Ransomware: en la cima del malware

 

No siempre es recomendable hacer rankings, decir, por ejemplo, que el ransomware es peor que los ataques DDoS, y es que cada tipo de ataque tiene unos objetivos distintos. Para algunas personas, seguro que lo peor es el phishing, otros pensarán que la peor amenaza es el robo de credenciales, y seguro que los responsables de tiendas online sufren escalofríos cada vez que escuchan hablar de skimmers. Repito, pues, que no son comparables y, en realidad, en muchas ocasiones van de la mano. Por ejemplo, muchas campañas orientadas al ransomware se inician mediante phishing.

Sin embargo, por notoriedad, es indudable que el ransomware está siendo uno de los principales protagonistas de este 2020 en lo referido a la ciberseguridad. No hay semana que no tengamos noticia de un ataque a una gran empresa, una institución pública, cientos (o miles) de ciudadanos anónimos… el ransomware no distingue (aunque las campañas sí que lo hagan) entre un particular y una multinacional con decenas de miles de empleados.

Hace ya años que el ransomware es un problema serio, pero este 2021 la situación se ha vuelto aún más compleja debido, sí, exactamente, al coronavirus y, como consecuencia del mismo, al despliegue improvisado (y en muchos casos no seguro) del teletrabajo en empresas que no estaban preparadas para ello. El perímetro se ha roto y ahora hay elementos de la infraestructura IT, conectados a la misma, que no cuentan con las medidas de seguridad que serían necesarias. Los ciberdelincuentes son muy conscientes de ello y, lo que para la inmensa mayoría del mundo está siendo una desgracia, para ellos es una oportunidad de oro.

Tanto es así que, incluso, es posible llevar a cabo un ataque de ransomware sin tener los conocimientos técnicos necesarios para ello. Para tal fin, han proliferado los servicios mediante los cuales es posible emplear una plataforma online en la que tan solo es necesario pagar una tasa de entrada, especificar determinados parámetros de la campaña (nada técnico) e iniciar la acción ofensiva mediante phishing. Hace unas semanas te contamos cómo funciona uno de estos servicios.

¿Cómo funciona el ransomware?

Para responder a esta pregunta es importante aclarar que no funciona igual una campaña masiva que una acción dirigida a una empresa en concreto. Y es que mientras que el objetivo de las primeras es secuestrar un único dispositivo (uno por cada envío del malware, se entiende), las campañas dirigidas a empresas son más complejas, ya que su intención es propagarse por toda la infraestructura.

En cualquiera de los casos, el ataque suele iniciarse mediante phishing, principalmente por correo electrónico, aunque también puede ser a través de web maliciosas o legítimas que se han visto comprometidas, y de un tiempo a esta parte también a través de redes y servicios de mensajería, buscando en este caso comprometer la seguridad de dispositivos móviles con Android. Esta primera carga útil puede llegar adoptando mil caras distintas: documento supuestamente legítimo, versión crackeada de software de pago, información importante de alguna empresa u organismo oficial, contenido erótico-pornográfico… todo vale.

Por norma general, un ataque de ransomware suele dividirse en varias fases, pero recientemente se han detectado muestras que son monofase, algo que no se veía desde los primeros tiempos de este tipo de malware. Así, lo más común es que el patógeno llegue al sistema, realice determinadas acciones y, al finalizarlas, cifre el contenido del sistema o bloquee el acceso al mismo de algún modo para, entonces, exigir el rescate para que su propietario recupere el acceso a sus archivos.

Ransomware: las fases

Dado que las campañas masivas suelen ser mucho menos complejas, lo más interesante es analizar los pasos que suelen darse en una campaña de ransomware dirigida, es decir, aquellas que afectan a las empresas, no a los usuarios particulares. En estos casos, y como ya mencionaba al principio, solemos hablar de ataques dirigidos y, por lo tanto, planificados. Es poco común (aunque no imposible) que esos casos que vemos protagonizar los titulares todas las semanas se hayan producido de manera casual. Y la razón también la comentaba antes, su comportamiento al llegar al primer sistema infectado varía en uno y otro esquema.

El primer objetivo es, claro, hacer que el malware llegue a un sistema de la infraestructura objetivo del ataque de ransomware. Para tal fin se puede emplear el phishing, el spearphishing y, aunque en menor medida, ataques directos a los sistemas operativos y el software de algún sistema de la infraestructura que sea accesible desde Internet. El software no actualizado y con agujeros de seguridad identificados es una puerta abierta con un cartel luminoso visible a miles de kilómetros de distancia. Y no, no exagero.

Por norma general, la primera pieza de malware que llega al sistema tiene una única función: conectarse a un servidor (o a una red distribuida) para descargar las herramientas que empleará para difundirse por toda la infraestructura. Recuerda que el objetivo de estas campañas de ransomware no es alcanzar dispositivos concretos, sino infraestructuras completas. Así, durante un tiempo, el malware no dará señales de vida, pero sigilosamente se extenderá a tantos sistemas como le resulte posible.

Una vez que el patógeno se haya extendido a toda la red, buena parte de la misma o, en algunos casos, determinados objetivos estratégicos, llegará una nueva fase que, si bien no se daba en los primeros tiempos del ransomware, se ha popularizado de un tiempo a esta parte, y que hace que los ataques sean mucho más nocivos. Me refiero, claro, a la exfiltración de los datos. Todos los activos digitales almacenados en los sistemas atacados serán subidos a un servidor del operador del ataque. Al igual que en la fase de propagación, en esta fase del ataque de ransomware el malware se esforzará por no dar señales de su presencia.

Y, se hayan exfiltrado datos o no, finalmente llegará el momento de dar el golpe. En este punto el malware procederá a cifrar todos los activos digitales de los sistemas infectados, eliminando las copias sin cifrar. Es entonces cuando empezarán a aparecer los mensajes en los que se informa del ataque y se dan los datos de contacto de su autor, para que los responsables de la infraestructura atacada puedan contactar con él para pagar el rescate, y recuperar así sus activos y el control de la infraestructura.

Exfiltración, ¿por qué?

Desgraciadamente las copias de seguridad nunca han tenido la popularidad que deberían. Y es que, ante un ataque de ransomware «de primera generación», un sistema que permitiera restaurar los sistemas afectados y recuperar los activos directamente de una copia de seguridad sería, siempre, más rápido y sustancialmente más económico que pagar el rescate. Copias de seguridad 1 – Ransomware 0.

Con la aparición del ransomware, muchos responsables de IT fueron conscientes de esta circunstancia, y los backups se volvieron parte de su día a día. Con este cambio en la filosofía, el ransomware pasaba de ser una peligrosa amenaza a una molestia «menor» (restaurar toda una infraestructura es una tarea compleja, pero automatizable y que se puede resolver relativamente rápido). Durante un tiempo fuimos felices, parecía que el ransomware dejaba de ser algo tan, tan peligroso.

Hay muchas virtudes que les podemos negar a los ciberdelincuentes, pero la inteligencia no se encuentra entre ellas. Así que en ese momento, cuando parecía que se acercaba el principio del fin para el ransomware, fueron conscientes de que, en el momento en el que tenían acceso al dato, además de cifrarlo podían exfiltrarlo, lo que les proporcionaría una formidable arma de extorsión. Y es que de este modo, aunque la empresa pueda recuperar todos sus datos y sistemas, se enfrentará a la amenaza de que estos se hagan públicos si no se paga el rescate.

Este es el proceder habitual de muchos grupos como REvil, recordado entre otras cosas por su ataque de ransomware a ADIF, o singularmente el grupo MAZE, al que recordamos por ejemplo por su ataque de ransomware al Banco de Costa Rica. Este tipo de grupos suelen publicar fragmentos de la información exfiltrada como medida de presión, puesto que amenazan con hacer pública la totalidad de la misma, abocando a las empresas a una crisis de imagen, y en muchos casos legal, terriblemente difícil de afrontar.

Y es que, de este modo, la efectividad de la copia de seguridad se mantiene íntegra en lo referido a proteger y recuperar el dato, pero nada pueden hacer para enfrentar la difusión pública del mismo. Y el problema es que, aún cediendo a la presión de los ciberdelincuentes y pagando el rescate, la opinión pública ya sabrá que se han producido el ataque de ransomware y la exfiltración, por lo que aunque esa información no llegue a aparecer nunca en el mercado negro, la crisis de imagen y los problemas legales seguirán llamando a la puerta.

Copias de seguridad

Que la exfiltración se haya convertido en una gran baza para los ciberdelincuentes, esto no significa que hayan renunciado a que sus víctimas no puedan recuperar sus datos sin pagar el rescate. Así, otro factor importante de la evolución del ransomware es que algunos patógenos, en sus esfuerzos para difundirse en la infraestructura, prestan especial atención en la identificación de las copias de seguridad para corromperlas, y que de este modo sea imposible recuperar el dato a partir de las mismas.

A ese respecto, los compañeros de MuyComputerPro han publicado un interesante texto de Miguel Pleite, Director Técnico en Pure Storage España, que supone una muestra más de los esfuerzos de la industria para identificar posibles soluciones a los problemas que plantea la evolución del malware, en este caso del ransomware. En la propuesta de Pure, se emplea un complejo e ingenioso sistema de gestión de los permisos sobre copias de seguridad instantáneas avanzadas, en combinación con un sistema de seguridad que implica a responsables tanto de la empresa cliente como de Pure.

Sea como fuere, para que las copias de seguridad sean un recurso efectivo frente a un ataque de ransomware, es imprescindible incrementar su periodicidad y, sobre todo, extremar su protección. Porque de nada sirve tener copias de seguridad, si estas terminan tan cifradas como los activos que se supone que respaldaban. Sea en la propia infraestructura o en servicios cloud, es fundamental una gestión milimétrica de los permisos, así como una supervisión constante de lo que ocurre en y con las mismas.

Pagar, ¿buena o mala idea?

Esta es, sin duda, la pregunta que más atormenta a las víctimas de un ataque de ransomware. Todas las recomendaciones al respecto indican que lo mejor es no pagar, y lo recomiendan por varias razones:

  • Pagar no garantiza la recuperación de los archivos.
  • Indica a los ciberdelincuentes que tenemos predisposición a pagar.
  • De este modo se financia a la industria del cibercrimen.

Son, sin duda, razones de peso, que en un análisis hipotético no admiten réplica. Sin embargo, si aterrizamos esta situación al mundo real, vemos que nos falta un componente muy importante en la ecuación: las razones por las que una empresa se puede ver forzada a pagar. Estas son, sin duda, las dos más importantes:

  • Dar por finalizado el ataque y recuperar los activos digitales, si no tienen otra vía para hacerlo.
  • Evitar la difusión pública de sus activos, así como una crisis de reputación al hacerse público el ataque.

En el mundo real, son muchas las empresas y entidades públicas que, tras un ataque de este tipo, terminan por pagar el rescate, en procesos que recuerdan bastante más de lo que cabría pensar a las negociaciones que vemos en el cine y las series (no tan cargadas de testosterona, eso sí). En algunos casos se hace público, como ocurrió con la administración de Lafayette y con Travelex, entre otros. En otros, y seguramente sean muchísimos más de los que pensamos, la falta de noticias al respecto (como ha ocurrido en el caso de ADIF) nos invita a pensar que, efectivamente, se ha producido el pago, si bien no se ha informado del mismo.

Desde el punto de vista de un cliente, cuando entregamos nuestros datos a una empresa, esperamos que vele por ellos para evitar que se produzcan este tipo de incidentes. Ahora bien, una vez que se ha producido un ataque de ransomware con exfiltración, es difícil decidir si preferimos que se mantenga firme y no pague, aunque eso conlleve el riesgo de que nuestros datos puedan ser vendidos en la dark web, o nos tapamos la nariz por unos minutos y preferimos que la víctima pague el rescate para que nuestra información no caiga en peores manos. Es una pregunta que conviene hacerse para entender mejor la situación.

Con esto no digo, ni muchísimo menos, que sea mejor pagar, principalmente porque hacerlo no nos garantiza que eso no vaya a ocurrir. Los ciberdelincuentes apelan mucho a su palabra, a que borrarán toda la información, y desde una perspectiva de mercado tiene sentido que lo hagan, para tener credibilidad en futuros ataques y negociaciones. Sin embargo, ¿realmente los eliminan o simplemente los guardan, a la espera de su posible utilidad en el futuro? Yo podría llegar a confiar en el honor de alguien que me roba una barra de pan por hambre, pero no en el de quién me exige un rescate de millones de dólares por recuperar lo que me ha robado.

¿Quién tiene la culpa del ransomware? ¿Cómo prevenirlo?

Pese a que existe una corriente de pensamiento que tiende a poner como principal responsable a la víctima, me niego a aceptar esa premisa. La principal responsabilidad, la principal culpa es de quien perpetra el ataque, como ocurre con cualquier otro crimen, delito, etcétera. La víctima es víctima, y el delincuente es el delincuente. Y puede parecer una obviedad, pero en ocasiones es necesario recordarlo, porque la tendencia a culpabilizar a la víctima es una constante, y su efecto perverso es que descarga de responsabilidad al delincuente, que es quién ha llevado a cabo la acción ofensiva.

No obstante, sí que es cierto que muchas víctimas lo son por no haber actuado pensando en las amenazas a las que se enfrentan, y tomando las medidas necesarias para evitar su incidencia. No hay nada que nos proteja al 100% del ransomware, pero sí que hay medidas que nos permitirán minimizar los riesgos tanto de sufrir un ataque, como de minimizar las consecuencias de uno si es que finalmente se produce. Veamos las más importantes:

Un punto clave, claro, es garantizar la seguridad de la infraestructura, lo que pasa en primera instancia con contar con las herramientas necesarias para identificar y repeler el malware. Recuerda que el ransomware entra en los sistemas como un patógeno más y, por lo tanto, las soluciones que nos protegen del malware son una primera y muy necesaria barrera de seguridad. Y, a la larga, son muchísimo más baratas que los costes que puede suponer ser víctima de un ataque.

Otro punto clave es mantener una política de actualizaciones. No pocos de los incidentes de seguridad y ataques de ransomware de los que te hablamos en MuySeguridad están directamente relacionados con alguna vulnerabilidad que no había sido parcheada, pese a que ya había sido identificada y existían soluciones para erradicarla. Y es mejor emplear dos horas desplegando una actualización que perder dos semanas restaurando la infraestructura y los datos tras un ataque de ransomware.

También debemos pensar en que, tarde o temprano, es posible que algún ransomware pueda llegar llegar a la infraestructura, por lo que debemos estar preparados para ello. A este respecto, además claro de lo que ya hemos comentado antes sobre las copias de seguridad, resultará bastante útil recurrir al cifrado del dato tanto en tránsito como en reposo. De este modo, si el atacante consigue exfiltrar, el contenido de los mismos le resultará inaccesible y, por lo tanto, ni podrá extorsionar amenazando con su publicación, ni podrá intentar distribuirlo en el mercado negro.

Y un punto fundamental, y del que sé que suelo hablar mucho, es la formación a los empleados. Y es que si un trabajador que está teletrabajando no duda en abrir cuantos correos recibe, ejecutar en el sistema todo lo que llega a su PC e introduce sus credenciales en cualquier lugar donde se le pida, el resto de medidas de seguridad perderán parte de su efectividad. Convertir a los trabajadores en una capa más de la política de seguridad es, siempre, una muy buena idea.

Fuente: https://www.muyseguridad.net/

No olvides Compartir...  

Siguenos en twitter: @disoftin - @fredyavila

Publicar un comentario

0 Comentarios