Cómo responder a un ataque de ransomware y cómo negociar un rescate

  • Las empresas estadounidenses sucumben a un ataque de ransomware en promedio cada 11 segundos, y es costoso.
  • El fundador y director ejecutivo de la firma de ciberseguridad GroupSense, Kurtis Minder, compartió cómo manejar un ciberdelito.
  • No debe haber interacción con el atacante, dejar intactas las computadoras afectadas y empezar a negociar.

Según un estudio de 2019 de Cybersecurity Ventures y Cisco, las empresas estadounidenses son víctimas de un ataque de ransomware cada 11 segundos, lo que significa que miles de pequeñas y medianas empresas se enfrentarán a este ciberdelito.

Si su empresa es víctima de un ataque de ransomware, es probable que no tenga que desembolsar 4.4 millones de dólares como el propietario de Colonial Pipeline, ¿o sí?

Para saber cómo proceder en un ataque de ransomware, así como conocer consejos sobre cómo salir de la situación con la menor cantidad de daño posible, Insider recurrió a Kurtis Minder, fundador y CEO de GroupSense, una empresa de ciberseguridad con sede en Arlington, Virginia.

El ataque de ransomware comienza con un apagado y una nota

En GroupSense, existe tal demanda de servicios de respuesta de ataque de ransomware que han agregado una línea directa que se destaca en la portada de su sitio web. 

Nadie escapa de un ataque de ransomware, dijo Minder a Insider.

«Hacemos un buen número de estos y las empresas varían en tamaño, desde firmas muy grandes y conocidas que cotizan en Nasdaq hasta tintorerías locales», dijo Minder. 

«Hay tantos de ellos que son tan pequeños, simplemente hacemos el trabajo pro bono», agregó.

Una empresa de 70 empleados, en la industria de imágenes, contrató a GroupSense para ayudar con el ciclo completo del proceso de remediación.

De propiedad independiente, la empresa tiene dos oficinas, una en California y otra en América del Sur. Debido a su trabajo en el espacio de imágenes, administróa un conjunto de datos robusto, «probablemente terabytes», dijo Minder.

Para empezar, hubo un cierre general que se muestra con frecuencia en un ataque de ransomware se describen en los medios. 

«El personal llegó un lunes y no pudieron ingresar a ninguno de los sistemas. Todo arrojaba errores, y eso incluía no solo sus computadoras de escritorio sino también sus servidores de archivos, todo estaba bloqueado», dijo Minder.

A medida que avanzaba la mañana, la persona más técnicamente capacitada en la oficina de la sede, la que hizo todo el trabajo en red, miró más de cerca. 

«Esa persona pudo ingresar a uno de sus servidores de archivos en modo seguro, donde encontró que todos los archivos estaban bloqueados, pero encontró un texto de rescate en el escritorio», dijo Minder.

La nota de rescate al secuestro de datos

Minder le dijo a Insider que la mayoría de las notas de rescate que ve son bastante similares entre los diferentes grupos de ransomware, las «pandillas» que perpetran estos delitos.

Dijo que generalmente primero brindan una serie de advertencias sobre lo que la víctima no debe hacer, incluido el intento de reparar o descifrar los archivos. 

Luego, según Minder, los atacantes generalmente analizarán la situación, advirtiendo a la empresa que sus copias de seguridad también se ven afectadas, que debe ponerse en contacto dentro de24 horas y ofreciendo un descuento.

La nota concluirá con un sitio de la dark web, donde tendrán lugar las interacciones con el actor de la amenaza.

El objetivo es cortar el acceso de la empresa

Como en la mayoría de los casos, los actores de amenazas también bloquearon las copias de seguridad de la empresa, aunque fueron generadas por un servicio automatizado y residían en la nube.

«El ‘malo’ podía ver eso y también cifraron esas copias de seguridad», dijo Minder. 

«Se han vuelto bastante buenos buscando evidencia de esos diferentes tipos de copias de seguridad antes de salir del sistema y básicamente interrumpir eso también». 

Minder agregó que si los actores de amenazas no pueden cifrar los archivos de respaldo de un objetivo, a menudo simplemente los eliminarán, logrando el mismo propósito: cortar el acceso de la empresa.

Minder dijo que generalmente hay una cosa más en el texto del rescate cuando se descubre por primera vez: no le dirán cuánto están pidiendo, pero el grupo de ransomware con el que está tratando le dará su nombre.

 «Por alguna razón, son muy importantes en su marca», dijo Minder.

De vuelta en la oficina de California, con toda su red informática bloqueada, la víctima investigó un poco y se puso en contacto con GroupSense. 

Minder dijo que lo más importante que debe hacer en este punto es resistirse a ir a la dirección de la dark web.

Pagar o no pagar el rescate, ahí el dilema

Cuando Minder comenzó a trabajar en el caso con su equipo, su primer paso fue tener una conversación con el dueño de la empresa sobre sus intenciones con respecto al rescate. 

Minder dijo que hay varias cosas a tener en cuenta al hacer esta evaluación.

«No se trata sólo de la cantidad de negocios que está perdiendo», dijo.

La mayoría de los actores de amenazas no solo están encriptando los archivos, sino que también están amenazando con filtrar esos archivos, y ese es otro factor.

¿Puede recuperarse con éxito reconstruyendo sus servidores y restaurándolos de alguna manera para no tener que pagar un rescate?

¿Y si sigue ese camino, está de acuerdo con que los actores de amenazas descarguen esos datos y expongan potencialmente a sus clientes?

Minder dijo que este propietario en particular decidió que no quería arriesgarse con la seguridad de los datos de sus clientes y también quería que sus servidores se respaldaran lo antes posible.

¿Cómo se procede para llegar a la dark web, que piden en un ataque de ransomware?

Fue en ese momento que el equipo de Minder fue al sitio en a la dark web en su nombre. 

Lo que encuentran cuando llegan allí varía según el grupo involucrado, dijo, pero en el caso de esta empresa que fue atacada, que era relativamente pequeña, el rescate se fijó en aproximadamente 15,000 dólares.

Minder dijo que generalmente también hay un temporizador en el sitio, que comienza la cuenta regresiva en el momento del primer inicio de sesión. 

En este caso, el temporizador se estableció en seis días. «Hay una amenaza: dice que si no paga en este momento, duplicamos el precio y comenzamos a filtrar sus datos. Eso está diseñado para crear una falsa sensación de urgencia en la víctima», agregó.

Mientras su equipo está en la dark web, obteniendo la información inicial del actor de amenazas a través de un enlace de chat que generalmente está disponible en la página, se pueden tomar algunas determinaciones sobre el grupo de ransomware. 

El hecho de que generalmente provienen de un puñado de países (Rusia, Bielorrusia, Moldavia, Turquía, Bulgaria, Ucrania y algunos otros) no es ningún secreto. Pero hay más que aprender.

¿Cómo se empieza a negociar?

La mayoría de estos acuerdos se negocian en moneda cibernética, generalmente Bitcoin o Etherium y, a veces, Monero, dijo Minder. 

Para aceptar un pago, el actor de las amenazas debe proporcionar una identificación de billetera cibernética correspondiente a su método de pago preferido. 

Una vez que el equipo de Minder tiene esa identificación de billetera, verifican su origen en un programa llamado (Kaspersky) CyberTrace, que no solo puede proporcionar antecedentes adicionales sobre los atacantes, sino también posibles municiones de negociación.

«Verificamos si está en la lista prohibida de la OFAC (Oficina de Control de Activos Extranjeros) (del Tesoro de EU) y para asegurarnos de que no haya realizado transacciones con otras billeteras que están en esa lista», dijo Minder. 

«A veces podemos ver los montos de las transacciones, lo que nos da una idea de cuántas transacciones están haciendo y por cuánto, y eso nos da una idea de cuánto podrían aceptar por un monto de liquidación».

Mientras continúan las negociaciones, es importante dejar las computadoras afectadas en paz 

«En este caso, no había ninguna razón para que sus empleados fueran a la oficina porque literalmente nada funcionaba. Fueron cerrados», dijo Minder. 

«Mi recomendación en todos los casos es que contraten a una empresa de respuesta a incidentes local adecuada y esa empresa de respuesta a incidentes probablemente le dirá de inmediato: ‘No toque nada’. Necesitan la evidencia forense para averiguar qué sucedió y el alcance del daño «.

Los factores clave para trabajar con éxito con el grupo de ransomware son la cantidad de tiempo que una empresa puede vivir sin los archivos en cuestión y las conversaciones claras y coherentes del negociador profesional con el actor de la amenaza.

«En cualquier negociación, la demora intencional, alargando el plazo, casi siempre ayuda», dijo Minder. 

Dijo que si bien su equipo generalmente puede concluir un evento de ransomware en dos semanas, en este caso, la empresa atacada no estaba experimentando una presión financiera indebida, por lo que pudieron trabajar a un ritmo más pausado.

Aborda las conversaciones con el delincuente como una transacción comercial 

En este caso, le informaron al atacante que estaban presentes en la negociación y escucharon y que tenían la intención de negociar un trato, pero que el plazo establecido no era realista y explicaron por qué. 

«Cuando se trata de una empresa profesional con la que están familiarizados con la negociación del trato, la mayoría de los actores de amenazas no tienen ningún problema con eso», dijo.

Con eso, las dos partes pudieron llegar a un acuerdo sobre un precio. 

Mientras que el equipo de Minder transfirió el dinero del cliente a la criptomoneda, Minder pidió lo que se llama «prueba de vida».

«Les enviaremos un par de archivos cifrados y los ‘malos’ los devolverán sin cifrar para demostrar que tienen la capacidad para hacer esto», dijo Minder. 

«Entonces, acordaremos que transferiremos los fondos, y lo incluiremos en un acuerdo que es casi legal en su lenguaje; a cambio de esta cantidad de dinero, pedimos un montón de cosas, incluido que ellos vamos a descifrar los archivos, decirnos cómo llegaron a la red y otras cosas.»

¿Cómo se realiza una transferencia?

El siguiente paso en el proceso fue enviar una transferencia de prueba de una pequeña cantidad aleatoria de dinero a la billetera del grupo de ransomware.

«Lo que no desea hacer es transferir el dinero y luego hacer que afirmen que no lo recibieron», dijo Minder. 

Luego, el ejecutivo preguntó al grupo qué cantidad se envió y, cuando coincidió, transfirieron el dinero.

El grupo envió los descifradores, y el equipo de Minder se aseguró de inmediato de que los ciberdelincuentes no estuvieran armados de ninguna manera, lo que significa que no llevaban más malware. 

A continuación, los cibercriminales se transmitieron al cliente.

Minder dijo que, en general, GroupSense puede reducir el precio inicial de venta del grupo de ransomware en un 40% o más. En este caso, sin embargo, la empresa pagó considerablemente menos.

«La solicitud original en este caso estaba en el rango de 15,000 dólares, y la compañía realmente pagó alrededor de 2,500 dólares para recuperar sus datos», dijo Minder.

En cuanto a cómo el grupo de ransomware había ingresado al sistema de la compañía en primer lugar, Minder dijo que alguien en la compañía había abierto un puerto de escritorio remoto para que uno de los propietarios de la compañía pudiera ingresar a la red de forma remota y no aseguró eso.

El experto dijo que este ha sido el escenario que ha llevado a muchos, si no a la mayoría, de los ataques de ransomware a pequeñas empresas que GroupSense ha visto, especialmente desde el inicio de la pandemia cuando tanta gente ha estado trabajando desde casa.

Cuáles son las estrategias expertas para afrontar los ataques

Es instinto recurrir a Google en busca de ayuda en una emergencia, pero Minder dijo que eso puede generar problemas. 

«Hay muchas estafas por ahí. Algunas parecen ser legítimas, afirman poder descifrar archivos, pero en realidad no pueden, y terminan defraudando por más dinero», dijo.

Añadió que definitivamente debería pasar por alto cualquier empresa que ofrezca garantías de descifrado rápido y estricto.

Minder también dijo que ha visto a personas que no son profesionales cometer errores como antagonizar a los operadores de ransomware, mentir sobre su negocio o situación financiera o ser, en general, deshonestos. 

Jugar juegos, presionar los botones de los criminales e intensificar la línea de tiempo falsa coloca las negociaciones en un camino que es muy difícil de revertir. 

Minder enfatizó que los relojes de cuenta regresiva omnipresentes están diseñados para que las personas actúen rápidamente, pero que normalmente no hay ningún beneficio al pagar rápidamente. 

«Siempre que estemos negociando de buena fe con el criminal, normalmente podemos reducirlo en más que el descuento, fácilmente y, a veces, mucho, mucho más», dijo.

Por otro lado, la velocidad puede funcionar a su favor cuando el actor de la amenaza tiene una acumulación de clientes, dijo Minder. 

«Probablemente estén manejando 30, 40, 50 de estas víctimas a la vez, por lo que también son de naturaleza muy transaccional: quieren moverse rápido, quieren terminar de una vez. A veces eso también puede funcionar a su favor ,» concluyó.

AHORA LEE: La ciberseguridad en las pymes: la prevención y qué hacer tras un ataque

TAMBIÉN LEE: Los métodos de ciberseguridad que realmente marcan la diferencia, y los que pueden ser una pérdida de tiempo, según un estudio de Cisco

Descubre más historias en Expertos en Línea

Síguenos en FacebookInstagramLinkedIn y Twitter