CONTACTO
Claves ante extorsiones de ciberdelincuentes

Claves ante extorsiones de ciberdelincuentes

por | May 27, 2024 | Tanium

Ciudad de México. 27 de mayo de 2024.- Tanium, proveedor líder de la industria de administración convergente de terminales (XEM), señala que la preparación es fundamental en todas las facetas de la ciberseguridad, y el ransomware es simplemente otro disruptor de las operaciones. Tratar el ransomware como se haría con la escasez de personal o la desconexión de la red, donde existen planes en casos de escenarios catastroficos, es la única forma de manejar con éxito los cada vez más sofisticados ataques.

Por eso es tan importante que las organizaciones no se limiten a esperar a que se produzca un ataque para decidir si pagan o no una extorsión de los ciberdelincuentes. Es necesario contar con un manual de procedimientos detallado que explique paso a paso qué hacer y las personas que deberán estar involucradas  y tendrán acceso y comunicación con el equipo que mitiga el problema.

Para Tanium, este manual deberá responder a cuestiones como si el posible pago de un rescate viola el código de ética o los valores fundamentales de la empresa; si es más beneficioso para la empresa pagar; cuál sería la cantidad correcta y si es realmente legal pagar el rescate.

“Comprender el radio de daño del ransomware, o el impacto que tendrá un ataque en una organización, será clave para determinar cómo manejar la situación. Esto es exclusivo de cada organización, pero si una empresa está preparada y se realiza una copia de seguridad de sus datos en consecuencia, no hay absolutamente ninguna razón para pagar una extorsión”, señaló Tim Morris, Jefe de Seguridad de Tanium.

Un paso que puede parecer obvio, pero que en ocasiones las empresas pasan por alto, es verificar que efectivamente se sufrió un ataque. No es raro que los ciberdelicuentes fanfarroneen, y poder denunciarlos puede cambiar completamente el contexto, incluso optar por ignorarlos y seguir adelante por completo.

Por otra parte, si efectivamente la empresa fue atacada y sus archivos fueron cifrados, la dinámica de cómo abordar la situación depende en gran medida de quién participa en la estrategia de respuesta a incidentes: representantes del equipo ejecutivo, asesores legales externos e internos, una aseguradora cibernética y equipos de comunicaciones. Es mejor evitar que los ejecutivos negocien solos (de así haberlo decidido la empresa), y también es importante determinar quién se encargará de los esfuerzos para mantener al equipo alineado en el mejor curso de acción.

Tanium afirma que en una negociación hay algunas cosas que debe determinar: como si algún dato privado o confidencial se ha visto comprometido; qué banda cibernética está involucrada; de qué manera los datos volverán a estar en línea después de que se resuelva el pago; si las autoridades tienen claves de descifrado disponibles de ataques anteriores, por mencionar algunas. Comprender el ataque e iniciar un diálogo con el ciberdelincuente permitirá negociar un mejor acuerdo o comprender cuándo el amenazante está exagerando su poder.

 Prepararse para el cambio es inevitable

Para Tanium, la evolución del software y el aumento de la Inteligencia Artificial (IA) generativa están haciendo que el ransomware sea más sofisticado que nunca. Los grandes modelos de lenguaje (LLM) incluso están siendo contaminados para que los ciberdelincuentes puedan convertir un ataque externo en una amenaza interna, por lo que la clave para una negociación exitosa es apegarse al manual.

“La fuerza de una estrategia de negociación y respuesta no debería depender del ataque en sí. El arte de la negociación es atemporal y se adapta a los constantes cambios del panorama de la ciberseguridad. Con el tiempo, podríamos ver un mundo en el que la falta de pago sea la única respuesta y el ransomware se vuelva obsoleto. Desafortunadamente, ese no es el caso en la actualidad, y todas las organizaciones deben estar preparadas para el día en que sean atacadas y quizá se vean obligadas a pagar”, finalizó Morris.

 

Manual de Procedimientos y preparación.
Descargar PDF
Tanium previene de la extorsión doble y triple de ransomware

Tanium previene de la extorsión doble y triple de ransomware

por | Ene 26, 2023 | Tanium

Ciudad de México. 26 de enero de 2023.- Tanium, proveedor líder de la industria de administración convergente de terminales (XEM) de la industria, señala que tras ser golpeada por un ataque de ransomware, en muchos casos, los delincuentes aún tratan de extorsionar a una empresa no obstante haya pagado el rescate. Las extorsiones dobles e incluso triples son cada vez más comunes y los ciberdelincuentes ahora exigen pagos adicionales para evitar que se filtre la información privada capturada en sus ataques. 

En los ataques de ransomware tradicionales, los atacantes secuestran y cifran datos valiosos para obligar a las organizaciones a pagar un rescate a cambio de la restauración segura de los datos y la funcionalidad de la red. Los CISO (Chief Information Security Officer) han respondido adoptando protecciones cibernéticas más sólidas, como la creación de copias de seguridad externas seguras y la segmentación de sus redes, no obstante los atacantes han evolucionado rápidamente para superar estos métodos de administración. 

Una extorsión, dos extorsiones, tres

Durante el último año, los atacantes se dieron cuenta del valor que las organizaciones otorgan a no divulgar su información confidencial públicamente: el impacto en la marca y la reputación a veces puede ser tan dañino como el bloqueo, tener archivos y sistemas expuestos. Aprovechando lo anterior, los atacantes comenzaron a agregar la amenaza de filtrar datos confidenciales como seguimiento de ataques de ransomware exitosos o incluso fallidos cuando las organizaciones podían usar copias de seguridad para restaurar sus sistemas.

Con la doble extorsión siendo tan exitosa, los atacantes no se detuvieron ahí y, en casos de triple extorsión, los atacantes amenazan con divulgar datos sobre socios y clientes intermedios para extraer pagos de rescate adicionales, lo que podría poner a la organización inicial en riesgo de demandas o multas.

“La única defensa real contra la doble y triple extorsión es asegurarse de que los atacantes no tengan acceso a la información más confidencial. La principal prioridad debe ser categorizar los datos críticos para que, cuando los ciberdelincuentes superen las primeras líneas de defensa, no puedan robar los elementos más valiosos. Este proceso de supervisión implica restringir el acceso a los datos y a las herramientas que interactúan directamente con ellos”, externó Miguel Llerena, vicepresidente para Latinoamérica de Tanium.

Los efectos paralizantes de un ataque de ransomware pueden ser devastadores para cualquier negocio. Pero ahora hay mucho más en juego debido a la superficie de ataque ampliada que amenaza el ecosistema extendido de socios, clientes e inversores de una empresa. Como resultado, todas las organizaciones deben desarrollar un plan de acción para defender sus datos y protegerse no solo de los ataques iniciales de ransomware, sino también de las maniobras dobles y triples de ransomware”, concluyó Llerena.

Tanium señala que cuantos menos puntos de acceso, más fácil será proteger los datos y hace algunas recomendaciones:

  • Saber dónde se ubican los datos y adoptar soluciones con alertas en tiempo real que muestren cuándo se guardan, transfieren o almacenan datos confidenciales de forma insegura. Cuando se enfocan los esfuerzos en proteger la información más crítica, ayuda a limitar las alertas y se determina exactamente quién y qué interactúa con esos datos.
  • Mantenerse informados de los riesgos dinámicos asociados con los nuevos dispositivos que ingresan a una red cuando los empleados se incorporan o cuando los dispositivos asociados con exempleados deben tener acceso o se deben eliminar las credenciales.
  • Establecer una comprensión básica del «comportamiento normal» en el entorno para detectar cuando algo adverso o anormal está en proceso.

Si aún con lo anterior se experimenta una violación de seguridad, hay que asegurarse de limitar las posibilidades de los atacantes de acceder a datos privados:

  • Cambiar de forma controlada las contraseñas usadas que puedan estar asociadas con sistemas comprometidos.

      • Verificar que la información de la infracción provenga de una fuente legítima, ya que los correos electrónicos comprometidos pueden parecer oficiales  cuando en realidad son fraudulentos.

     • Garantizar que los esfuerzos de recuperación vayan más allá de «borrar y volver a generar imágenes» para incluir verificaciones exhaustivas que encuentren signos residuales que estuvieran comprometidas.

      • Identificar los puntos de acceso iniciales que fueron violados para evitar la reintroducción del vector de ataque durante los esfuerzos de recuperación.

«Los efectos paralizantes de un ataque de ransomware pueden ser devastadores para cualquier negocio. Pero ahora hay mucho más en juego debido a la superficie de ataque ampliada que amenaza el ecosistema extendido de socios, clientes e inversores de una empresa. Como resultado, todas las organizaciones deben desarrollar un plan de acción para defender sus datos y protegerse no solo de los ataques iniciales de ransomware, sino también de las maniobras dobles y triples de ransomware”, concluyó Llerena.

Descargar PDF