Noticias Tecnológicas

Por qué a los piratas informáticos de ransomware les encanta un fin de semana festivo

Agrandar / Gah, ¿no te pierdes un viaje sin estrés?

Klaus Vedfelt / Getty Images

El viernes, que fue el fin de semana del Día de los Caídos este año, fue el gigante del procesamiento de carne JBS. El viernes anterior al 4 de julio, fue la empresa de software de gestión de TI Kaseya y, por lo tanto, más de mil empresas de varios tamaños. Queda por ver si también habrá una crisis de ransomware de alto perfil el Día del Trabajo, pero una cosa está clara: los piratas informáticos aman las vacaciones.

A los piratas informáticos de ransomware también les encantan los fines de semana regulares. ¿Pero uno largo? ¿Cuando todos están pasando el rato con familiares y amigos evitando ansiosamente cualquier cosa relacionada con la oficina? Eso es lo bueno. Y aunque la tendencia no es nueva, una advertencia conjunta del FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad esta semana subraya cuán grave se ha vuelto la amenaza.

El atractivo para los atacantes es bastante sencillo. El ransomware puede tardar un tiempo en propagarse por la red, ya que los piratas informáticos trabajan para escalar los permisos y obtener el máximo control sobre la mayoría de los sistemas. Cuanto más tarde alguien en darse cuenta, más daño puede hacer. «Generalmente, los actores de amenazas implementan su ransomware cuando es menos probable que haya gente cerca para desconectarse», dijo Brett Callow, analista de amenazas de la compañía antivirus Emsisoft. «La menor probabilidad de que el ataque sea detectado e interrumpido».

Incluso si se detecta relativamente pronto, muchos de los responsables pueden estar junto a la piscina, o al menos ser más difíciles de alcanzar que un martes por la tarde normal.

«Tiene sentido intuitivamente que los abogados defensores estén menos alerta durante las vacaciones, en gran parte debido a la reducción de personal», dijo Katie Nickels, directora de inteligencia de la firma de seguridad Red Canary. «Si ocurre un incidente importante durante las vacaciones, puede ser más difícil para los abogados defensores proporcionar el personal necesario para responder rápidamente».

Son estos importantes incidentes los que probablemente llamaron la atención del FBI y CISA; Además de los incidentes de JBS y Kaseya, el devastador ataque al Colonial Pipeline tuvo lugar el fin de semana del Día de la Madre. (No es un fin de semana de tres días, pero está planeado para las máximas molestias). Las autoridades dijeron que no tenían «informes de amenazas específicas» de que un ataque similar tendría lugar el fin de semana del Día del Trabajo, pero no debería ser una sorpresa cuando lo entiendes lo hace.

También es importante recordar que el ransomware es una amenaza constante, y por cada escasez de gasolina que aparece en los titulares, hay docenas de pequeñas empresas que intentan enviar bitcoins a los ciberdelincuentes en un momento dado. Las víctimas informaron 2.474 incidentes de ransomware al Centro de Quejas de Delitos en Internet del FBI en 2020, un 20 por ciento más que el año anterior. Según los datos de IC3, los requisitos de piratería se han triplicado en el mismo período. No todos estos ataques se centraron en fines de semana de tres días y feriados de Hallmark.

De hecho, los fines de semana son generalmente populares entre los delincuentes, como admiten la CISA y el FBI. Callow señala que los envíos a ID Ransomware, un servicio desarrollado por el investigador de seguridad Michael Gillespie que le permite cargar notas de rescate o archivos cifrados para averiguar exactamente qué lo golpeó, tienden a aumentar los lunes cuando las víctimas regresan a sus oficinas están cifradas para encontrar sus datos. .

La sincronización estratégica de los piratas informáticos también adopta otras formas. Los ataques a las escuelas disminuyen drásticamente a fines de la primavera y el verano, dice Callow, porque la recuperación es mucho menos urgente en ese momento. Cuando robaron 81 millones de dólares del Banco de Bangladesh, el grupo norcoreano Lazarus planeó la redada no solo para aprovechar las diferencias entre los fines de semana en Bangladesh y Estados Unidos -el primero es el viernes y sábado- sino también en eso Lunar New Año, unas vacaciones en gran parte de Asia.

Es cierto que un puñado de las principales bandas de ransomware, incluidas DarkSide, Ragnarok y REvil, se han disuelto o desconectado recientemente. La asesora adjunta de seguridad nacional, Anne Neuberger, dijo en una conferencia de prensa el jueves que las agencias de inteligencia estadounidenses habían visto recientemente una «reducción» en el ransomware. Pero los investigadores de seguridad advierten contra cualquier suspiro de alivio. «Los grupos de ransomware como Pysa, Lockbit 2.0, Conti y muchos otros continúan causando un daño significativo a las empresas», dice Nickels. “Incluso si una o más familias dominantes de ransomware desaparecen, otra suele estar detrás para cerrar la brecha”. En la misma sesión informativa, Neuberger también advirtió a las organizaciones que “estén en guardia” antes del fin de semana largo.

Desafortunadamente, prepararse para un posible hackeo no se trata de cerrar varias escotillas un viernes por la tarde. Para entonces será demasiado tarde; Los atacantes tienden a acechar en sistemas comprometidos y atacar en el momento oportuno. El mejor momento para una defensa estricta era a menudo semanas antes de que el ransomware realmente atacara. «La mayoría de los robos en el hogar ocurren a la mitad del día, pero luego no se cierra con llave», dice Callow.

Sin embargo, hay pasos que las empresas y las personas pueden tomar para protegerse mejor de los ataques antes de un fin de semana largo y más allá. Las recomendaciones del FBI y CISA reflejan las mejores prácticas para la mayoría de las situaciones de ciberseguridad: No haga clic en enlaces sospechosos. Cree una copia de seguridad sin conexión de sus datos. Utilice contraseñas seguras. Asegúrese de que su software esté actualizado. Utilice la autenticación de dos factores. Si está utilizando el Protocolo de escritorio remoto, un producto de Microsoft que históricamente ha demostrado ser un punto de entrada popular para los atacantes, tenga cuidado. Y tal vez tenga algunas personas adicionales de guardia este fin de semana, por si acaso.

Esta historia apareció por primera vez en wired.com.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba