de los casos crea problemas adicionales. Tome lo que pase, un gotero de malware se implanta en el sistema o externa exploit, se utiliza para entregar la carga útil de encriptador y exporta las claves, ambos requieren limpiar los sistemas después de que los archivos se recuperan.

De lo contrario, ¿qué les impide hacerlo de nuevo? Después de pagar el rescate, ¿Tienen más trabajo que hacer? ¿Qué implica eso?

El cliente tiene que determinar el punto de la infección inicial y el tiempo de la infección. Todavía deben llamar a los procesos de respuesta a incidentes en juego y asegurarse de que no queden chantajeados. Tradicionalmente, los extorsionadores siguen regresando hasta que el dinero ya no este.

Es necesario garantizar la integridad de su entorno empresarial. Eso significa que la determinación de la causa y la raíz sistémica causa que vuelva a suceder.

Con frecuencia, hemos llegado a un sitio de clientes para que ellos nos digan que ha sucedido varias veces. ¿Por qué nuestro software no ha solucionado el problema?

El crimen es la oportunidad y la ubicación, ambos tienen que estar en la ventaja criminal. ¿Cómo se hace eso en Internet? Sin valorar los sitios web, las conexiones web oscuros, vulnerabilidades y oportunidades de suplantación de identidad (la conciencia).

Lo que pueden hacer los líderes de seguridad para preparar mejor contra ransomware

Los clientes necesitan tener un plan de continuidad de negocio. Esto incluye copias de seguridad probados, procesos alternativos para realizar su trabajo. Esas organizaciones en zonas de alto riesgo de desastres naturales suelen hacerlo. Sin embargo, nos encontramos con que no prueban regularmente sus copias de seguridad. Los clientes necesitan mantener sus parches y firmas de antivirus al día lo que reduce sus superficies de ataque. Puede que no ayude si usted es uno de los primeros de una nueva variante, pero asegúrese que no sea el último y aprenda de los errores de los otros. Evite ser el primero a través de la supervisión, la higiene, y la conciencia.

También: 5 razones por las que debe de contratar a un jefe de privacidad

El monitoreo no requiere herramientas sofisticadas. Tome el aviso cuando los procesos “protegidos” están siendo “atacados” por otro proceso. Esto suele indicar que algún tipo de malware, Ransomware quiere apagar los servicios de antivirus, por lo que impacta esos archivos de forma rápida, por lo general dentro de la primera hora.

El monitoreo para este tipo de eventos hace la diferencia. Capturar el evento dentro de una hora, sacarlo de la red, y apagarlo. Si se hace bien, se detiene el ransomware y una futura pérdida de datos.

¿Qué tan difícil es tener una línea de tiempo de eventos de software malicioso?

Para mejorar la higiene y la conciencia, comuníquese más. Comparta las historias. Participe en la conversación. Que la gente sepa lo que está haciendo para protegerse a usted y a su organización. Muestre las cosas sencillas que también puedan hacer. Y asegúrese de que sepan que su puerta está abierta para que vengan a usted con preguntas.

El proceso de respuesta a incidentes hace la diferencia en las organizaciones. Los que se eligen para monitorear y ACT son los que no tienen que pagar los criminales. Todos los demás tienen que elegir entre el costo y el riesgo de pagar o perder su información.

Este artículo está clasificado como: , , , , , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR