Visto: 456

Datos sobre los ataques de ransomware que tu empresa debe tener en cuenta

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

El ransomware cuesta a las empresas la abrumadora cantidad de US$ 75 millones por año por pago de rescate de información

El CTO de Emsisoft Fabian Wosar se une a TechHQ en una entrevista y compartió su sabiduría sobre una de las formas más maliciosas de cibercrimen.

La investigación sobre ciberseguridad y malware, en particular, ha sido una “parte importante” de la vida de Fabian Wosar desde que era un adolescente. Al crecer en Alemania Oriental, “las computadoras eran una vista relativamente rara” para el ahora experto en ransomware de fama mundial Fabian Wosar. No fue hasta que tuvo 11 años que ahorró lo suficiente para comprar su primera computadora y, varios años después, detectó su primer virus informático, conocido como TEQUILA-B.

“Comencé a recolectar virus informáticos como si otras personas recolectaran sellos o tarjetas de Pokémon”, dijo Wosar a TechHQ. “Y pasé una cantidad excesiva de tiempo en la computadora, solo quitando todos los virus que tengo separados, descubriendo cómo funcionan y, en última instancia, terminé escribiendo como mis pequeñas herramientas antivirus que detectaron y eliminaron los virus que estaban en mi computadora.”

Así fue como Wosar, CTO de Emsisoft y uno de los ‘cazadores de ransomware’ más reconocidos a nivel mundial, comenzó su campaña contra lo que se ha convertido en una de las mayores amenazas para las empresas hoy en día: el malware que bloquea a los usuarios de sus datos hasta que se paga un rescate, que cuesta a las empresas la asombrosa cifra de US$ 75 millones por año.

Desde aquellos primeros días, las herramientas de descifrado creadas por Wosar, disponibles para las víctimas de ransomware de forma gratuita, se han descargado más de 1.7 millones de veces. TechHQ aprovechó la oportunidad de entrevistar a Wosar para aprovechar el estado del ransomware en un año notable, así como sus propias experiencias como actor principal en la lucha contra la amenaza indiscriminada.

 

#1 | Hay cinco etapas de la duelo del ransomware

Las compañías golpeadas con ransomware atraviesan un viaje de emociones: “En mi experiencia, las víctimas que son golpeadas por ransomware pasan como las cinco etapas de dolor que también atraviesan las personas que están lidiando con la muerte”, dijo Wosar.

Al delinear las cinco etapas del duelo, veríamos negación, enojo, negociación, depresión y aceptación, pero la reacción general de las empresas víctimas de ransomware es simplemente “negación”. A menudo, las compañías piensan que de alguna manera pueden mantenerlo en secreto, y si pueden arreglarlo rápidamente sin que nadie lo note, no tendrán que revelar los incidentes, aunque, en muchos casos, están legalmente obligados a hacerlo.

Una vez que las empresas se dan cuenta de que no es probable que el problema desaparezca, “generalmente encuentras mucha ira”, dijo Wosar. La ira se dirigió no solo a los atacantes, sino también dentro de la empresa donde se encuentra el personal o la figura que se considera responsable del ataque, independientemente de si son realmente responsables o no de la violación.

“Por lo general, después de quitarse la ira, comienza la negociación”, continuó Wosar y afirma que este es el punto donde las víctimas de ransomware se acercarían a compañías como Emsisoft o figuras populares dentro de la comunidad de investigación de ransomware como Michael Gillespie, o él mismo.

En muchos casos, las empresas pueden tratar de comunicarse directamente con los propios autores y rogarles. “Desafortunadamente, si eso falla, lo que a menudo sucede, la depresión comienza: las empresas comienzan a temer por su sustento y se enfrentan a la realización del incidente”.

Wosar explicó que al final, las víctimas de ransomware a menudo llegan a una etapa de aceptación en la que “terminan pagando a los autores del ransomware” o “reciben el golpe e intentan recuperarse de él”.

En resumen, la psicología detrás del ransomware capitalizó la “venta de esperanza”. Los autores de ransomware ven a las víctimas ubicadas en situaciones severamente graves, y las compañías se venden “con la esperanza de que todo se pueda arreglar, de que de alguna manera puedan recuperarse de esto”.

 

#2 | Hay una de cada diez posibilidades de robo de datos

Como si los ataques de ransomware no fueran un problema lo suficientemente grande en sí mismos, Emsisoft lanzó un estudio que encontró una aparición creciente de ataques de exfiltración + encriptación, que combinan la interrupción de un ataque de ransomware con las consecuencias a largo plazo de la violación de datos, dejando las puertas abiertas para futuros ataques.

Este ataque cibernético ‘híbrido’ surgió en 2019, y ve a los atacantes notificar a sus víctimas que si no pagan la demanda de rescate, no solo los datos de los sistemas infectados permanecerán cifrados, sino que los atacantes también expondrán datos altamente sensibles al público .

Wosar dijo que esto es un desarrollo aterrador, “especialmente cuando se considera que el estado de la exfiltración de datos como una práctica que hace unos años era más como una idea teórica”.

