Con pocas opciones, las empresas ceden cada vez más a las demandas de ransomware

Ante pocas opciones, las empresas están cediendo cada vez más a los ciberdelincuentes que retienen sus datos como rehenes y exigen el pago por su devolución, mientras que las fuerzas del orden luchan por atrapar a los perpetradores casi invisibles..

Los riesgos para las organizaciones se han vuelto tan severos que muchos simplemente pagan a sus atacantes para que se vayan, una estrategia que solo puede envalentonar a los delincuentes.

Es un caso de guerra electrónica asimétrica. El ransomware, que cifra los archivos hasta que una víctima paga por desbloquearlos, puede ser devastador para una organización. Salvo una copia de seguridad actualizada, poco se puede hacer aparte de pagar a los atacantes para que proporcionen las claves de descifrado.

Menos comunes pero igual de perjudiciales son los esquemas de extorsión, donde los atacantes afirman haber robado datos críticos y amenazan con divulgarlos públicamente a menos que se cumplan sus demandas. Los plazos son ajustados: los piratas informáticos pueden dar a una empresa menos de 48 horas para cumplir, lo que desencadena una carrera para confirmar qué datos, si los hay, han sido robados.

Los costos del ransomware y la extorsión son difíciles de calcular. En junio pasado, el FBI estimó que solo la familia de ransomware CryptoWall le había costado a las organizaciones estadounidenses $ 18 millones durante el año anterior. En octubre, un grupo de la industria elevó el costo total de CryptoWall, que se detectó por primera vez a mediados de 2014, mucho más alto, a la asombrosa cantidad de 325 millones de dólares..

Los costos de extorsión son aún más difíciles de estimar, ya que las empresas a menudo no están dispuestas a admitir que fueron víctimas. La compañía de seguridad informática FireEye dice que sabe de compañías que pagaron más de $ 1,000,000 para evitar la divulgación de datos confidenciales, aunque la mayoría de los incidentes se resuelven por menos.

El volumen de casos es abrumador para la aplicación de la ley, dijo Erin Nealy Cox, ex fiscal federal de delitos cibernéticos y jefe de la unidad de respuesta a incidentes en Stroz Friedberg, que realiza investigaciones forenses informáticas..

El FBI y el Servicio Secreto "en muchos casos están bien, y en esencia aceptan el pago del rescate", dijo Nealy Cox, aunque enfatizó que esta no es su posición oficial..

Los grupos que realizan los ataques son difíciles de encontrar. Tienen experiencia en cubrir sus rastros y exigen el pago en la criptomoneda bitcoin, lo que hace que los pagos sean difíciles de rastrear. Además, los piratas informáticos a menudo se basan en países que no cooperan estrechamente con los EE. UU. En materia de ciberseguridad, lo que hace que los arrestos sean poco probables.

Desbloquear los archivos cifrados suele ser casi imposible.

"Es un gran desafío descifrar a las víctimas", dijo Andrew Komarov, CIO de InfoArmor, que recopila información sobre amenazas cibernéticas..

InfoArmor ha tenido cierto éxito en la interrupción del ransomware, al infiltrarse en las redes informáticas utilizadas para controlarlo. En un ejemplo, Komarov dijo que se encontró una vulnerabilidad dentro de la red de comando y control utilizada para distribuir ransomware llamado CryptoLocker.

Captura de pantalla

La advertencia que muestra CryptoLocker, uno de los muchos programas de ransomware.

La vulnerabilidad permitió a los investigadores enviar un comando que hizo parecer que miles de víctimas habían pagado su rescate, haciendo que sus computadoras fueran descifradas, según el informe de InfoArmor.

Pero los finales felices son poco comunes. Los incidentes de ransomware mejor documentados han afectado a la industria médica. El Hollywood Presbyterian Medical Center en Los Ángeles pagó 40 bitcoins, alrededor de $ 17,000, para descifrar sus archivos. 

Allen Stefanek, presidente y CEO de Hollywood Presbyterian, dijo que el pago era "en el mejor interés de restablecer las operaciones normales".

Cuatro semanas después, el Hospital Metodista de Henderson, Kentucky, dijo que una pieza de ransomware conocida como Locky infectó sus sistemas, según el escritor de seguridad informática Brian Krebs. El hospital no pagó un rescate, pero pudo restaurar sus sistemas, según un informe de noticias local..

Los esquemas de ransomware y extorsión ofrecen ventajas sobre otros métodos de cibercrimen. En lugar de robar datos y necesitar encontrar un comprador para ellos en transacciones riesgosas que tienen lugar en foros clandestinos, se aborda directamente a una víctima vulnerable para que pague.

"Estamos comenzando a ver que los adversarios en muchas regiones comienzan a pensar en los datos como un arma", dijo Dmitri Alperovitch, CEO de Crowdstrike. "Ciertamente, los norcoreanos hicieron eso con Sony".

A Sony Pictures, cuyos atacantes liberaron gigabytes de datos internos sensibles y destruyeron computadoras, se le pidió que no lanzara una película que se consideraba ofensiva para el líder norcoreano Kim Jong-un. El gobierno de los Estados Unidos rápidamente atribuyó el ataque a Corea del Norte.

Pagar un rescate es una propuesta difícil y no una sin sus oponentes..

El mes pasado, Roman Hussy, que dirige un blog de seguridad, lanzó un ransomware rastreador, una herramienta que cataloga servidores de todo el mundo que han estado vinculados a campañas de ransomware. Comenzó el rastreador después de ver a muchas personas convertirse en víctimas..

"La regla de oro es realizar copias de seguridad con frecuencia y nunca pagar ningún rescate", escribió Hussy. "El pago de rescates financiará la operación de delitos cibernéticos de los delincuentes y la infraestructura que están utilizando para cometer más fraudes, así como motivará a los atacantes a seguir llevando a cabo sus ataques".

La estrategia de resistencia de Hussy podría funcionar eventualmente, pero requeriría que muchas organizaciones caigan en sus espadas.

Kevin Mandia, director de operaciones de FireEye y fundador de Mandiant, dijo que el resultado de no pagar podría significar un gran riesgo y vergüenza, si, por ejemplo, se filtra el correo electrónico del abogado general de una empresa..

"¿Qué harías?" Mandia dijo en una entrevista reciente. "Las alternativas son bastante malas".

El aumento en los intentos de extorsión y ransomware es probablemente una consecuencia de una mejor seguridad de la tarjeta de pago en los EE. UU..

FireEye ha visto algunas de las mismas herramientas de piratería y uso de infraestructura para el ciberespionaje patrocinado por el estado que ahora se usa para extorsión, lo que sugiere que los piratas informáticos experimentados ven un tren de salsa.

"Finalmente, la delincuencia organizada rusa y los grupos fuera de China se dieron cuenta, bueno, todavía tenemos las habilidades de piratería, estamos obteniendo datos de tarjetas que ya no podemos monetizar tan fácilmente, así que simplemente extorsionen", dijo Mandia..

El 22 de marzo, el Departamento de Justicia desveló los cargos contra tres miembros del Ejército Electrónico Sirio, un grupo que emprendió una campaña de piratería de varios años en apoyo del presidente Bashar al-Assad..

Dos de los hombres también están acusados ​​de extorsionar a 14 víctimas estadounidenses e internacionales después de piratear sus sistemas y amenazar con causar daños o vender datos robados. Las víctimas incluyeron una compañía china de juegos en línea, un proveedor de alojamiento web en el Reino Unido y una compañía de medios en línea.

En total, los hombres supuestamente exigieron más de $ 500,000, aunque con frecuencia redujeron sus demandas después de la negociación, según la denuncia penal..

"Algo de esto es como negociaciones de rehenes", dijo Alperovitch de Crowdstrike. "Puede iniciar el diálogo con un criminal y ver si puede detenerlo y obtener más tiempo".

Pero "nada es infalible cuando se trata de ladrones", dijo.

Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.