Impacto del ransomware en las grandes empresas mundiales | Informe de Sans Spotlight

En los últimos años, el ransomware ha crecido hasta convertirse en una de las mayores y más prolíficas amenazas a las que se enfrentan las organizaciones hoy en día. En general, ningún equipo de seguridad desea sufrir una violación de datos. Sin embargo, el ransomware no es sólo una violación de datos; las víctimas del ransomware a menudo son avergonzadas públicamente por adversarios que exigen sumas exorbitantes para asegurar la liberación de sus datos bloqueados. La Unidad 42 de Palo Alto informó de que en la primera mitad de 2021, el pago medio por ransomware ascendió a 570.000 dólares. A finales del mismo año, una aseguradora había pagado 40 millones de dólares en concepto de ransomware, según un informe de Mimecast de 2021 sobre casos de ransomware.

El ransomware también ha afectado a una parte importante de la seguridad empresarial. Ha modificado la forma en que elaboramos planes de respuesta a incidentes, evaluamos los ciberseguros y desarrollamos procesos empresariales basados en la continuidad y la resistencia. Este impacto puede haber obligado a las organizaciones a contemplar su panorama de amenazas de forma diferente, tomando decisiones distintas a las previstas inicialmente. Además, ha dado un nuevo significado tanto a lo que denota un desastre como a los requisitos de las operaciones de recuperación. No podemos ignorar el impacto que el ransomware ha tenido en algunas de las organizaciones más grandes del mundo, especialmente cuando se une a los cambios derivados de la reciente pandemia COVID-19.

En este documento, examinamos cómo el ransomware ha afectado al estado de la seguridad de las 2.000 empresas más grandes del mundo (G2K). El ransomware en sí se ha convertido en un "gran negocio" y, como tal, ha creado efectos duraderos en las operaciones empresariales normales, como la actividad de fusiones y adquisiciones y el crecimiento de la industria. El ransomware también ha tenido efectos de gran alcance en la política de ciberseguridad federal e internacional.

Aunque a menudo nos fijamos en los actores y no en los objetivos de las amenazas, el ransomware es un perfil de ataque demasiado prolífico e impactante como para que las organizaciones lo ignoren. Como analizamos en este documento, el ransomware es una amenaza formidable que ha cambiado la forma de hacer negocios de muchas organizaciones.

En la actualidad, estamos viendo cómo los autores de amenazas de ransomware amplían sus tácticas, técnicas y vectores de entrada, aprovechando rápidamente las vulnerabilidades y los exploits zero-day cero para obtener acceso y distribuir las cargas útiles iniciales del ransomware. Las organizaciones que no estén atentas a estas amenazas o que permanezcan ajenas a las tendencias del ransomware se encontrarán desprevenidas y se aprovecharán rápidamente de ellas. Aunque nuestro documento se centra en el G2K, animamos a las organizaciones de cualquier tamaño a que lo hagan:

• Implemente sólidas capacidades de supervisión y detección en los vectores de entrada del ransomware, como vulnerabilidades y soluciones de acceso remoto.
• Implemente funciones de detección y respuesta en puntos finales y redes, tanto en las instalaciones como en cloud.
• Considere estrategias de defensa en profundidad para limitar la facilidad de reutilización de credenciales y el movimiento lateral dentro de su entorno.
• Limite la conectividad de red a los sistemas de copia de seguridad y/o recuperación de desastres, que a menudo son objetivos de los adversarios del ransomware.
• Asegúrese de que su plan de respuesta a incidentes incluye la gestión de la denuncia pública.

Por último, cabe señalar que, aunque este documento se centra en la amenaza del ransomware, muchas de las recomendaciones y mitigaciones descritas en él son útiles para combatir la amplia gama de objetivos que se proponen los actores de amenazas. Implantar requisitos estrictos de acceso remoto o limitar la facilidad del movimiento lateral puede detener en seco a multitud de adversarios. Para beneficio de los equipos de seguridad que buscan sacar el máximo partido a su dinero, los agresores del ransomware suelen reciclar técnicas y tácticas, lo que brinda a los analistas de seguridad la oportunidad de detectar los ataques antes de que se conviertan en violaciones.

Impacto del ransomware en ^G2K1

Como hemos mencionado, el impacto del ransomware puede afectar fácilmente a organizaciones de todos los tamaños. Sin embargo, dado su tamaño y alcance, las organizaciones G2K han sufrido algunos de los ataques de ransomware más publicitados. Además, dados sus cuantiosos ingresos y su perfil público, las G2K siguen encabezando las listas de objetivos de los adversarios. Prometen una recompensa por ransomware mayor de la que pueden permitirse las organizaciones más pequeñas.

Curiosamente, también podríamos argumentar que las organizaciones G2K son objetivos bien defendidos. Podríamos suponer que a partir de un determinado nivel de ingresos, los departamentos de seguridad estarían financiados (potencialmente bien financiados) y la seguridad de la información sería una parte integral de las operaciones empresariales. Por desgracia, como hemos aprendido una y otra vez, no siempre es así. Esto no quiere decir que los equipos de seguridad de las grandes organizaciones no estén haciendo un buen trabajo. Sin embargo, podemos aprender de sus experiencias. Examinemos y aprendamos de los estudios de casos públicos para determinar la mejor forma de implantar la seguridad y garantizar mejores prácticas de defensa.

Impacto en la confianza del cliente: Accenture (G2K nº 169)

Nuestro primer estudio de caso analiza el impacto del ransomware en la confianza de los clientes de una organización. La confidencialidad de los clientes es de vital importancia para una empresa como Accenture y a menudo se considera un diferenciador principal de las empresas de consultoría. En agosto de 2021, Accenture sufrió un ataque de ransomware que resultó en el robo confirmado de datos de propiedad de sus sistemas de TI y creó una amenaza de doble cabeza.

En primer lugar, cuando un adversario viola la seguridad, cifra los datos y pide un rescate, la organización ya se encuentra en modo pánico para determinar la causa raíz del ataque y qué curso de acción puede tomar. Sin embargo, cuando una organización es el pastor de los datos de otros, también debe identificar rápidamente los datos específicos afectados o robados del entorno. Además, una organización víctima debe responder a preguntas clave como: "¿Puede el adversario utilizar estos datos para perjudicar a la empresa o a sus clientes?". También debe conciliar si un adversario puede o no utilizar los datos robados para apuntar y atacar con éxito a otras organizaciones.

Por lo general, en los casos de ransomware en los que los datos robados son información personal identificable (IPI) o datos de propiedad, la organización debe centrarse en poner fin a la intrusión urgentemente. Sin un programa de seguridad que tenga en cuenta el ransomware, un plan de respuesta a incidentes puede ser demasiado lento o no estar lo suficientemente implicado como para contrarrestar un ataque de este tipo antes de que se produzca un resultado perjudicial o para que la organización vuelva a la normalidad tras la intrusión. Además, una comprensión temprana detallada de lo que ha sucedido y qué datos han sido potencialmente robados es fundamental para los resultados de la negociación. La decisión de Accenture podría haber sido diferente si se hubieran sustraído montones de datos de clientes.

Resultado: Los adversarios afirmaron que habían robado 6 TB de datos y exigieron un rescate de 50 millones de dólares. Sin embargo, Accenture restauró los sistemas afectados a partir de una copia de seguridad y confirmó que no se habían sustraído datos de clientes.

No hay garantía de que los clientes se vayan o se queden a causa de una brecha de ransomware. Sin embargo, proteger los datos de los clientes y la propiedad intelectual de la organización debería ser uno de los principales objetivos de ésta. El ransomware puede ser la fuerza que impulse nuevas políticas de seguridad y la implantación de procesos y controles más sólidos y avanzados, que el equipo de seguridad debería adoptar e implantar en la mayor medida posible.

Impacto en la Supply Chain global: JBS USA (G2K #525)

Nuestro segundo caso práctico analiza el impacto del ransomware en las operaciones de la cadena de suministro y lo devastador que puede ser un ciberataque para el mundo físico. En mayo de 2021, JBS USA, uno de los mayores proveedores de carne de Estados Unidos, reveló que un ataque de ransomware había detenido las operaciones de producción en cinco instalaciones, que procesaban un total de 22.500 cabezas de ganado al día. La interrupción del funcionamiento también se extendió a plantas de Australia, lo que puso de manifiesto lo conectados que estaban los sistemas de JBS.

JBS es un ejemplo perfecto de cómo un ataque de ransomware puede afectar a una cadena de suministro global. El cierre de la producción de carne afectó a una larga lista de clientes de JBS, incluidos restaurantes, tiendas de comestibles y proveedores, como los ganaderos. Esta interrupción podría hacer que tanto los clientes como los proveedores de JBS busquen negocios en otros lugares y proporcionar una ventaja a los atacantes para inflar el coste de la violación del ransomware. Además, en función del alcance de los daños sufridos por los sistemas de producción, podría llevar días o semanas recuperar la velocidad normal de funcionamiento.

Resultado: JBS sucumbió a las peticiones de rescate y pagó 11 millones de dólares a los autores de la amenaza. Aunque informan de que no se puso en peligro ningún dato de la empresa, de los clientes o de los empleados, probablemente se tomó la decisión empresarial de que un pago de 11 millones de dólares era mejor que perder la producción durante más días.

Impacto en la integridad de los datos y extorsión: Brenntag (G2K #1088)

Por último, nuestro tercer estudio de caso examina un impacto en la integridad de los datos como resultado de una brecha de ransomware en Brenntag, una empresa de distribución de productos químicos con sede en Alemania. En mayo de 2021, se informó de que el grupo de ransomware DarkSide comprometió la división norteamericana de Brenntag utilizando credenciales robadas. En el punto álgido del ataque, los adversarios lanzaron la esperada carga útil de cifrado y robaron casi 150 GB de archivos del entorno.

Según el grupo de ransomware en el momento de la revelación, los datos robados (que estaban sin cifrar en manos del adversario) incluían contratos, acuerdos de confidencialidad, fórmulas químicas y documentos financieros y contables clave. Aunque no sabemos si los adversarios comprendían los datos que poseían, entendían el valor de los mismos y la probabilidad de que Brenntag quisiera mantenerlos en privado.

Utilizando los datos robados como palanca, la demanda original del ransomware fue de 7,5 millones de dólares. Según los listados de G2K, Brenntag es una empresa de 14.200 millones de dólares, por lo que 7,5 millones parecen una "gota en el océano". Este es un punto de vista que los actores de amenazas de ransomware suelen adoptar: es un subconjunto tan pequeño de su valor, la seguridad de sus datos debe valer esta pequeña cantidad. Esta estrategia se refleja en sus tácticas de negociación.

Resultado: Brenntag pagó finalmente 4,4 millones de dólares de los 7,5 millones originales a los actores de la amenaza el 11 de mayo de 2021. Aunque a menudo se hace a puerta cerrada, el proceso de negociación del ransomware es otro proceso en el que los adversarios invierten tiempo y habilidades para extraer la máxima cantidad de una organización víctima.

Impacto del ransomware en la seguridad

En sólo tres breves estudios de casos, hemos podido poner de relieve cómo un ataque de ransomware puede afectar rápidamente a la confianza de los clientes, las cadenas de suministro mundiales o la integridad de los datos. Los tres ataques que hemos examinado son sólo la punta del iceberg. El ransomware se ha convertido en una industria multimillonaria, con algunas estimaciones que la sitúan en más de 10.000 millones de dólares en 2021. Sin embargo, podría decirse que el ransomware ha cambiado simultáneamente el panorama de las amenazas y el de la seguridad empresarial.

Impacto en la detección y respuesta a incidentes

El área en la que el ransomware ha tenido mayor impacto es, posiblemente, la forma en que las organizaciones detectan y responden a los incidentes. Si pensamos en las filtraciones de datos de principios de la década de 2010, nos encontramos con un mundo consumido principalmente por las filtraciones con motivación financiera, el espionaje de propiedad intelectual/estatal y el hacktivismo. El ransomware se consideraba una amenaza "molesta" que sólo exigía unos pocos cientos de dólares y que a menudo era fácil de manejar mediante técnicas de recuperación de datos.

En 2021-2022, los adversarios del ransomware han perfeccionado sus habilidades. Ahora, un ataque de ransomware identifica y ataca con destreza los mecanismos de recuperación de datos. Existen múltiples informes sobre la capacidad de los adversarios para pasar de cero a administrador de dominio y cifrado completo en cuestión de horas, lo que significa que los equipos de seguridad tienen aún menos tiempo para seguir el ritmo y neutralizar una amenaza.

Los agresores del ransomware han mejorado aún más sus habilidades centrándose en las fases posteriores al cifrado de un ataque. Las negociaciones las lleva a cabo una parte independiente que conoce a la víctima, puede hablar de finanzas y está dispuesta a aceptar una suma inferior a la del rescate original. Al mismo tiempo, no está por encima de los actores del ransomware extorsionar a las víctimas y amenazarlas con la filtración de datos y otras situaciones embarazosas.

Estos parámetros han cambiado la detección de incidentes y la respuesta a los mismos en algunos aspectos clave:

• Los equipos de seguridad deben ser capaces de detectar las amenazas con mayor rapidez. Los tiempos de permanencia de los adversarios, medidos en días, pueden dar lugar a controles de seguridad que funcionen con demasiada lentitud y den a los autores de amenazas de ransomware demasiado tiempo para actuar.
• Ya no se trata de detectar la carga útil del ransomware, eso llega demasiado tarde. Hoy hay que centrarse en las actividades y técnicas que preceden al despliegue del ransomware.
• Ahora más que nunca, los equipos de seguridad deben confiar en potentes tecnologías de detección y respuesta (tanto de red como de punto final, o NDR y EDR, respectivamente, califican aquí) para proporcionar capacidades avanzadas de detección y manejo. La cobertura de los ataques que aprovechan cuentas privilegiadas es una consideración clave, dado lo centrales que son para los ataques modernos.
• Los planes de respuesta a incidentes deben incluir opciones rápidas que neutralicen las amenazas de inmediato. Los días de enviar un ticket de cambio para bloquear un puerto del cortafuegos hacen perder demasiado tiempo, especialmente a los adversarios artesanales que se mueven a la velocidad de la luz por una red plana.
• Los planes de respuesta a incidentes también deben incluir a otros departamentos "no tradicionales". No todos los incidentes de una organización requieren una llamada a los departamentos jurídico o de relaciones públicas. Sin embargo, una filtración de ransomware puede hacerse pública antes incluso de que el equipo de seguridad se haga cargo de ella. Esto debería hacer intervenir a otras partes, expertas en la gestión de problemas de cara al exterior.

En cuanto a la detección y respuesta a incidentes, también existen oportunidades únicas para los equipos de seguridad. La preocupación de la junta directiva y los ejecutivos por un ataque de ransomware puede proporcionar el impulso necesario para financiar una determinada herramienta o proyecto, trasladar activos vulnerables a una "ubicación" más segura o implantar por fin políticas y procesos que el equipo de seguridad lleva tiempo buscando.

Curiosamente, los ataques de ransomware son algunos de los únicos tipos de ataques que se centran en el resultado del ataque, no necesariamente en los actores de la amenaza y/o sus objetivos asociados. Aunque este es un punto de vista único, no elimina la necesidad de una higiene de seguridad básica, que puede ayudar mucho a detener todo tipo de ataques, no solo el ransomware.

Impacto en las soluciones de acceso remoto, contraseñas y permisos

Las soluciones de acceso remoto han formado parte de las operaciones empresariales normales durante décadas; no es nada nuevo que los administradores inicien sesión en los sistemas para las actualizaciones normales de TI, el mantenimiento, etc. Desgraciadamente, también se han convertido en uno de los vectores de entrada preferidos por los adversarios del ransomware, que saben que los sistemas de acceso remoto o "cajas de salto" suelen estar configurados con una seguridad ligera, pero con permisos pesados.

Como tal, los procesos empresariales han tenido que explorar un cambio o un proceso empresarial completamente nuevo para permitir a los administradores el acceso remoto. Aunque esto pueda parecer simple higiene de seguridad, el ransomware ha sido uno de los principales vehículos que han impulsado la autenticación multifactor, el uso obligatorio de VPN o la eliminación completa de las soluciones de acceso remoto.

El ransomware también ha influido en la forma en que las organizaciones tratan las contraseñas y los permisos de sus usuarios. Con demasiada frecuencia, vemos filtraciones de datos que implican una cuenta con demasiados permisos, poca seguridad perimetral y credenciales fáciles de adivinar. Incluso dentro de la población del G2K, este es un problema preexistente que está maduro para ser explotado por los adversarios. Además, el análisis forense y la respuesta a incidentes pueden resultar difíciles cuando un adversario se "mezcla" con el tráfico normal.

Sin embargo, el ransomware puede ser el catalizador para imponer un cambio organizativo muy necesario. El despliegue de la autenticación multifactor es una buena práctica que los profesionales de la seguridad llevan años recomendando: Puede disuadir el ransomware y otros tipos de ataques de adversarios que no tienen tiempo para un obstáculo de seguridad tan "robusto".

Seríamos negligentes si no señaláramos que algo tan simple como la autenticación multifactor puede hacer mella de dos dígitos en las tasas de éxito de los adversarios. Un número significativo de ataques se basa en credenciales débiles de un solo factor para el acceso remoto. Introducir un obstáculo puede romper la automatización del adversario, eliminar la capacidad de vender credenciales y evitar un ataque que, de otro modo, sería fácil.

Impacto en las vulnerabilidades y los ciclos de vida de desarrollo de software (SDLC)

El ransomware también ha tenido un impacto positivo en la gestión de vulnerabilidades y los ciclos de vida de desarrollo de software. Esto se debe a un cambio reciente (los últimos 24 meses) en los ataques de ransomware, que se han originado con vulnerabilidades y exploits en lugar del tradicional acceso remoto o spearphishing. La rápida militarización y explotación de vulnerabilidades generalizadas ha introducido un nuevo vector para que los atacantes desplieguen ransomware, otra tendencia que los equipos de seguridad deben tener en cuenta. Dependiendo de cómo esté conectada la vulnerabilidad al entorno, los adversarios pueden desplegar rápidamente su ransomware con permisos.

Por ejemplo, entre marzo y abril de 2021, se corrigieron varias vulnerabilidades que afectaban a las versiones 2013, 2016 y 2019 de Microsoft Exchange Server local. Casi al mismo tiempo que se anunciaron las vulnerabilidades, los adversarios ya habían preparado y escaneado servidores Exchange vulnerables orientados a Internet, de los que obviamente había miles. En este punto, una simple alineación de scripts y escáneres automatizados hizo el trabajo sucio.

La escala a la que los adversarios pueden automatizar sus operaciones introduce nuevas complejidades, de ahí la necesidad de un programa adecuado de gestión de vulnerabilidades y ciclo de vida del software. Cuando se anuncia una vulnerabilidad en un producto o biblioteca de software, los equipos de seguridad no disponen de días o semanas para identificar y catalogar dicha vulnerabilidad. Esa tarea debe hacerse con antelación. Los programas de visibilidad de activos también pueden incluirse en este debate, ya que ofrecen a los equipos de seguridad una visión de los activos y pueden combinar lo mejor de ambos mundos con un catálogo del software instalado también.

Reflexiones finales

En este informe, examinamos el impacto del ransomware en las 2.000 empresas más grandes del mundo. Aunque el ransomware se dirige a organizaciones mucho más allá de esta lista -al fin y al cabo, el dinero es dinero-, merece la pena analizar cómo las empresas con recursos gestionan la amenaza del ransomware. ¿Los ingresos equivalen a inversión en ciberseguridad? ¿Supone un objetivo mayor para las redes de una organización? ¿Son ambas cosas, o incluso más?

Creemos que, a pesar de tratarse de un ataque no disuasorio, las lecciones aprendidas de las violaciones del ransomware G2K conocidas públicamente pueden ayudar a otras organizaciones a implantar defensas más sólidas. El bloqueo de protocolos como el acceso remoto y la implantación de sólidos programas de visibilidad y gestión de vulnerabilidades pueden disuadir considerablemente a los adversarios. Un equipo de seguridad bien informado estará siempre listo para la "batalla" y podrá hacer frente a cualquier amenaza, incluido el ransomware.

---

¹ Las clasificaciones G2K que figuran en los subtítulos proceden de la Lista Global 2000 2021 de Forbes.