El estudio encontró que los ataques de exfiltración evolucionaron de la cuenta de cero casos de ataques de ransomware a aproximadamente el 10% en un lapso de seis meses. Pero Wosar cree que el número real es casi seguro mucho más alto y continuará subiendo en los próximos meses. Es probable que dentro de un año, “la filtración de datos se convierta en la norma para todos los actores y grupos de amenazas involucrados en estos ataques de ransomware.

“Lo más probable es que los atacantes puedan usar las credenciales que cosecharon nuevamente en el futuro”, advirtió Wosar. Los datos robados, como los archivos de Outlook locales de las bases de datos de correo electrónico, brindan a los atacantes “una idea de con quién se comunican, que luego puede aprovecharse para ataques de phishing de lanza más convincentes que afectan a su empresa, pero también a todas las empresas con las que trabaja”.

En otras palabras, los malos actores tienen una ventaja y pueden desarrollar técnicas más sofisticadas, como imitar las firmas de correspondencia por correo electrónico, falsificar las direcciones de los remitentes y, básicamente, imitar la forma en que las personas se comunican, todo perpetúa la continuidad del delito cibernético.

 

#3 | La transparencia es clave

Si bien el ransomware es, desafortunadamente, parte de la ciberesfera, la forma en que las víctimas eligen responder y reaccionar ante los incidentes puede marcar una gran diferencia. Wosar destacó dos casos en particular que ilustran el contraste de cómo y cómo no manejar el ransomware.

“Si alguna vez te encuentras en una situación [de ransomware] y quieres estar preparado, te recomiendo leer sobre el caso de Norsk Hydro y ver las respuestas de la compañía, y modelar tu propia respuesta y tus propios planes . “

Norsk Hydro, una empresa de fabricación noruega, fue objeto de ransomware LockerGoGa el año pasado y a menudo ha sido elogiado por su negativa a pagar a sus atacantes y su apertura para discutir lo que sucedió.

“Tuvieron conferencias de prensa casi a diario y dieron múltiples pensamientos diarios sobre la situación y cómo la están manejando”, comentó Wosar.

En consecuencia, la transparencia y apertura de la compañía en el manejo del incidente vio que el precio de sus acciones no se hundió, “al menos no el tipo de golpes que las compañías que están en estas situaciones temerían”.

En contraste, Travelex fue descrito como el “polo opuesto” en su manejo del ransomware: “Al principio, trataron de negar todo por completo a pesar de que era obvio para todos lo que estaba sucediendo”. Mantenían a todos en la oscuridad “. La respuesta pública de la compañía de cambio de divisas consistió en retirar su sitio web, con una nota que indicaba “no disponible temporalmente debido a un mantenimiento planificado”. La gestión del incidente ha sido muy criticada debido a su falta de transparencia según lo cubierto en TechHQ.

Como lo indicó Wosar, una reacción general de las compañías golpeadas con ransomware es resolver el incidente con la menor publicidad, lo más rápido posible.

“Sé que muchas empresas temen la reacción pública”, dijo Wosar. “Pero en mi experiencia, la mayoría de los clientes y los clientes son muy comprensivos en lo que respecta a la violación de datos, que probablemente sea el resultado directo de la gran cantidad de violaciones de datos que ocurren todo el tiempo”.

Ser abierto y honesto sobre lo que sucedió es importante, dijo Wosar, y “también fortalece su posición cuando se trata de las negociaciones de ransomware”.

 

#4 | No pagues

La clave para la prevalencia continua del ransomware es el hecho de que tantas víctimas, que buscan barrer el problema debajo de la alfombra, simplemente pagan el rescate exigido por sus atacantes: un estudio realizado por X-Force de IBM Security encontró que el 20% de las organizaciones comprometidas han pagado rescates de más de US$ 40,000. La cifra es probablemente mucho más alta, ya que no muchas empresas lo confiesan.

Incluso se han informado casos de compañías “altamente especializadas” que afirman ser capaces de “romper” los sistemas del ransomware, pero simplemente quitan dinero a sus clientes y pagan a los atacantes.

Wosar enfatizó su arrepentimiento por las víctimas de ransomware que deciden pagar el rescate cuando hay soluciones alternativas disponibles: “Siempre encuentro algo descorazonador cuando tratamos con víctimas de ransomware que nos contactan después de haber pagado el rescate”.

“Y resulta que no tuvieron que pagar el rescate en primer lugar”, dijo el experto en ransomware. Hasta la fecha, hay disponibles herramientas de descifrado gratuitas, y el ransomware tiene fallas que las empresas y los expertos en malware conocen y pueden explotar para calmar la situación.

A las empresas afectadas por el ransomware les irá mejor con “un poco de investigación”. O simplemente “llegar a una empresa como nosotros sería muy, muy largo”.

 

Fuente de información: https://antiransomware.space/cuatro-lecciones-del-experto-en-ransomware-de-toda-la-vida-fabian-wosar/