El ransomware se ha convertido en una de las mayores amenazas cibernéticas que enfrentan las organizaciones en 2022. El impacto de los ataques de ransomware se está expandiendo y afecta no solo a los sistemas informáticos y los datos, sino también a nuestro mundo físico.
Además, las demandas de rescate crecen exponencialmente en comparación con años anteriores. En los últimos años, hemos sido testigos del surgimiento de "Ransomware-as-a-Service" (RaaS) debido a su capacidad para lucrar con estas organizaciones criminales.
Las empresas pueden reducir el potencial y el impacto de RaaS implementando una solución sólida de administración de acceso e identidad y habilitando la autenticación multifactor en todas sus cuentas.
REvil (también conocido como Sodinokibi) es la pandilla criminal de Ransomware-as-a-Service responsable de algunos de los ataques de ransomware más grandes de la historia, incluidos los incidentes de la cadena de suministro de JBS ransomware y Kaseya.
El 14 de enero de 2022, Rusia anunció que había arrestado a 14 miembros de REvil. La medida se produjo a pedido de las autoridades estadounidenses, que trabajaron con socios internacionales como Europol para reprimir las actividades del grupo criminal.
Estos arrestos siguen al anuncio de noviembre de Europol de que se realizaron siete arrestos de afiliados de REvil en los meses anteriores .
RaaS como servicio basado en suscripción continúa creciendo en popularidad, ya que proporciona una barrera baja para que los ciberdelincuentes ingresen al negocio del ransomware y se conviertan en afiliados. Más importante aún, este modelo también permite a los afiliados no técnicos ejecutar ataques de ransomware con éxito.
El modelo de negocio de los grupos RaaS es diferente de los ataques de ransomware tradicionales del pasado. Los delincuentes tradicionales de ransomware operaban bajo un equipo cohesionado que creaba el malware y ejecutaba el ataque.
El desarrollador escribe el programa malicioso y el afiliado ejecuta el ataque y cobra el rescate. Además de estas partes, los investigadores de seguridad han sido testigos de la ayuda de un tercero en los ataques RaaS, llamado "Proveedor de servicios".
El "Proveedor de servicios" ayuda al afiliado en varias etapas del ataque de ransomware, desde la selección de víctimas, proporcionando exploits y en las negociaciones.
Este modelo de negocio ayuda a que la actividad de REvil no se vea afectada por las recientes victorias de las fuerzas del orden. Los primeros indicios de los investigadores de seguridad demuestran que la actividad de REvil no ha cambiado . Esta actividad continua implica uno de dos escenarios:
Las detenciones solo han afectado a 'intermediarios' dentro de la jerarquía de la banda criminal
El modelo de ransomware como servicio de REvil es lo suficientemente resistente como para sobrevivir a la interrupción de la aplicación de la ley
Estos hallazgos coinciden con un informe conjunto sobre ransomware emitido por el FBI, CISA, NCSC, ACSC y NSA. Según el informe:
RaaS se ha vuelto cada vez más profesionalizado, con modelos y procesos comerciales ahora bien establecidos.
El modelo de negocio complica la atribución porque existen redes complejas de desarrolladores, afiliados y autónomos.
Los grupos de ransomware comparten información de víctimas entre sí, diversificando la amenaza a las organizaciones objetivo.
Uno de los "proveedores de servicios" más esenciales para las organizaciones criminales de RaaS es Access-as-a-Service, conocido como Initial Access Brokers (IAB). Los IAB ofrecen el acceso encubierto a una red que se requiere en la primera etapa de un ataque de ransomware.
Dado que el tiempo es dinero para todas las empresas, incluso las criminales, la economía del ransomware como servicio se basa en las IAB para reducir la necesidad de un reconocimiento prolongado o el tiempo para encontrar un método de entrada.
Los intermediarios de acceso inicial ofrecen acceso como servicio por un precio y estos delincuentes brindan a los atacantes de ransomware una manera fácil de ingresar a las redes corporativas, allanando el camino para los ataques dañinos reales.
El mercado de Access-as-a-Service es la fuente de la desconexión entre una violación corporativa inicial y los ataques posteriores que siguen días o incluso meses después.
Los IAB obtienen las credenciales que venden de muchos lugares diferentes. Estas credenciales pueden ser de dominio público, compradas a otros atacantes, encontradas a partir de la explotación de vulnerabilidades o de otras infracciones.
Uno de los principales servicios que brindan los intermediarios de acceso es la validación de credenciales . Independientemente de la fuente de estas credenciales, los IAB siempre intentan verificar si funcionan probándolas manualmente o usando scripts especializados que pueden hacer esto a escala.
Según una investigación del foro de seguridad cibernética KELA , las IAB venden el acceso inicial por $4600 y las ventas tardan entre uno y tres días en finalizar. Una vez que se ha comprado el acceso, toma hasta un mes para que ocurra un ataque de ransomware. Como mínimo, cinco operadores conocidos de ransomware de habla rusa están utilizando IAB: LockBit, Avaddon, DarkSide, Conti y BlackByte.
DarkSide es famoso por un ataque a Colonial Pipeline que provocó pánico en la compra de combustible en los Estados Unidos. Justo antes de que comenzara el Super Bowl, los San Francisco 49ers se convirtieron en la última víctima de BlackByte , quien también nombró a la organización en un sitio web de filtración.
Si bien las mejores prácticas de seguridad, como tener capacidades de respaldo efectivas, segmentar redes, monitorear correos electrónicos maliciosos y proteger a los usuarios de sus efectos, son excelentes medidas preventivas, las estrategias de defensa corporativa no deben limitarse a estos pasos.
La implementación de controles de administración de acceso e identidad efectivos y eficientes respaldados por políticas de acceso sólidas puede prevenir significativamente la violación de credenciales inicial por parte de las IAB que permite un ataque de ransomware posterior.
Supervise las infracciones de credenciales públicas. Estas infracciones deberían generar señales de alerta para buscar signos de una infracción en su red.
Si sospecha que algunas de sus credenciales están a la vista, active un restablecimiento de contraseña para todos los usuarios.
Considere seriamente configurar la autenticación multifactor (MFA) para todos sus empleados, socios y proveedores. No limite MFA solo a sus cuentas privilegiadas, ya que cualquier empleado es un objetivo potencial.
Como Directora de Marketing de Producto, Gestión de Identidad y Acceso (IAM) en Thales, Danna Bethlehem sugiere que las empresas avancen hacia métodos modernos de autenticación de múltiples factores como FIDO2. Ella dice: "FIDO2 ofrece una autenticación multifactor sin contraseña", con "un alto nivel de seguridad al tiempo que facilita la experiencia de inicio de sesión para los empleados".
Supervise el comportamiento de los usuarios buscando cosas que sus empleados no deberían estar haciendo.
Considere usar las mejores prácticas estándar en políticas de contraseñas, como las desarrolladas por NIST o ENISA.
Suponga que sus empleados ya han perdido sus contraseñas ante los delincuentes y, por lo tanto, ha sido violado y está expuesto. Entonces se vería obligado a implementar una forma de arquitectura de confianza cero y una postura de seguridad en toda su red.
Los delincuentes de ransomware están avanzando en su modelo de negocio, que ahora se basa cada vez más en la compra de acceso a las redes de destino. Por lo tanto, el mercado de acceso como servicio está aumentando en prominencia y especialización.
Si una empresa puede protegerse del robo de credenciales, estará mejor posicionada para defenderse de futuros ataques de ransomware. La mejor estrategia de defensa es establecer una gestión sólida de acceso e identidad y permitir la autenticación multifactor en todas sus cuentas en el marco de una política de seguridad de confianza cero.