Seguridad

Ransomware-as-a-Service: cómo DarkSide y otras pandillas ingresaron a los sistemas para secuestrar datos

Karen Roby de Tecnopedia conversa con el vicepresidente de ciberseguridad de Okta, Marc Rogers, sobre ransomware. A continuación se muestra una transcripción editada de su conversación.

Karen Robbie: Lo señalaré solo porque antes de grabar, dije: «Está bien, es viernes. Entraremos en el fin de semana». Como me dejaste claro, cuando estás en seguridad cibernética, no tienes mucho fin de semana. Es decir, es una cuestión de preocupación y funcionamiento de la empresa las 24 horas del día, los 7 días de la semana. Quiero decir que están pasando muchas cosas con este Marc.

Mirar: Política de respuesta a incidentes de seguridad (República Tecnológica Premium)

Marcos Rogers: Sí, en realidad a los malos les suele gustar que haya menos gente en la oficina. Entonces, es por eso que prosperaron durante la pandemia, porque hay muchas oportunidades en este momento porque las cosas están menos enfocadas y las personas están más dispersas. Los fines de semana, cuando a la gente le gusta ir a relajarse, son una buena oportunidad para que intenten atacarte.

Karen Robbie: Sí, ahí es cuando definitivamente encontrarán estos errores, estoy seguro, cuando en realidad no estamos jugando nuestros juegos. Obviamente, Marc, este es uno de los incidentes de ransomware más grandes que hemos visto en Colonial Pipeline en mucho tiempo, lo que le da a la persona promedio una mirada más cercana a lo que realmente sucede cuando sucede este tipo de cosas. Hable un poco sobre este tipo de evento. No conocemos los detalles del oleoducto de la colonia y qué salió mal, pero en general, ¿qué desencadena estos ataques? ¿Cómo suceden?

Marcos Rogers: El desafío es que existe un enorme ecosistema de ransomware. Lo que la gente puede no darse cuenta es que no es solo una pandilla la que hace esto. Hay toneladas de pandillas que han crecido hasta el punto de que, de hecho, grupos como DarkSide responsables del último ataque a Colonial ni siquiera son los atacantes. Están ofreciendo un servicio, están en el lado oscuro de Internet, están ofreciendo lo que se llama ransomware-as-a-service. Reclutan afiliados o básicamente subcontratistas que usan su plataforma y luego atacan a la empresa. Para DarkSide, si realmente inicia sesión en la infraestructura y la mira, eso es algo que nuestra comunidad de investigación está haciendo activamente, y lo están haciendo muy bien. Brindan soporte técnico a los afiliados que irrumpen en la empresa. Ofrecen controles de monetización para que los miembros puedan ingresar y ver cuánto se ha pagado y qué no, administrar fondos y más.

Básicamente, son como corporaciones y ese es el desafío con el ransomware en este momento: se ha movido de esta cosa oportunista a este comportamiento oportunista con algunos delincuentes dispersos por todo el mundo y esto básicamente significa que las operaciones como servicio de cualquier delincuente emprendedor pueden acceder. ransomware, que he visto por menos de $100, y lo uso para infectar cosas. Claramente, en el extremo inferior, estás hablando de algo que no es muy complicado. El problema es que no tiene por qué ser complicado. El equipo detrás de Colonial, el equipo DarkSide, no hizo nada muy sexy en ataque. Por lo general, ingresan a través de ataques de fuerza bruta a las contraseñas o mediante contraseñas filtradas, descubiertas a partir de infracciones o de vulnerabilidades de software conocidas que se han revelado durante mucho tiempo y probablemente deberían parchearse. Así que básicamente se están aprovechando de los débiles.

LEER  Google finalmente duplica la seguridad con actualizaciones mensuales de Android

Karen Robbie: Sí, es como pescar en un balde cuando hacen este Marc. Quiero decir que simplemente salen y ven dónde pueden penetrar.

