OpiniónSeguridad

El ataque a Colonial evidencia la fragilidad de las infraestructuras críticas

Bogdan Botezatu, director de Investigación e Informes de Amenazas en Bitdefender.

El ataque contra la infraestructura de Colonial Pipeline es otro duro recordatorio de lo frágil que puede llegar a ser la infraestructura crítica cuando es atacada por ransomware. Desde agosto del año pasado, los operadores de Darkside se han vuelto cada vez más activos y han comenzado a señalar nombres relevantes en una amplia gama de sectores, lo que ha culminado con ataques contra operadores de infraestructura crítica. Darkside también comenzó a reorganizar el negocio del ransomware adoptando tácticas novedosas, como crear un centro de prensa en su sitio web para anunciar las próximas filtraciones y alentar a los periodistas a ponerse en contacto con ellos, cerrando asociaciones con empresas sospechosas de recuperación de datos y ayudando a las víctimas a disfrazar los pagos del ransomware como tarifas de recuperación de datos y donaciones a organizaciones benéficas.

Los ataques de perfil elevado atraen más atención hacia el grupo, ya que tienden a ser mejores y difundidos por los medios de comunicación.

Desde el lanzamiento en enero de nuestro descifrador Darkside gratuito, hemos notado un mayor número de empresas y firmas de MSP que nos contactan para obtener ayuda con el descifrado, un sólido indicador de que los ataques dirigidos se han vuelto más frecuentes y efectivos.

Este incidente no es el primero y no será el último, ya que la infraestructura crítica de EEUU se extiende por todo el continente y depende de ingenieros en lugares remotos para iniciar sesión y realizar el mantenimiento cuando sea necesario. Es común que los operadores de ransomware investiguen las redes en busca de dichos puntos de entrada o incluso compren credenciales de phishing para instancias de escritorio remoto que pueden usar para realizar un ataque. La infraestructura crítica se está volviendo cada vez más atractiva para los operadores de ransomware, particularmente para aquellos que están involucrados en esquemas de Ransomware-as-a-Service, debido a varias razones.

Los ataques de perfil elevado atraen más atención hacia el grupo, ya que tienden a ser mejores y difundidos por los medios de comunicación. Esto aumenta su reputación a medio plazo y agrega un punto de presión adicional sobre las víctimas para que paguen más rápido. En el espacio RaaS, esta reputación es aún más importante: cuantas más víctimas compromete un grupo, más interés tienen los afiliados para unirse a su equipo y compartir los ingresos ilícitos, obtenidos a través de la extorsión.

Por último, pero no menos importante, la competencia entre los operadores de ransomware es feroz, con hasta 15 nuevas familias de ransomware que aparecen cada mes. Los usuarios víctimas con una precaución deficiente de la ciberseguridad podrían encontrar sus datos cifrados por docenas de familias, cada una de las cuales exigiría una cantidad significativa de criptomonedas por eliminar cada capa de cifrado. Cuando se enfrentan a la posibilidad de pagar tarifas de descifrado para varias familias de ransomware, solo para recuperar un par de imágenes y documentos importantes, algunos afectados rechazarán el pago y restaurarán las copias de seguridad. Sin embargo, dado que las empresas no pueden permitirse perder datos o cerrar operaciones críticas, sin mencionar el posible chantaje y las multas regulatorias, estarán más abiertas a la negociación.

La situación actual con Darkside y Colonial Pipeline muestra, una vez más, que la protección y la prevención son factores clave y que una prueba perdida puede tener consecuencias nefastas no solo para el negocio en cuestión, sino también para la economía local o global.

 

Computing 803