Ciberinteligencia táctica: El antídoto contra el ransomware y otras ciberamenazas

El cibercrimen experimenta un crecimiento exponencial en paralelo al auge de la digitalización y desarrollo tecnológico en las organizaciones públicas y privadas. Los servicios de ciberinteligencia hacen frente a este escenario con estrategias de anticipación y tácticas proactivas, gracias a un mejor conocimiento del "enemigo".

2020, caldo de cultivo para las ciberamenazas

Durante la pandemia se ha tensionado la criticidad de la infraestructura digital a nivel mundial. Según datos aportados por la Comisión Europea, la ciberdelincuencia supuso en 2020 un coste de 5,5 billones de euros, superando con creces otras actividades ilícitas.

En efecto, la crisis provocada por Covid-19 ha desembocado en una recesión económica, un cambio de paradigma de los mercados y la digitalización apresurada de la actividad en muchas organizaciones que, en muchos casos, han olvidado activar una política de ciberseguridad adecuada. La tormenta perfecta para la proliferación de operaciones de influencia, ataques ransomware o a infraestructuras críticas y sistemas expuestos.

La población digitalizada no para de crecer, según datos de Naciones Unidas ya supone el 59,5% de la población mundial (4,6 miles de millones) en 2020. Hogares y organizaciones se han visto obligados a desarrollar su actividad en el entorno digital, de modo apresurado en muchos casos, pasando a engrosar la población objetivo de la ciberdelincuencia.

Esto ha permitido que los ciberataques y la ciberdelincuencia aumenten en volumen y sofisticación, afectando, incluso, a sectores vitales como transporte, energía, sanidad y finanzas.

En Europa…

En su 8º informe anual sobre ciberamenazas «ENISA Threat Landscape (ETL) – 2020», la Agencia de la Unión Europea para la Ciberseguridad (ENISA) apunta cómo el escenario COVID-19 ha disparado los ataques a hogares, empresas, gobiernos e infraestructuras críticas en Europa.

El malware en general y el ransomware en particular se ha convertido en la ciberamenaza principal en el continente europeo. Además de estos programas malignos, ENISA apunta otros como: ataques web, phishing, ataques de denegación de servicio distribuidos (DDoS), brechas de datos, intrusiones, botnets o ciberespionaje.

En España…

Según el informe de la ONTSI «Dossier de Indicadores sobre Ciberseguridad y Confianza Digital en España y Europa» (mayo 2020), durante 2019, sufrieron algún tipo de ataque:

• 26,5 % de la población
• 23 % de las grandes empresas
• 12% de las PYMES

CCN-CERT, en su último informe «IA-13/20. Ciberamenazas y tendencias. Edición 2020» dibuja el panorama nacional del último año apuntando a la pandemia de COVID-19 como elemento disruptivo en el entorno de las ciberamenazas. El cibercrimen ha aprovechado esta situación, así como el auge del teletrabajo, para potenciar operaciones de influencia o robo de información hasta campañas de ransomware.CCN-CERT pone el foco en el panorama de las ciberamenazas 2019-2020 de nuestro país en:

• Acciones ligadas a actores Estado (operaciones de influencia, propaganda, desinformación…).
• Actores ligados a la delincuencia económica (fraude al CEO, Human Operated Ransomware…).
• Impactos contra sistemas ciberfísicos, en ataques a infraestructura IT.
• Sistemas expuestos, debido al auge de la actividad económica en digital y  el teletrabajo.

En definitiva, se vislumbra un futuro de continuidad en las acciones hostiles en un escenario de tensión económica, explosión de la digitalización de operaciones y actividad comercial, así como continuidad de la modalidad de teletrabajo. Dibujar el mapa de amenazas y diseñar actuaciones tácticas para eliminarlas será el cometido de los servicios de Ciberinteligencia.

Ciberinteligencia proactiva como antídoto

Como todo buen antídoto, la Ciberinteligencia (táctica y estratégica) puede adoptar un enfoque proactivo, para anticiparse, anular o neutralizar las consecuencias provocadas por los ciberataques.

Este enfoque proactivo de la Ciberinteligencia viene a ser desplegado en su faceta táctica, que es la encargada de diseñar protocolos de respuesta frente a amenazas identificadas así como participar en la actuación en ataques ya perpetrados. Su éxito reside en ir más allá de la seguridad tradicional, mitigando los ataques del modo más eficaz ya que parte de su conocimiento exhaustivo del modus operandi del enemigo.

El escenario expuesto reta a los servicios de Ciberinteligencia táctica a dar soporte a organizaciones cada vez más dependientes de los entornos digitales y que presentan, como resultado, un mayor nivel de exposición de sus infraestructuras y activos tecnológicos. También el usuario final (trabajador, consumidor y ciudadano), integrado en esta situación, es cada vez más vulnerable.

La oleada de ataques y el alto nivel de actividad delictiva en el ciberespacio, exige a la Ciberinteligencia aportar la mayor dosis de proactividad a la Ciberseguridad en las organizaciones. Debe aportarle una triple línea de acción.

Triple acción de la Ciberinteligencia

1. Monitorización anticipada: Para la identificación y análisis de actores, indicadores y escenarios de amenazas.
2. Actuación: Despliegue de protocolos de respuesta frente a ciberataques.
3. Trazabilidad forense: Seguimiento y aplicación de la misma en procesos de investigación forense para obtener indicadores y datos concluyentes a partir de un incidente de seguridad.

Conociendo al ciberadversario

El fundamento de la Ciberinteligencia no es otro que conocer al milímetro a nuestros ciberadversarios y su modus operandi, a fin de dimensionar estrategias, tácticas y recursos de defensa frente a sus ataques.

Bajo este paradigma, la ciberinteligencia nos permite prevenir y anticiparnos a los ataques enemigos. Esta es la mejor defensa a la que debe optar cualquier organización, ya que optimiza el rendimiento de sus sistemas de ciberseguridad y procesos de detección y respuesta.

El cibercrimen evoluciona a la par que la Ciberseguridad, lo que obliga a los servicios de ciberinteligencia a adoptar la proactividad; invirtiendo en tecnología, procesos y personas capaces de analizar y de absorber información, convertirla en «inteligencia» y activarla en el tiempo oportuno.

En Ciberinteligencia se despliegan tácticas basadas en la proactividad para la ir al encuentro del ciberadversario, conocerlo en profundidad infiltrándose en el complejo mundo del cibercrimen o el hacktivismo.

Ransomware: el ciberenemigo público 2020

Todos los días son noticia los ataques ransomware a las multinacionales más prestigiosas, a infraestructuras críticas o sectores vitales para la humanidad (sanidad, suministros o financiero).

Las autoridades mundiales y nacionales lo tienen en su punto de mira, ya que las actuaciones perpetradas en los últimos meses de 2021 han supuesto pérdidas millonarias, parada de servicios esenciales y estado de alarma para la reputación de grandes firmas y organismos del estado.

Los servicios de Ciberinteligencia no le quitan ojo. Le otorgan el nivel más alto de peligrosidad en sus rankings. Las bandas de ransomware están provocando el cierre de muchas compañías y ya se habla de más de 350 millones de dólares recaudados por esta rama del cibercrimen en 2020 en EEUU (triplicando las cifras del año anterior).

Su peligrosidad viene dada por lo complicado o imposible que resulta recuperar la información que han cifrado los perpetradores, así como por la petición de rescates millonarios.

Recordemos que el ransomware es un tipo de código dañino diseñado para secuestrar datos, una forma de explotación en la cual el atacante cifra los datos de la víctima y exige un pago o rescate por la clave de descifrado. La cantidad exigida puede variar desde unos cientos de euros hasta miles o incluso millones.

Una vez que acceden a la organización víctima, los atacantes pasan días explorando e identificando los activos de mayor valor, a fin de provocar el mayor impacto. A continuación, despliegan el código dañino para exfiltrar y cifrar la información. En la modalidad conocida como Human Operated Ransomware, los ciberdelicuentes combinan el código dañino con otras herramientas que les permite persistir en la infraestructura.

Entre los ransomware más activos durante 2019-2020: Ryuk, BitPaymer, Clop, Conti, Ragnar, Dharma/CrySiS, Phobos, GrandCrab, Jigsaw, Katyusha, LockerGoga, PewCrypt, SamSam, STOP Ransomware, Revil/Sodinoki, Globelmposter o el recién desaparecido Maze.

El ransomware ha sido el tipo de código dañino más destructivo en la última década

CCN-CERT IA-13/20. Ciberamenazas y tendencias. Edición 2020.
 

Magnitudes Ransomware

Cifras

Más de 10.000 millones de dólares al año generados en daños directos por ransomware. (Cybersecurity Ventures)

Países europeos con mayor número de ataques: Alemania (8,05%), Italia (5,12%) y España (4,88%). (ENISA)

A nivel mundial, por regiones, las más afectadas son: Americas (62%), EMEA (29%) and JAPAC (9%)*.

Sube 171% el precio medio de los rescates exigidos, en 2020*.

El rescate más alto de 2020 sube un 50% respecto al año anterior*.

NetWalker lidera la lista de víctimas con un asombroso 33%*.