Mirar: Cómo administrar contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (República tecnológica)

Marcos Rogers: Eso es absolutamente cierto, tenemos muchas pruebas de que los afiliados detrás de DarkSide escanean Internet en busca de empresas con sistemas abiertos con vulnerabilidades antiguas conocidas. Porque saben que cuando encuentran una empresa con una vulnerabilidad antigua conocida, les dice mucho. Les dice, A, que hay una forma de entrar, pero también les dice, B, que puede haber malas prácticas dentro de la empresa. Les dice, C, que la compañía no estará preparada para su ataque. Entonces, la última parte de la ecuación es que juzgan si se trata de un objetivo de alto valor. Si es un objetivo de alto valor, entrarán e infectarán la red. Intentan entrar en toda la red tanto como sea posible y hacerse cargo de tantos sistemas como sea posible. Buscan copias de seguridad y las cifran. Luego bloquean, de hecho, también roban datos, porque les gusta presionarte sobornándote para chantajearte con los datos que roban. Luego cifran la red y emiten demandas.

Karen Robbie: Uf, mucho. Mucho, Marcos. Por ejemplo, hablamos de nuestra cadena de suministro, y me refiero a que hay muchas capas aquí que pueden ser catastróficas todo el tiempo.

Marcos Rogers: Estoy totalmente de acuerdo. Creo que, para mí, Colony es interesante porque muestra algunos de nuestros desajustes en infraestructura crítica. Los sistemas industriales coloniales no se vieron afectados. Están protegidos por la red de la empresa, por lo que el ransomware no entró allí ni causó ningún problema. Pero lo que no tiene en cuenta es que no importa si estos sistemas de control son seguros o no, si ninguna empresa real puede operar, no hay nadie para operarlos, por lo que no puede funcionar. Entonces, al eliminar todas las partes operativas de Colonial, debilitaron la capacidad de operación de la empresa y obligaron a la empresa a cerrar. Esto significa que tenemos que reevaluar lo que consideramos infraestructura crítica. Ahora tenemos que incluir todo lo que sea crítico para ejecutar algo crítico e infraestructura crítica. Y creo que vamos a tener que volver a la mesa y comenzar a trabajar en muchos sistemas diferentes que ahora están vinculados a otros sistemas que tienen una nueva luz.

Karen Robbie: Entonces, ¿qué hacemos, Marcos? Hablamos mucho sobre si dice contraseñas comprometidas o esto o aquello, hay humanos en el otro extremo de muchos de estos, solo hay mucho que puede hacer para esperar que tengan una contraseña segura o la cambien o dos factores autenticación. Quiero decir que todavía hay gente involucrada y la gente comete errores. ¿Qué vamos a hacer? ¿Cómo podemos protegernos mejor?

Mirar: Ataque de ransomware: por qué las pequeñas empresas están pagando $ 150,000 en rescate (República tecnológica)

Creo que lo siguiente es que incluso las pequeñas empresas deben ser conscientes de que pueden ser víctimas de estas pandillas de ransomware porque a los afiliados que operan detrás de este ransomware como servicio no les importa a quién atacan. Algunos de ellos quieren ganar mucho dinero, como los afiliados de DarkSide que persiguen más de 5,10 millones de rescates, pero a otros no les importa. Solo quieren decenas o miles de dólares. Cualquiera puede ser el objetivo, así que reconozca que usted puede ser la víctima. EE:

Lo siguiente es darse cuenta de que la higiene de seguridad básica en realidad puede marcar una gran diferencia. Mencionaste cambiar contraseñas y esas cosas, eso es parte de eso. Toda empresa necesita algún tipo de programa de seguridad de la información. Así que asegúrese de que las contraseñas de sus empleados no se filtren y no se reutilicen. Algo simple como esto va un largo camino. Habilitar la autenticación multifactor o la autenticación de dos factores en realidad haría que el trabajo de un equipo como DarkSide fuera increíblemente difícil porque entonces no podrían forzar contraseñas brutas, por lo que tendría un efecto significativo. y corregir errores.

El desafío para nosotros es que creo que las grandes empresas tienen los recursos para hacer esto fácilmente, pero a las pequeñas les resultará difícil. ¿Qué harías si fueras una empresa de 10 o 20 personas y ni siquiera tuvieras un equipo de seguridad? Diría que se comunique y encuentre recursos que puedan ayudarlo, porque al final el costo de lidiar con una de estas instancias será mucho mayor que el costo de tener un proveedor de servicios de seguridad administrados.

Piense en ello como un problema legal. Tienes un abogado para contratar un abogado para tu negocio, y también contratas un abogado para tus guardias de seguridad.

Karen Robbie: Cambiaremos y nos centraremos principalmente en las grandes empresas. ¿Cree que a ese nivel, cuando se trata de ciberseguridad, más de ellos se unirán al CSO o agregarán al CSO o al menos algún tipo de experto en ciberseguridad a su junta? Quiero decir, en la alta dirección, ¿estamos viendo más?

Marcos Rogers: Lo estamos, pero está fragmentado. Entonces, si observa todo el ecosistema, hay algunas industrias que están muy por delante. Al igual que la industria de Internet, todas las empresas que operan en este espacio tienden a ir más allá porque están muy centradas en la ingeniería de software y han aprendido de experiencias pasadas brutales. Pero también hay industrias como la construcción que realmente no se ven amenazadas por este tipo de cosas. Pero lo que tenemos que aceptar ahora es el Internet de las cosas, que incluso el sistema de administración de su edificio podría estar conectado a Internet de alguna forma, lo que significa que podría ser una víctima.

Mirar: El proveedor de Apple Quanta golpeado por un ataque de ransomware de $ 50 millones de REvil (República tecnológica)

La industria automotriz ha pasado por la misma experiencia. En 2015, pirateé un Tesla Model S para demostrar que era posible piratear electrónicamente el automóvil y tomar el control. La industria automotriz ha hecho mucho para mejorar lo que está haciendo y está avanzando. Pero me temo que hay muchas otras industrias que no reconocen esto. Entonces, todos debemos unirnos y reconocer que cualquiera puede ser una víctima y debemos tomar medidas de seguridad integrales. Lo mismo se aplica dentro de nuestra empresa. No puede segmentar la seguridad y esperar que un programa inconexo brinde una buena cobertura.

Karen Robbie: Mark, esto obviamente tiene mucho que ver y muchos tipos malos están ganando mucho dinero haciendo esto. Como mencionaste, puede ser una pequeña empresa. Me refiero a $10,000 o $100,000 de rescate. En la mayoría de los casos, es más fácil para ellos pagar que intentar solucionar el problema. Necesitan acceso a sus sistemas, necesitan sus datos. Quiero decir que es realmente aterrador.

Marcos Rogers: Sí, da miedo. Uno de mis trabajos secundarios es que fui uno de los fundadores de CTI Alliance, una organización que ha estado defendiendo la atención médica durante la pandemia. Vemos muchas instalaciones, instalaciones médicas atacadas por ransomware, realmente estás hablando de vida o muerte allí. Cuando un hospital cierra y se ve obligado a usar lápiz y papel para la cirugía, la vida de las personas pende de un hilo. Entonces puedo entender que la empresa necesita tomar decisiones difíciles.

Esa es una de las razones por las que me alegra ver que el gobierno actual está trabajando en ello y lo está convirtiendo en una prioridad principal, porque es realmente el flagelo de nuestra industria moderna. Necesitamos encontrar una manera de arreglar esto, terminarlo y hacerlo tan doloroso para los criminales que intentarán algo diferente.

20230531 oktaransom karen
Karen Roby de Tecnopedia conversa con el vicepresidente de ciberseguridad de Okta, Marc Rogers, sobre ransomware.
Imagen: Mackenzie Burke

LEER  Seguridad de confianza cero: tómelo con calma para crecer, dicen los expertos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba