Ransomware o cómo quedarse sin empresa en unas horas
La capacidad de los ciberdelincuentes de comprometer la seguridad y las estructuras de todo tipo de compañías es cada vez más sofisticada y eficaz. El cibercrimen mueve hoy más de 10.000 millones de dólares al año a nivel global
En poco más de 120 minutos, el trabajo de toda una vida se podría ir al traste. Literalmente. Perder el control de la empresa, del negocio, de toda la información y los sistemas indispensables para sostener en pie la organización. Los ataques con ransomware, programas que secuestran datos y restringe el acceso a los sistemas informáticos de las empresas, se han convertido en uno de los negocios más lucrativos de esta era. Grupos como Ryuk, Clop, Conti, Ragnar o el recién desaparecido Maze están detrás de un fenómeno que, según la consultora CyberSecurity Ventures, le costó más de 10.000 millones de dólares a empresas de todo tipo de sectores y procedencia. Poca broma. Así es el ransomware, o cómo quedarse sin empresa en unas horas.
Porque esta es, seguramente, la última gran novedad relacionada con este mundo tan oscuro como implacable. La sofisticación con la que se comportan los ciberdelincuentes. Si hasta no hace mucho tiempo desplegar un ataque con ransomware podía llevarles días, a lo largo del año pasado se documentaron secuestros de empresas en dos o en cinco horas (consulte aquí estos asaltos: ransom dos horas – ransom cinco horas).
Son eficaces. Mucho. Tanto como diligentes. El tópico de que los malos no descansan también es válido para el universo digital. Quizás mucho más válido. A lo largo de los últimos años, los cibercriminales han creado estructuras cada vez más jerarquizadas y compartimentadas para obligar a las empresas a pagar. Estructuras que, en su operativa, se asimilan a las que manejan las grandes organizaciones de narcos o del crimen organizado.
Cada parte de la estructura hará su tarea. Todos con un objetivo común: la extorsión. Hay actores que presumen incluso de mantener activo un chat 24/7 para atender a sus víctimas a cualquier hora y día de la semana. Una suerte de Seven Eleven del cibercrimen. ¡Ver para creer!
¿Pero cómo funciona el ransomware? La dinámica de los ataques es casi siempre la misma. Cambian los ciberdelincuentes y el ransom que desatará el caos, pero raramente el modus operandi. Hay tres pasos que se repiten una y otra vez: el aterrizaje, la extracción y el secuestro.
Numerosas vías de entrada
El primer paso será acceder a los sistemas de la empresa. Un mail que engaña a un trabajador, un archivo de descarga malicioso, un pendrive sin protección alguna, un servidor que contiene una peligrosa puerta trasera… Son tantas las vías de entrada que cualquier empresario que lea este artículo debería tomar nota.
Una vez dentro, llegará la hora de la extracción. Minar tanta información de la empresa como sea posible para comprometer su viabilidad. En la Dark Web no es difícil encontrar páginas de ciberdelicuentes en las que presumen de sus hazañas robando datos: 50 gigas a una red de hospitales, 40 a una empresa de la automoción, 15 a una firma del metal…
El futuro de organizaciones enteras, y por extensión de cientos de familias, en manos de los malos.
Es habitual que estos ataques alcancen al controlador de dominio. La epítome de estos delitos. Desde ese servidor, los grupos de ransomware logran hacerse con toda la información de la compañía. Absolutamente toda. La pesadilla de cualquier empresario.
Con su objetivo bajo el brazo, será el turno del desenlace: liberar el ransomware. Ese código malicioso encriptará sistemas y datos de la empresa (la densidad del ataque dependerá del nivel de ciberseguridad de cada organización), de modo que la víctima perderá cualquier posibilidad de control de la parte del negocio secuestrada.
¿Se imaginan la impotencia de llegar una mañana a trabajar y encontrarse con que una parte crucial de su vida le ha sido sustraída por completo? ¿Cómo, a causa de un ataque con rasomware, es posible quedarse sin empresa en unas horas? Arrancará entonces la etapa más crítica. Una negociación que puede decidir el futuro de muchas personas.
Lo más habitual es que los secuestradores activen un contador temporal que definirá el precio del rescate: 25.000 euros si paga antes de 48 horas, 50.000 si supera ese tiempo… Las cantidades oscilarán en función del volumen de datos robados y de la dimensión de la compañía atacada.
