Los tiempos contemporáneos se caracterizan por el constante uso de la tecnología y automatización: hoy en día no se conciben las tareas diarias tanto personales como corporativas, sin la tecnología. En paralelo con este crecimiento exponencial, también existe el aumento constante de las ciber amenazas.
Una de estas es el ransomware, un tipo de ciberataque por el cual los cibercriminales extraen y secuestran la información de sus víctimas. El objetivo de estos ataques es pedir un rescate (ransom, en inglés) a cambio de liberar la información secuestrada o para extorsionar a las víctimas con la amenaza de hacer públicos los datos extraídos.
Los atacantes actuales aprovechan las técnicas de evasión sofisticadas, como la ejecución en la memoria y la carga de malware desde máquinas virtuales para eludir las defensas de los endpoints. La seguridad tradicional de redes y endpoints simplemente no se ha mantenido al día con las amenazas que evolucionan rápidamente, lo que no ayuda a bloquear ransomware nuevo y evasivo.
Ryuk, WastedLocker, REvil y otros grupos de ransomware utilizan técnicas de ataque dirigidas y capacidades similares a las de los gusanos para infectar hosts rápidamente. Debe bloquear cada paso del ataque, desde la entrega hasta los movimientos difíciles de detectar, y restaurar rápidamente los hosts comprometidos si es necesario.
Los ataques de ransomware son cada vez más comunes, y ningún sector está exento de ser objetivo de algún grupo. En México, los sectores de Manufactura, Educación, Servicios Profesionales y Legales fueron los principales receptores de estos incidentes, con cuatro registrados cada uno, seguido de las Bienes Raíces, Alta Tecnología, Salud, Entretenimiento, Construcción y Servicios Financieros, con dos ataques cada uno. El Gobierno Federal y Gobierno Local, así como el sector de Transporte y Logística redujeron sus incidentes a uno.
El Informe de ransomware y extorsión de Unit 42 de 2023 clasifica a Brasil como el país con más ataques de ransomware en Latinoamérica, con 59 incidentes reportados. México tuvo 26, dos más que el año anterior, representando casi el 1% de ataques en el mundo, seguido de Argentina con 23 y Colombia con 19. Si bien en muchos casos la motivación es financiera, Unit 42 también ha visto indicios de que la extorsión puede ocurrir al servicio de los objetivos más grandes de un grupo, a veces simplemente para financiar otras actividades, pero otras para distraerse de ellas.
Para este fin los actores de ransomware a menudo usan una variedad de técnicas de extorsión (llamadas multiextorsión) para presionar a las organizaciones para que tomen la difícil decisión de pagar el rescate. Unit 42 ha observado las siguientes tácticas de extorsión empleadas y amenazadas por los actores de amenazas de ransomware:
Incluso tener respaldos de información no es suficiente, Unit 42 vio incidentes en los que las organizaciones decidieron no pagar el rescate porque tenían fuertes respaldos, pero los actores de amenazas continuaron con campañas de acoso tan intensas que los costos resultantes excedieron el rescate exigido, así como un precio más allá del dinero, pues un ataque de ransomware puede repercutir en la reputación de las empresas al reconocer que fueran afectadas o que no tuvieron los medios para contrarrestarlos.
La ciberseguridad ya no es una opción, sino una necesidad para todas las organizaciones, pues ninguna es la excepción a poder sufrir un ataque de ransomware; estas tienen la oportunidad de preparar y reforzar su protección, ahora es el momento de que las organizaciones implementen las mejores prácticas de administración de identidades y accesos (IAM, Identity and Access Management) para proteger sus API en la nube, así como fortalecer sus protocolos de ciberseguridad para mejorar su resistencia al ransomware.