El rescate promedio exigido por los piratas informáticos ha aumentado en los últimos diez años de unos pocos cientos de dólares a varios cientos de miles y, en algunos casos, incluso a millones de dólares. Los riesgos asociados con los ataques de ransomware están aumentando debido a los requisitos regulatorios cada vez más estrictos y a que numerosos CISO son demandados por no informar una infracción. Según los expertos, las empresas pueden mantenerse al margen de estos apuros desarrollando estrategias de respuesta a incidentes, mejorando su política de ciberseguridad y realizando inversiones sustanciales en infraestructura y copias de seguridad de datos.
Los equipos ejecutivos y técnicos de una empresa que recientemente había sido objetivo de un ataque de ransomware hablaron con Shelley Ma, líder de respuesta a incidentes de Coalition, en 2018. La empresa quedó inoperable y el rescate exigido fue de 200 000 dólares. «Estoy perdiendo un millón de dólares al día», declaró el director general. No necesito 200.000 dólares, así que, por favor, devuélvelos», dice mamá.
Cuando empezó a lidiar con ransomware en 2015, la mayoría de las empresas estaban dispuestas a realizar pagos y los rescates normalmente eran de solo unos pocos cientos de dólares. Han crecido con el tiempo y ahora son enormes. Casi nunca nos encontramos con rescates inferiores a 300.000 dólares. La mayoría son de seis cifras, siendo lo más común siete u ocho cifras, afirma.
▶ OpenAI podría enfrentarse a la competencia del nuevo servicio de IA de Microsoft y Databricks
En un informe publicado en julio por Coverware, se descubrió que a medida que los atacantes comenzaron a centrarse en empresas más pequeñas, el tamaño medio de pago del ransomware aumentó a más de $ 740 000, un aumento del 126 por ciento con respecto al primer trimestre de 2023. pagos de extorsión que siguen aumentando. Y según los datos más recientes de la NCC, los ataques de ransomware aumentaron un 221 por ciento respecto al mismo período del año pasado hasta alcanzar niveles récord en junio de 2023.
La buena noticia es esa. Según Coverware, como resultado de que las empresas desarrollen planes de respuesta a incidentes, mejoren su postura de ciberseguridad e inviertan en copias de seguridad confiables tanto de datos como de infraestructura, el porcentaje de ataques de ransomware en los que la víctima pagó se ha reducido a un mínimo histórico de 34. %.
Por qué las empresas pagan rescate.
Hay dos explicaciones principales de por qué las empresas pagan dinero a los ciberdelincuentes: en primer lugar, no pueden o no podrán recuperarse del ransomware por sí mismas, o les llevaría demasiado tiempo. Según Heath Renfrow, cofundador de la empresa de recuperación Fenix24, «un caso que tuvimos fue el de un fabricante de dispositivos médicos que nos dijo que estaban a días de tener que emitir más de 2.000 avisos de despido si algo no cambiaba drásticamente». catástrofes digitales.
Explica que después de pagar el rescate, pudieron recuperar suficientes datos y sistemas para permitir al director ejecutivo detener los despidos. Afirma que si no se hubiera pagado el rescate, «la mayoría de las empresas con las que hemos trabajado (más de 200 en los últimos 15 meses) habrían tenido que cerrar sus puertas». Aunque no apoyamos necesariamente el pago de rescates, reconocemos que es una decisión difícil que pone en peligro los medios de vida, y en ocasiones incluso las vidas de muchas personas, así como infraestructuras vitales. «.
Las empresas pagan la segunda parte porque los delincuentes amenazan con filtrar información sensible. En ocasiones, los datos pueden ser tan confidenciales que vale la pena reducir el riesgo de que se hagan públicos, en cualquier cantidad, según Steve Stone, director de Zero Labs en Rubrik, que ha trabajado con numerosos clientes que han sido víctimas de ransomware. ataques. Dot «Varias organizaciones han pagado rescates exorbitantes para tratar de proteger los datos, incluso si eso significa que todavía existe la posibilidad de que se filtren», afirma.
Naturalmente, es imposible creer a los malos cuando dicen que harán algo. Incluso si los datos no se vierten en la web oscura, es posible que se vendan a través de canales no denunciados. Incluso si los atacantes publican los datos que han robado, todavía cuenta como una violación y las víctimas aún necesitan ser informadas. Si los datos son lo suficientemente importantes, una empresa podría sentirse presionada a tomar todas las precauciones razonables para evitar que se filtren. Cuando se consideran todos los costos de recuperación, algunas empresas podrían decidir que sería más rentable pagar el rescate.
Pero es posible que no sea cierto. El costo promedio de un ataque de ransomware en todo el mundo en 2023 para las empresas que optaron por no pagar el rescate fue de 5,17 millones de dólares, según un informe de IBM publicado a finales de julio de 2023. Las empresas que pagaron el rescate redujeron sus costos generales solo una pequeña cantidad, para 5,06 millones de dólares, un ahorro de sólo 110.000 dólares que normalmente se compensa con creces con el coste del salvamento en sí. A continuación se presentan tres tácticas que los CISO pueden utilizar para reducir el riesgo y los efectos de un ataque de ransomware:
- Elaborar manuales de respuesta a incidentes
Independientemente de si anticipa o no ser un objetivo, elaborar un plan es el primer paso para prevenir ataques de ransomware (asumiendo que es más una cuestión de cuándo que de si). En 2022, el 73% de las empresas habrá experimentado al menos un ataque de ransomware, según un informe reciente de Vanson Bourne para Barracuda.
Con frecuencia, las empresas entran en pánico sin una estrategia de respuesta a incidentes porque no saben a quién llamar o qué hacer, lo que puede hacer que pagar el rescate parezca la solución más sencilla. Sin embargo, tener un plan implementado significa que todos saben qué hacer e, idealmente, ya lo han puesto en práctica, lo que garantiza que las medidas de recuperación ante desastres sean efectivas según lo previsto.
Las funciones y responsabilidades deben definirse claramente en un plan de respuesta a incidentes, al igual que los canales de comunicación y los planes de recuperación. Según el Informe de Palo Alto sobre ransomware y extorsión de 2023, las víctimas de estos ataques deben estar preparadas para tres tipos diferentes de vulnerabilidades: cifrado de datos y sistemas, robo de datos y (más recientemente) acoso.
A finales de 2022, el 70 por ciento de los ataques de ransomware implicaron robo de datos, frente al 40 por ciento en 2021, mientras que los incidentes de acoso aumentaron del 1 por ciento al 20 por ciento. Por lo tanto, los planes de respuesta a incidentes debería cubrir no sólo cómo descifrar datos después de que hayan sido cifrados por ransomware y cómo lidiar con las amenazas de datos filtrados, sino también qué hacer si los clientes o empleados están siendo acosados.
Los atacantes podrían, por ejemplo, llamar a los ejecutivos y al personal de la empresa y dejar mensajes de voz, enviar correos electrónicos o publicar las identidades de las víctimas en las redes sociales o sitios de filtración. El propósito de estas estrategias es ejercer más presión sobre quienes toman decisiones. Las empresas que cuentan con planes de respuesta a incidentes y los han perfeccionado de antemano generalmente pueden recuperarse de los ataques de ransomware más rápidamente. Afortunadamente, la industria ha mejorado en general, según Ma. «La respuesta a incidentes ha experimentado un crecimiento general significativo».
Probar la estrategia es esencial porque los procedimientos que parecen funcionar en el papel con frecuencia no son suficientes en la vida real. Ma, por ejemplo, se ha encontrado con casos en los que las empresas tenían copias de seguridad, pero eran ineficaces, no estaban disponibles o no estaban configuradas de una manera que permitiera una rápida recuperación ante desastres. Las empresas que se encuentren en esta situación podrían entrar en pánico y decidir pagar el rescate después de todo.
Sin embargo, cuando se trata de recuperar sistemas sofisticados que han sido desconectados por ransomware, las herramientas de descifrado con frecuencia se quedan cortas. Ma afirma que es difícil restaurar configuraciones complejas a su estado de funcionamiento anterior al incidente, incluso si puede descifrar todos sus conjuntos de datos.
