Cabecera blog ciberseguridad

¿Por qué necesita simulaciones de ransomware tu empresa?

- Ciber 4 All Team

Los profesionales de Red Team de Tarlogic realizan simulaciones de ransomware

Los servicios de Red Team pueden llevar a cabo simulaciones de ransomware para comprobar si una organización está preparada para resistir un ataque de este tipo

Explotación de una vulnerabilidad zero-day, ataque de cadena de suministro y uso de ransomware. Estos tres peligrosos elementos se concatenaron en un ataque lanzado por un grupo de ciberdelincuentes ruso contra GoAnywhere, un software de transferencia segura de archivos, que la compañía Fortra suministra a miles de organizaciones. ¿Cuál fue el resultado? Más de 100 compañías e instituciones sufrieron robo de datos. Entidades del sector financiero, organizaciones del área de la salud, fondos de pensiones, plataformas educativas y hasta la ciudad de Toronto fueron algunas de las víctimas de esta tormenta perfecta.

Estos incidentes de seguridad nos alertan de los riesgos vinculados a la explotación de vulnerabilidades desconocidas, las amenazas que se ciernen sobre la cadena de suministro IT y los peligros de los ataques ransomware, cada vez más frecuentes y sofisticados. Tal es así que las empresas y administraciones públicas con un nivel de madurez en ciberseguridad y una ciberexposición mayor deben contemplar la opción de recurrir a simulaciones de ransomware para optimizar su resiliencia frente a los ataques y mejorar su capacidad de detección, respuesta y recuperación.

Algunas compañías comercializan simuladores para automatizar simulaciones de ransomware. Sin embargo, estas soluciones tienen un alcance muy limitado y una efectividad reducida para fortalecer las capas defensivas y mejorar la resistencia de una organización frente a los incidentes de ransomware.

Por la contra, los servicios de Red Team pueden ser una opción de gran valor añadido para realizar simulaciones de ransomware que permitan analizar el comportamiento de las capas defensivas y prepararlas para identificar y contener ataques reales y salvaguardar la operatividad de la compañía.

A continuación, vamos a explorar algunas de las claves de las simulaciones de ransomware y por qué estos escenarios de Red Team pueden marcar la diferencia en la lucha contra los ciberdelincuentes.

1. Ataques ransomware, un panorama muy peligroso

Conti, Lockbit, Hive, Revil, Blackcat… Estos ransomware han protagonizado numerosos incidentes de seguridad en el último año, provocando la pérdida de ingentes cantidades de datos y graves repercusiones económicas para las empresas. Pero, ¿qué es el ransomware exactamente?

Los delincuentes infectan un sistema corporativo con un tipo de malware que obtiene y secuestra datos confidenciales de la organización (información estratégica, datos personales de clientes o ciudadanos, datos económicos…). Los datos se encriptan, de tal forma que, si las compañías o instituciones desean recuperar el acceso a su información, deben pagar un rescate (ransom). Aunque la experiencia demuestra que realizar el pago del rescate no garantiza la devolución de los datos y contribuye a fortalecer a los grupos criminales.

Habida cuenta de su relevancia actual, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) publicó en julio de 2022 un informe sobre el panorama de ataques ransomware y su impacto en las compañías a nivel global, prestando especial atención a la UE.

Los investigadores de la ENISA estudiaron una muestra de 623 incidentes de ransomware. Es decir, ataques exitosos en los que los actores maliciosos lograron cumplir sus objetivos y robar información de las organizaciones. El estudio señala que España fue el quinto país del mundo en 2022 en el que se produjeron más incidentes de ransomware, situándose solo por detrás de Estados Unidos, Alemania, Francia e Italia.

El informe también hace hincapié en los sectores más afectados por este tipo de incidentes y a los que les podría ser de gran valor añadido poner en marcha simulaciones de ransomware: la industria pesada, los servicios de información, las administraciones públicas y los sectores de la salud y la alimentación.

Los ataques de ransomware son una de las mayores amenazas para las empresas

2. ¿En qué consisten las simulaciones de ransomware?

El concepto de simulaciones de ransomware no deja mucho lugar a la imaginación. Se tratan de escenarios de Red Team en los que los profesionales que prestan este servicio de seguridad ofensiva simulan comportarse de forma realista como actores maliciosos para infiltrarse en los sistemas de una organización e infectarlos con ransomware.

A la hora de ponerse a trabajar, el Red Team debe, en primer lugar, diseñar un escenario, de acuerdo a los objetivos de la compañía que contrata el servicio de Red Team. Este escenario contempla tres grandes elementos:

  • Actor malicioso. Es decir, como qué tipo de atacante deben comportarse: colaborador comprometido, empleado descontento, atacante remoto, competencia…
  • Vector de intrusión. La forma en la que el Red Team va a entrar en los sistemas corporativos para cumplir sus objetivos: explotación de una vulnerabilidad, Ingeniería Social, información filtrada…
  • Objetivos. ¿Qué debe conseguir el Red Team? Comprometer activos críticos, obtener información sensible, sabotear software y hardware empresarial o desplegar ransomware.

Las diferentes opciones de cada uno de los parámetros se pueden combinar para diseñar múltiples escenarios de Red Team que contribuyan a securizar a la compañía frente a las amenazas.

Uno de los escenarios de Red Team más en boga actualmente es, precisamente, la simulación de ransomware. Puesto que este servicio ayuda a las compañías a mejorar sus capacidades para hacer frente a un potencial ataque real que emplee esta clase de malware para secuestrar datos de gran valor.

2.1. ¿Qué empresas deben realizar simulaciones de ransomware?

Los servicios de Red Team no están pensados para todas las compañías. Sus características y nivel de complejidad y alcance, hacen que estos servicios estén pensados para aquellas empresas que ya disponen de una estrategia de seguridad y de unas capas defensivas avanzadas y, por lo tanto, pueden hacer frente a las acciones del Red Team.

En cambio, las empresas con un nivel de madurez en materia de ciberseguridad bajo, deberían comenzar por contratar otros servicios de ciberseguridad que les ayuden a desarrollar políticas y mecanismos defensivos.

Partiendo, pues, de esta base, los escenarios de Red Team basados en simulación de ransomware son ideales para las compañías que no puedan responder afirmativamente y sin ningún atisbo de duda a tres preguntas básicas:

  • ¿Estamos preparados para resistir a un ataque de ransomware?
  • ¿Nuestras capas defensivas son capaces de identificar y contener los ataques ransomware y recuperar la actividad tras un incidente de este tipo?
  • ¿Hemos podido experimentar un ataque de ransomware y extraer lecciones de esta experiencia?

Si eres el CISO de una compañía o un cargo directivo y no puedes responder con un sí rotundo a estas tres preguntas, es muy posible que tu empresa necesite realizar simulaciones de ransomware.

3. Las simulaciones de ransomware del Red Team de Tarlogic

Los profesionales de Tarlogic, con un amplio bagaje a sus espaldas en el diseño y puesta en marcha de servicios de Red Team, recomiendan realizar simulaciones de ransomware en caso de que alguna de las respuestas a las preguntas anteriores sea negativa.

Las simulaciones de ransomware que llevan a cabo los profesionales de Tarlogic Security se articulan en torno a dos grandes fases: las actividades que conforman el escenario de Red Team como tal y un Gap-Analysis.

3.1. Escenario de Red Team

Durante la primera fase de las simulaciones de ransomware, los profesionales diseñan un escenario de Red Team cuyo objetivo sea el despliegue de ransomware en los sistemas de la compañía. Para ello, llevan a cabo todas las actividades necesarias para realizar de forma integral simulaciones de ransomware end-to-end:

  1. Inteligencia. En la primera etapa de las simulaciones de ransomware, los profesionales recopilan de forma continua información y generan inteligencia para planificar el ataque simulado.
  2. Detección de puntos débiles. En segundo lugar, el Red Team procede a analizar las debilidades del perímetro de la organización, para encontrar una vulnerabilidad que pueda explotar para abrir una brecha en el perímetro de seguridad.
  3. Explotación. Como su propio nombre indica, en esta etapa los profesionales del Red Team abusan de las debilidades encontradas en los pasos anteriores para tomar control de activos empresariales.
  4. Movimiento lateral. Una vez dentro de los sistemas de la organización, el equipo de Red Team lleva a cabo una táctica de movimiento lateral para poder propagar el ransomware por toda la red interna de la compañía.
  5. Escalado de privilegios. Otra táctica ejecutada durante las simulaciones de ransomware es el escalado de privilegios, puesto que permite a los profesionales ejercer un control total de las infraestructuras de la empresa.
  6. Persistencia. El equipo de Red Team instala backdoors para asegurar la persistencia en la red, de cara a lograr todos los objetivos planeados a la hora de diseñar el escenario.
  7. Cumplimiento de los objetivos. En el último paso de las simulaciones de ransomware, los profesionales se hacen con los datos empresariales. Si un atacante real llegara a completar este proceso, podría cifrar los datos, exfiltrarlos o poner en marcha ataques de DDoS.

3.2. Gap-Analysis

Cuando el equipo de Red Team a cargo de las simulaciones de ransomware termina el ejercicio, un advisor analiza la respuesta proporcionada por las capas defensivas de la organización. Mediante este análisis se busca evaluar la capacidad de la compañía de:

  • Detectar ataques ransomware. ¿Cómo de eficaces han sido los mecanismos de detección? ¿Cuánto tiempo han tardado en identificar el ataque simulado?
  • Contener esta clase de incidentes. ¿Las capas defensivas son capaces de contener los incidentes con rapidez y eficacia para minimizar su impacto?
  • Recuperar los activos empresariales y garantizar la continuidad de negocio. ¿La organización está preparada para recuperar los activos atacados en el menor tiempo posible y sin perder datos en el proceso?

Mediante la evaluación de la capacidad de detección, contención y recuperación, los analistas que realizan el Gap-Analysis identifican posibilidades de mejora. Esta información se recoge en un plan de mejora que se entrega a la compañía para que pueda implementar las medidas necesarias para mejorar su resiliencia y respuesta a los ataques ransomware, eludiendo o, por lo menos, minimizando sus nocivas repercusiones económicas, legales y reputaciones para el negocio.

Las simulaciones de ransomware se realizan a través de un escenario de Red Team

4. Cinco beneficios de las simulaciones de ransomware

Los ejercicios de Red Team basados en simulaciones de ransomware se sustentan en el hecho de que los profesionales que los realizan se comportan como atacantes reales. De tal forma que la simulación es extraordinariamente realista y proporciona el contexto ideal para cumplir cinco objetivos de gran valor añadido para las compañías que se enfrentan a estas amenazas.

  1. Demostración de las capacidades defensivas. Una empresa puede considerar que dispone de unas capas defensivas plenamente optimizadas, pero la mejor forma de comprobarlo es llevando a cabo una demostración. Las simulaciones de ransomware permiten demostrar si los mecanismos y controles de seguridad actúan de forma eficaz contra los ataques ransomware en un escenario simulado, pero plenamente realista. Dicho de otra forma, gracias a las simulaciones de ransomware los profesionales al cargo de la seguridad defensiva pueden entrenarse antes de que comience la competición de verdad.
  2. Identificación y confirmación de debilidades y fortalezas. Al enfrentar a las capas defensivas contra un ataque que simula ser real, se pueden identificar debilidades y aspectos que han de ser mejorados, pero también las fortalezas de la estrategia de seguridad.
  3. Análisis y optimización de las capacidades de detección, contención y recuperación. La detección, la contención y la recuperación ante los ataques ransomware son esenciales para evitar que la compañía y sus activos empresariales sufran daños.
  4. Recopilación de datos y evidencias técnicas para mejorar la toma de decisiones. La ciberseguridad es un área estratégica para las compañías en la era digital. De ahí que la toma de decisiones en esta materia deba basarse en datos y evidencias. Los escenarios de Red Team basados en simulaciones de ransomware proporcionan información de gran valor para gestionar los recursos de la compañía.
  5. Formación de los profesionales que conforman las capas defensivas para que estén preparados para gestionar ataques reales.

5. Mejorar la resiliencia frente al ransomware

La misión central de los escenarios de Red Team basados en simulaciones de ransomware es mejorar la resiliencia de las empresas en torno a una de las mayores amenazas de la actualidad.

Todas las semanas se hacen públicos ataques ransomware exitosos, que generan pérdidas económicas y reputacionales a empresas de todos los sectores económicos a lo largo del planeta. De ahí que la resiliencia de las compañías se haya convertido en una cuestión central, ante un panorama de amenazas cada vez más complejo y peligroso.

Da buena muestra de ello, la aprobación en los últimos tiempos de un marco normativo en la UE que apuesta por fortalecer las capas defensivas de las compañías europeas. Sobre todo, en sectores de vital importancia, como la salud o la energía (directiva NIS2). Y, más específicamente, en un ámbito crítico, como el sector financiero, para el que se ha aprobado una norma específica, el reglamento DORA (Digital Operational Resilience Act). La resiliencia figura en el propio título de la normativa.

Asimismo, la ENISA, en las recomendaciones del informe que desgranamos antes, también incide en la relevancia de optimizar la resiliencia de las compañías e instituciones de la UE ante los ataques ransomware.

¿Qué conclusiones podemos extraer de todo ello? Mejorar la resiliencia de las empresas ante los ataques ransomware ha de ser una decisión estratégica prioritaria para las personas que toman decisiones en el seno de las organizaciones.

5.1. Servicios profesionales para armar a las compañías

¿Cómo se puede mejorar la resiliencia? Realizando escenarios de Red Team basados en simulaciones de ransomware y complementando estas actividades con un Gap-Analysis integral de la respuesta de las capas defensivas.

Los profesionales de Tarlogic están altamente cualificados y disponen de un gran conocimiento sobre las técnicas, tácticas y procedimientos de los actores maliciosos. Además, el equipo de Red Team se forma de manera continua, para incorporar las estrategias y tecnologías más novedosas que emplean los actores hostiles.

Mejorar la resiliencia frente a los ataques ransomware puede marcar la diferencia entre un ataque fracasado o un incidente menor y un desastre que paralice la actividad de la compañía, que afecte a su modelo de negocio y se traduzca en cuantiosas pérdidas económicas.