Siempre bajo la amenaza de no devolver esa información o, lo que es peor, divulgarla a los cuatro vientos. Es lo que se conoce como doble extorsión. El coste reputacional y estratégico puede generar la ruina. ¿Se imaginan lo que implicaría que toda la información de producto, clientes, proveedores o patentes acabe en poder de competidores?
Abocadas al cierre
Es por eso que la gran mayoría de empresas pagan. Aún así, los daños pueden ser irreversibles. Sostiene el Instituto Nacional de Ciberseguridad (INCIBE) que un 67 % de las empresas ciberatacadas echan el cierre al cabo de seis meses.
Así es. Un episodio de ransomware tiene un potencial devastador. Y, lejos de atenuarse, las amenazas no paran de crecer. En el último trimestre del 2020, el promedio diario de ataques se triplicó en relación al año anterior. Se calcula que códigos maliciosos como Ryuk atacan a unas 20 organizaciones por semana.
¿Casualidad? En absoluto. Las necesidades de digitalización que ya de por sí tenían las empresas se han acelerado a causa de la pandemia. Un caldo de cultivo perfecto para los cibercriminales. Más víctimas y más vulnerabilidades. Si a ello se incorpora el vector de la sofisticación, la capacidad de los malos de desplegar ransomware en solo unas horas, la ecuación queda completa.
No hay cifras detalladas del impacto económico de estos troyanos, en parte porque la mayoría de los ataques no trascienden, pero las aproximaciones que se han realizado hasta la fecha dan muestra de una jugosa industria de la ciberextorsión. Y sí, es muy probable que la cifra de 10.0000 millones de dólares anuales que le dábamos en el inicio de este artículo sea ahora mismo historia.
Lo que sí se sabe por los casos que han salido a la luz pública es que el coste medio del rescate por un ataque con ransomware se elevó por encima de los 111.000 dólares en el primer trimestre del año pasado, un 33% más que el mismo período del 2019. Las criptodivisas suele ser el método de pago más habitual en un mundo que se mueve entre tinieblas. Un viaje al infierno al que se puede enfrentar cualquier empresa llegado el momento.
Llegados a este punto, lo propio es tratar de arrojar algo de luz sobre cómo evitar este camino de espinas. ¿Hay mecanismos? Sin duda. ¿Son eficaces? Desde luego. Pero es hora de dar el paso. Y las estadísticas no son especialmente halagüeñas para las empresas: advierte un reporte de Google que un 20% de las pymes españolas tienen a un familiar o a un amigo al frente del departamento de Sistemas.
La mayoría carecen de conocimientos avanzados, propios de una empresa de ciberseguridad. Gran error. Colocar a alguien sin formación específica al frente de este servicio es como poner a un médico de familia a operar un angioblastoma.
La fatalidad estará, casi seguro, esperándole a la vuelta de la esquina.
La ciberseguridad es cada día que pasa un área más compleja que requiere de profesionales específicos. Son ellos quienes saben cómo afrontar las amenazas del ransomware. Y es que no hay una receta mágica para contener a un enemigo que no descansa, pero sí una hoja de ruta con dos mandamientos: prevenir y prepararse para lo peor.
A la caza del actor hostil
El primero se sintetiza rápido. Contratar equipos de Red Team que descubran vulnerabilidades en los sistemas de la organización, concienciar y formar a los empleados sobre las amenazas que pueden esconderse en cualquier correo en apariencia inocente o contar con servicios de ThreatHunting para determinar si hay algún actor hostil dentro de la propia empresa pueden ayudar, y mucho, en el camino de la prevención.
Por descontado, si no puede contratar estos servicios o si es una pequeña empresa o un particular, ni se les ocurra montar su estrategia de back up en DropBox o en un USB. Si lo hace, no se eche las manos a la cabeza después. Habrá jugado con fuego.
El segundo paso es aún más fácil de entender: cualquier día, sí, cualquiera, le puede tocar a su empresa. Son tantas las amenazas en la Red y tan difícil contenerlas todas, que hay que estar preparados. ¿Cómo? Definiendo políticas de contención y compartimentando las redes y los sistemas, evitando que los malos puedan moverse a través de su red de servidores como Pedro por su casa.
Será así como pueda minimizar el daño si algún día le toca visitar el averno.
Si no le ha quedado claro lo que está en juego, háganos caso. Vuelva a leer el título de esta entrada: Ransomware, o cómo quedarse sin empresa en unas horas. No es una hipérbole. En absoluto. Es la pura y dura realidad.
Descubre nuestro trabajo y nuestros servicios de ciberseguridad en www.tarlogic.com/es/
En TarlogicTeo y en TarlogicMadrid.