Impactos del ataque de ransomware de doble extorsión en las empresas y mitigación

los ataque de ransomware ha estado presente por un tiempo, y los expertos en seguridad lo han combatido sustancialmente. han proporcionado métodos para disminuir la prevalencia de este ataque sobre particulares y empresas. Sin embargo, las técnicas de los actores maliciosos también evolucionan al mismo ritmo para seguir causando daños.

En 2019, el mundo experimentó un nuevo método de ataque de ransomware: la doble extorsión. El ataque, que fue por un grupo malicioso- El laberinto , dirigido a Allied Universal, una empresa de seguridad. El 10% de los datos robados de la empresa de seguridad se hizo público más tarde como una advertencia de los actores de amenazas por incumplimiento. Maze Group también exigió $ 3,5 millones como rescate, o filtrarían el 90% restante de los datos.

2020 También vio a grupos maliciosos como REvil, Ragnar-locker y Lock bit unirse al Laberinto para participar en la explotación exitosa y devastadora de las empresas. Ya, más que 1200 empresas han sido víctimas de esta táctica, que cuesta alrededor de $ 20 mil millones en 2021 y se proyecta que cueste $ 265 mil millones para 2031. Una de las empresas era Cognizant, un gran proveedor de servicios de TI. La empresa perdió alrededor de 70 millones de dólares estadounidenses el ataque , uno de los más letales de la historia.

¿Qué es el ataque de ransomware de doble extorsión?

En un ataque de ransomware de doble extorsión, los actores maliciosos obtienen acceso no autorizado a una red para extraer y cifrar datos con la esperanza de un pago de rescate. A diferencia del mero ataque de ransomware, este método disminuye el efecto de los datos respaldados. Los atacantes ahora aprovechan los datos extraídos para presionar a las víctimas. Pueden llegar a publicar los datos o venderlos a un competidor si la víctima se niega a cumplir.

Doble extorsión con resultados imperdonables cuando se ejecuta con éxito. Las víctimas enfrentan pérdidas financieras por parte de los actores de amenazas o el cumplimiento y la desfiguración pública.

En 2022, este procedimiento de ataque sigue en aumento. De acuerdo con la Informe Zscaler Threatlabz , el sector de la salud vio un aumento de la doble extorsión en un 650%, mientras que el servicio de alimentos en un 450%. Además, otros sectores son vulnerables a este ataque, y el número de víctimas sigue aumentando con la participación de la RAAS.

¿Cómo funciona el ataque de ransomware de doble extorsión?

El ataque de ransomware de doble extorsión comienza como un ataque pasivo que se convierte en un devastador ataque activo como el cifrado de datos y DDOS. La secuencia de estos ataques comienza con un proceso en el que el atacante tiene que acceder al sistema de la empresa a través de cualquier vector de ataque.

Los vectores de ataque pueden ser ingeniería o programación social, que incluyen phishing, fuerza bruta en servidores de escritorio remoto, malware, explotación de vulnerabilidades, etc.

Una vez que el actor obtiene acceso al sistema, realiza un ataque de reconocimiento a través de un movimiento lateral. En esta etapa, sigue siendo un ataque pasivo porque el actor se hace pasar por el usuario original para escapar de la detección y obtener información valiosa para su posible ataque.

Cuando el actor malicioso ha recopilado datos valiosos, extrae los datos e implementa el código malicioso, que cifra los datos.

Impacto del ataque de ransomware de doble extorsión en las empresas

El Grupo IB, en su informe, Tendencia del crimen de alta tecnología 2021/2022 , declaró que el ataque de ransomware de doble extorsión tuvo un incremento de alrededor del 935% en los daños. El impacto de estos daños en las empresas afectadas puede ser enorme, dependiendo de su tamaño. Más aún, el marco de tiempo para la recuperación de estas empresas depende de la rapidez con que respondan y la profundidad del ataque.

Desfiguración de marca

Las empresas corren el riesgo de desfiguración de la marca debido a fugas de datos y DDOS. Travelex, una agencia de viajes, vio cómo su reputación se iba por el desagüe en el Ataque malvado en la víspera de año nuevo de 2019.

Después de interrumpir sus servicios, lo que dejó a los clientes varados, REvil también amenazó con publicar los datos extraídos si la empresa se negaba a pagar el rescate. El ataque de ransomware de doble extorsión aquí fue devastador porque incluso si Travelex cumplió con restaurar los servicios y evitar la fuga de datos, la violación de la confidencialidad y el DDOS dañaron su reputación.

Pérdida de fondos

Las empresas dependen de los datos respaldados para evitar perder muchos fondos por eventos de ransomware. Sin embargo, las posibilidades de que esto siga siendo muy efectivo son bajas en el caso de la doble extorsión.

Los atacantes ahora aprovechan los datos extraídos; Se requerirá que las empresas pirateadas paguen el rescate, por valor de millones de dólares, o que su información confidencial se filtre al dominio público. Con datos valiosos de estas empresas expuestos al público, pueden acumular fuertes multas de cumplimiento, como sucedió con Equifax en 2017 .

Más aún, las empresas que no ceden a las demandas corren el riesgo de perder el valor de sus acciones cuando se venden en corto. Según el asesoramiento de la división cibernética del FBI: notificación de la industria privada , este método fue introducido en 2020 por un miembro de Revil Ransomware en un foro de piratería. Y los atacantes utilizan implacablemente este medio para facilitar la extorsión. Por lo tanto, las organizaciones están obligadas a perder grandes cantidades de dinero una vez que experimenten este tipo de ataque.

Vulnerabilidad de terceros asociados

Dado que los atacantes tienen acceso completo a una red empresarial, pueden escalar su acceso a socios y datos de consumidores. Con esto, los actores de amenazas pueden filtrar estos datos y exigir un rescate de socios o consumidores.