* Palo Alto Network. Ransomware Threat Report 2021. 

Consecuencias del ataque

Enormes pérdidas económicas, costes asociados a la detención del ataque así como por la petición de rescates millonarios.

Ataques a infraestructuras críticas. Siendo muy relevantes los ataques al sector sanitario en el último año.

Pérdidas de información, en muchos casos confidencial.

Costes derivados de la interrupción de las operaciones.

Secuestro o pérdida de activos esenciales para la actividad de la organización víctima.

Medidas preventivas y reactivas

La principal medida pasa por no pagar el rescate, desconectar redes y activos expuestos. Denunciarlo a las autoridades competentes de modo inmediato.

En 2018, CCN-CERT publicó un completo protocolo de actuación y medidas en: IA-11/18 – Medidas de seguridad contra ransomware.

Medidas preventivas

• Realizar copias de seguridad periódicas (backup).
• Actualizar periódicamente la primera línea de defensa: antivirus, parches de seguridad, antispam y configuración del firewall.
• Concienciación en ciberseguridad de los miembros de la organización, para salvar la vulnerabilidad del factor humano.
• Bloquear el tráfico relacionado con dominios y servidores C2, evitando la expansión del código dañino.
• Uso de bloqueadores de JavaScript para el navegador.
• Empleo de máquinas virtuales para evitar la infección por ransomware.

Medidas reactivas

A aplicar en el momento de la detección del ataque:

• Desconectar las unidades de red.
• Comprobar si el proceso dañino aún sigue ejecutándose.
• Finalizar la ejecución del proceso dañino.
• Arrancar el equipo en modo seguro.
• Realizar una copia de seguridad del equipo.
• Comunicar el incidente de seguridad a la autoridad competente.

Oleada de ataques 20-21

10 MAYO. GASODUCTO EEUU. Ataque a infraestructuras críticas

Ciberataque a una infraestructura crítica en Estados Unidos. Uno de sus principales gaseoductos, Colonial Pipeline, se vio obligado a cerrar una red de combustible debido a una incidencia de tipo ransomware. Su reparación ha sido una prioridad para las autoridades americanas, a fin de evitar paralizaciones más graves para un suministro que cubre desde Texas hasta New Jersey y que sirve a los principales aeropuertos de la geografía, como el de Atlanta.

Las autoridades ya atribuyen el ransomware a un nuevo grupo: DarkSide.

8 MAYO. Ayuntamiento de Oviedo.

Un software malicioso bloqueó el acceso a servidores y datos, obligando al consistorio a desconectar el resto del soporte y frenar la invasión. El ayuntamiento pidió ayuda al CNI.

4 MAYO. GLOVO. Datos de clientes y repartidores

Un ciberdelincuente logró acceder a los sistemas de la plataforma española de reparto a domicilio, Glovo, y ha puesto a la venta datos de sus clientes y repartidores. La compañía ha negado la posibilidad de que se hayan robado números de tarjetas de crédito.

24 MARZO. ACER

La tecnológica sufrió también un ataque de ransomware, recibiendo una solicitud de rescate récord de 50 millones de dólares. La más alta que se conoce hasta la fecha.

10 MARZO. SEPE (Servicio Público de Empleo Estatal)

El ataque perpetrado por Ryuk paralizó la tramitación de las prestaciones de la entidad. Días después seguía bajo su efecto devastador ya que afectó a sistemas de información y comunicaciones.

La ciberinteligencia tampoco pierde de vista...

• Ingeniería social: Es uno de los principales vectores de ataque. Los cibercriminales aprovechan el eslabón más débil en la infraestructura de seguridad de una organización: las personas. Métodos como el spear-phishing, basan su éxito en la suplantación de identidad de servicios/personas con las que la víctima tiene comunicación habitual.
• Botnets: O red de bots es un método de ataque por el que el ciberdelincuente consigue infectar una red de ordenadores (zombies) que podrá activar de modo automático y autónomo para controlar recursos o lanzar ataques.
• Ataques a sistemas de acceso remoto: En 2020 aumentaron este tipo de ataques. Estos sistemas han sido empleados como vector de entrada a redes corporativas. Se produjeron campañas globales en las que se lanzaron escaneos masivos, pero también de tipo APT, que han hecho uso de este tipo de explotación para acceder a las redes objetivo.
• Ataques a la cadena de suministro: También conocido como ataques a la cadena de valor o de terceros, son una amenaza emergente. Software comprometido, código robado o malware preinstalado en dispositivo son algunas de sus modalidades. Este tipo de ataque se diferencia por evadir controles y comprometer a proveedores, socios o clientes de la organización víctima.