- Implementar múltiples capas de ciberseguridad
La forma más rápida de reducir los riesgos de ransomware para la mayoría de las empresas es concentrarse en la higiene de seguridad fundamental. Frank Dickson, vicepresidente del Grupo de Investigación de Confianza y Seguridad de IDC, afirma que hacer que nuestras redes sean impenetrables no es el objetivo del sector de la ciberseguridad. «Las defensas están mejorando hasta el punto de que ya no es rentable atravesarlas».
Según una encuesta de IDC de junio, las empresas que no experimentaron violaciones de ransomware tendieron a utilizar todas o algunas de las cinco tecnologías de seguridad clave, como detección y respuesta de endpoints (EDR), puertas de enlace de seguridad en la nube o agentes de seguridad. El análisis de identidad o análisis del comportamiento de usuarios y entidades (UEBA), la seguridad de acceso a la nube (CASB), los sistemas de gestión de eventos e información de seguridad (SIEM) y la detección y respuesta de red (NDR) son ejemplos de estas tecnologías.
La seguridad debe protegerse mediante múltiples capas de defensa, autenticación multifactor y cifrado de datos, pero muchas empresas siguen haciendo estas cosas de forma incorrecta. Recientemente, Stone colaboró con un distrito escolar que había realizado importantes inversiones en ciberseguridad. Pudieron cambiar las operaciones a copias de seguridad fuera de línea cuando fueron atacados por ransomware. Después de eso, los agresores plantearon sus demandas, amenazando con publicar en línea los datos de la empresa si no pagaba el rescate. Según Stone, «la organización estaba bien preparada para un evento de cifrado, pero no para el segundo rescate». Hubo real información sensible que habría causado una serie de acciones de cumplimiento regulatorio. «.
La empresa no quería que la información se viera comprometida, pero tampoco creía que los atacantes cumplieran su palabra. Según Stone, «esta organización tampoco decidió pagar el segundo rescate». En su lugar, la organización informó a las víctimas de la violación mientras los atacantes esperaban una respuesta. «Ya habían finalizado las acciones de notificación cuando los datos comenzaron a circular por Internet».
El ataque expuso dos agujeros en el plan de defensa de la organización. En primer lugar, en su manual de respuesta a incidentes no se consideró una segunda extorsión. En segundo lugar, no cifraron su información privada. Una vez más revisaron su plan, comenzando con su manual de respuesta. También decidieron cifrar datos confidenciales después de preguntarse, según Stone, «¿Cómo podemos mejorar? ¿Cómo reducimos el riesgo? ¿Cómo podemos hacer las cosas de manera diferente la próxima vez?».
Las medidas de seguridad son efectivas y las empresas se han vuelto más expertas en implementarlas con el tiempo. Según Stone, Rubrik realiza evaluaciones de seguridad de las empresas y «esa puntuación aumentó un 16 por ciento el año pasado, con mejoras en todas las regiones y todas las industrias». Se puede reducir el número y la gravedad de los ataques y, con las medidas adecuadas, las empresas pueden reanudar rápidamente sus operaciones después de un ataque. Adam Strange, analista de Omdia, afirma que «el coste lo es todo». «Las organizaciones simplemente han carecido de los presupuestos necesarios para posicionarse en una posición segura».
Los datos se han considerado durante mucho tiempo como uno de los activos más valiosos de una organización. Pero en los últimos años, la forma en que lo hemos protegido (o no) ha sido verdaderamente abominable, afirma. «Una organización debe considerar cómo proteger sus datos mucho más si corre el riesgo de perderlo todo como resultado de perder el acceso a ellos. Sólo recientemente la seguridad de los datos ha comenzado a ser reconocida por la ley como una disciplina separada con la introducción del RGPD y la CCPA. .propio, aumentar.
- Compre copias de seguridad confiables
Los dos objetivos principales de los atacantes de ransomware que se apoderan de una organización son acceder a datos valiosos y destruir copias de seguridad. Según Ma, la situación ideal sería que hubiera copias de seguridad confiables completamente aisladas de la red principal y almacenadas en la nube. «Y las copias de seguridad en cinta, que están completamente aisladas unas de otras y son inaccesibles a través de Internet, pero que normalmente se ejecutan con menos frecuencia.
Los atacantes no deberían poder acceder a las copias de seguridad si pueden acceder a las credenciales del dominio. Las copias de seguridad son mucho más seguras, según Ma, si se requiere un segundo conjunto de autenticación.
Otra táctica son las copias de seguridad inmutables, que no se pueden modificar ni borrar. Está vigente en algunas grandes corporaciones. Sin embargo, las copias de seguridad inmutables rara vez aparecen en las reuniones de la junta directiva de las pequeñas y medianas empresas. Continúan utilizando tecnología de respaldo de 2016, que es inadecuada en el entorno actual, afirmó. dice.
En un análisis reciente realizado por Rubrik, que incluyó entornos de clientes y no clientes, el 99 por ciento de las empresas tenían copias de seguridad de sus datos cuando fueron atacadas por ransomware. Sin embargo, el uso de esas copias de seguridad para restaurar datos perdidos también estuvo plagado de problemas importantes para el 93% de las empresas. Según Stone, o no había suficiente almacenamiento de datos disponible, no había suficiente conocimiento o se cubría un área inapropiada de su entorno. Además, señala que en el 73% de los incidentes, los atacantes lograron acceder a las copias de seguridad.
Los atacantes podrían eliminar copias de seguridad o utilizar credenciales robadas para iniciar sesión en los paneles de administración si las copias de seguridad no están protegidas adecuadamente. Podría parecer que pagar el rescate es la única opción si los atacantes pierden o destruyen las copias de seguridad. Sin embargo, el informe de Rubrik afirma que sólo el 16% de las empresas recuperaron completamente sus datos después de pagar la demanda por ransomware.
- Entrevista a Darío Ferreira, Líder de Ventas para la región Sur de Thermo King
- Pruebas de Penetración y Análisis de Vulnerabilidades: Fortalece la seguridad de tu empresa
- Activo Digital: Guía completa para comprender su significado, tipos y ejemplos
- Que es un DRP: El Plan de Recuperación ante Desastres (DRP)
- Ejemplos de Business Intelligence: Cómo tomar decisiones estratégicas con datos
La causa es que los grupos de ransomware no son muy hábiles en el uso de sus herramientas de descifrado y tampoco están muy motivados. Las víctimas tienen esperanza siempre que sus herramientas logren algo, cualquier cosa. Según Stone, un solo grupo rara vez realiza los ataques de ransomware actuales. Un ecosistema de ataque ha tomado su lugar. Un actor busca la apertura que le permita mimetizarse con el entorno.
El ransomware está en otra ubicación. Los datos son robados y luego vendidos por un tercero. Otro perpetrador lanza ataques adicionales utilizando las credenciales robadas. Otros actores podrían tomar el mismo camino para difundir más ransomware o criptomineros. Stone enfatiza que es común que varios actores de amenazas estén involucrados en una intrusión.
Por lo tanto, no sorprende que, en comparación con menos del 20 por ciento en 2019, el 38 por ciento de las organizaciones reportaron dos o más ataques de ransomware exitosos en 2022, según Barracuda. Según Catherine Castaldo, socia de la práctica de datos y tecnología de Reed Smith, «puede convertirse en una anualidad para los delincuentes porque pueden seguir pidiendo más dinero». «Esto ya ha sucedido antes, especialmente en lugares delicados como despachos de abogados y hospitales».
Las empresas que creen que no se verán afectadas por el ransomware (o, si lo son, que sería más barato pagar el rescate y volver al trabajo) evitan invertir en seguridad multicapa, cifrado sólido, autenticación multifactor y fuertes respaldos están viviendo en el pasado. Es posible que este enfoque haya funcionado en 2013, cuando los ataques de ransomware eran poco comunes y los rescates eran pequeños. Sin embargo, hoy en día resulta ineficaz.
