Malware hoy: Código Morse y doble extorsión
El ransomware plantea enormes riesgos y aún mayores esfuerzos de recuperación bastante costosos.
Sus ataques pueden provocar el bloqueo de los sistemas, el robo de identidades y el secuestro de los datos, lo cual puede sembrar el caos y el desastre en las organizaciones afectadas. El ransomware ha ganado tanta popularidad entre los ciberdelincuentes que se posiciona ahora como uno de los ataques que más crecerá en el 2022, según afirma PwC.
Aunque el cifrado se utiliza en todas partes, no hay que confundirlo con el hashing o la ofuscación de archivos. Estas técnicas son útiles para evadir las herramientas de detección, mientras que el ransomware toma los datos como rehenes gracias al cifrado. Tan solo en 2021, las organizaciones han comunicado a la Agencia Española de Protección de Datos más de 1.700 brechas de datos, lo que supone un crecimiento del 30% respecto a 2020. Este incremento responde al crecimiento exponencial de tres grandes ciberamenzas, entre ellas, el ransomware.
El código Morse reaparece entre las amenazas y la “doble extorsión” se posiciona como una de las técnicas más peligrosas
Muchas cepas de ransomware muestran un "mensaje especial" después del cifrado, ordenando que la única manera de descifrar los archivos es enviar bitcoins a la cartera de los delincuentes. Sin embargo, como sabemos, algunas formas de ransomware son descifrables, y no es necesario pagar el rescate. Por ejemplo, Jigsaw, una antigua forma de malware acuñada por primera vez en 2016, contiene la clave utilizada para cifrar archivos en el código fuente. Este año hemos vuelto a ver este tipo de ataque dentro del código Morse, lo que demuestra que, aunque el malware siga evolucionando, los delincuentes utilizarán cualquier cosa que funcione. Por ello, las empresas deben ser conscientes no solo de la evolución de las amenazas, sino también de las antiguas formas de ataque.
Recientemente además hemos observado que los actores de amenazas adoptan un modelo de "doble extorsión", en el que cifran los datos del objetivo y no solo exigen un rescate para su devolución, sino que también aprovechan los incentivos de pago adicionales para añadir presión a la víctima para que aceda al pago del rescate. Algunos actores de amenazas utilizan una estrategia más dirigida y amenazan con liberar públicamente o subastar los datos a menos que la víctima pague, una situación que pone de manifiesto el riesgo de no cumplir con el Reglamento General de Protección de Datos (GDPR) de la UE y los cientos de políticas y leyes de privacidad de datos.
La solución para resistir ataques y garantizar el acceso continuo a los datos
La piratería a través de ransomware se ha duplicado en los últimos dos años, según un estudio de Accenture, mientras que el pago de rescates se ha incrementado en un 82%. Además, la consultora estima un crecimiento de 25.000 millones de dólares en primas de seguros anuales en todo el mundo en los próximos tres años.
Ante esta situación, una forma fundamental de mejorar la ciberresiliencia es contar con una sólida estrategia de copias de seguridad. Sin embargo, los esfuerzos pueden resultar inútiles si las organizaciones se olvidan de enumerar e identificar claramente sus requisitos, y luego no prueban sus procedimientos con regularidad para evitar fallos masivos en los peores momentos.
La protección de datos tiene que ver con la mitigación de riesgos, y hay que hacerse algunas preguntas clave para tener el plan más completo. ¿Cómo se relacionan nuestros datos con las operaciones de nuestro negocio? ¿Necesitan ser archivados? ¿Cuáles son los datos sin los que nuestra empresa no puede funcionar? ¿Cuánto tiempo puede llevar restaurar esos datos?
En conclusión, los ciberdelincuentes seguirán perfeccionando sus enfoques y experimentando con diferentes modelos de negocio, ya que los ataques evolutivos de ransomware suponen una enorme presión sobre la disponibilidad de los servicios y los flujos de datos. Mientras que esos adversarios, sin duda, seguirán buscando formas adicionales de presionar a las víctimas para maximizar sus posibilidades de cobrar, nosotros debemos de tener la capacidad de preservar lo que es más valioso hoy en día mediante el despliegue de fuertes prácticas de resiliencia cibernética, tanto ahora como en el futuro.
David Dufour, vice president of cybersecurity and threat intelligence engineering with Webroot and Carbonite en OpenText