Un ejemplo de este evento fue en el caso de los hackers de Vastaamo- Los pacientes cuyos datos fueron accedidos necesitaban pagar un rescate. Otro fue el evento donde REvil alertó a Apple Inc. para pagar un rescate de 50 millones de dólares. Fue difícil para Apple debido al compromiso de su valiosa información con Quanta Computer Inc.

Prevalencia de ataques de ransomware de doble extorsión

El uso del método de doble extorsión se ha triplicado debido al éxito que ha tenido. Informe de investigación de Titaniam Ransomware, registra un aumento del 106 % en la exfiltración de datos y una tasa de éxito del 60 % para los atacantes en 2022. Las probabilidades se inclinan a favor de los actores maliciosos y ninguna empresa está libre de ser pirateada o pirateada nuevamente.

Pérdida de personal valioso

El efecto nefasto de este incidente puede hacer que una empresa pierda la mayor parte de su valioso personal. Según el 2022 Informe de Cybereason Ransomware , el 40% de las empresas perdieron a su personal porque fueron despedidos o renunciaron después de un ataque.

Algunas empresas pequeñas y grandes pierden a sus empleados porque no pueden pagar los salarios después de una pérdida significativa de fondos. En algunos escenarios, la gran pérdida de fondos se debe a que los atacantes exigieron el doble de rescate.

Por otro lado, puede suceder porque sus acciones se hunden después de la exposición a información significativa en plataformas como NASDAQ.

Mitigación del ataque de ransomware de doble extorsión

Con los ataques de ransomware de doble extorsión en aumento, no tiene que esperar hasta después del ataque para tomar medidas. La proactividad es la mejor manera de combatir este ataque. Si bien es posible que no elimine las posibilidades de infiltrarse en una empresa, las minimiza. Además, minimiza la pérdida en caso de incumplimiento.

Aplicar política de confianza cero

Las empresas permiten que las personas obtengan acceso privilegiado a su red, incluso a las áreas más sensibles. Cuando esto sucede, colocan la arquitectura en un lugar vulnerable para un ataque de ransomware.

Las empresas deben practicar una política de confianza cero restringiendo el acceso a su red. Deben ver todos los elementos de su red, incluidos los internos, como una posible amenaza. Debería haber una autenticación obligatoria de los elementos antes de conceder el acceso.

Otra recomendación es crear una segmentación de red para todos los accesos otorgados. Esta práctica limitará la propagación de malware.

Cifrar datos

El punto de presión para los actores malintencionados que usan esta serie de ataques es que han exfiltrado sus datos y pueden publicarlos si se niega a pagar un rescate. Sin embargo, las empresas pueden estar un paso adelante cifrando sus datos desde el principio.

Al cifrar sus datos, le ha negado al actor malicioso el acceso a sus datos, por lo tanto, reduce su poder de negociación. El actor de amenazas ya no puede amenazar con fugas de datos; lo peor que puede hacer es cifrar dos veces sus datos.

Copia de seguridad fuera de línea

La doble extorsión ha hecho que la copia de seguridad fuera de línea aparezca como una opción menos eficiente para mitigar acciones maliciosas. No obstante, la copia de seguridad fuera de línea puede salvar a su empresa de daños si practica el cifrado de datos. De esta manera, incluso cuando los atacantes cifran dos veces sus datos, puede recurrir a los datos respaldados sin conexión.

Educación del empleado

La aparición de covid 19 vio dispararse la tasa de trabajos remotos. Más empleados ahora pueden acceder a redes confidenciales a través de un enrutador externo. Si bien este desarrollo facilita la vida de los trabajadores, crea más vulnerabilidades para sus empleadores.

Los atacantes aprovechan la ignorancia de algunos empleados para sus hazañas. Incluso los empleados pueden ser una amenaza no intencional; sin embargo, esto se puede evitar con la sensibilización. La recomendación es que las empresas intensifiquen la conciencia interna de los ataques de ransomware y las implicaciones.

Evalúe su red y parchee las vulnerabilidades

Las empresas evalúan las lagunas en su red de dos maneras, según el tamaño de su infraestructura. Pueden realizar una evaluación o simulación de vulnerabilidades mediante un pen tester. Con esto, pueden detectar cualquier brecha de seguridad y configuración incorrecta que facilite un posible ataque.

También es fundamental reparar rápidamente todas las vulnerabilidades y realizar las actualizaciones de seguridad necesarias, o todos los esfuerzos son inútiles, como fue en el caso de Travelex. Antes del ataque de REvil, Kevin Beaumount, un investigador de seguridad, declaró que se encontraron vulnerabilidades en la red de algunas organizaciones desde agosto de 2019. Sin embargo, Travelex se mostró reacio a arreglarlo, de ahí su caída.

Registro de datos de monitoreo

Las empresas pueden observar las actividades de los paquetes en su red con herramientas que les alertarán cuando ocurra algo inusual. Al monitorear el registro de datos, puede detectar inmediatamente un ataque de malware y cortarlo antes de que se intensifique.

Conclusión

Mientras que las empresas y los profesionales de la seguridad cibernética están haciendo todo lo posible para proteger su infraestructura, los atacantes de Ransomware están duplicando sus esfuerzos para hacer que el trabajo sea tedioso.

Además de la doble extorsión, otras tácticas utilizadas por los atacantes de ransomware incluyen la triple extorsión y la cuádruple extorsión. Los expertos en ciberseguridad tienen que actualizar sus conocimientos y habilidades para combatir este problema.

Además, las empresas deben ser más intencionales y dedicadas a su infraestructura de seguridad. Deben adoptar las tendencias de seguridad recientes e implementarlas en su organización.