El grupo de ransomware Conti, una extensa red de ciberdelincuentes, extorsionó a sus víctimas con aproximadamente 180 millones de dólares en 2021 en todo el mundo, mucho más que cualquier otro grupo de ransomware a nivel global.
Recientemente su información fue difundida, por un investigador de ciberseguridad infiltrado en el grupo que tenía acceso a los archivos y sistemas de chat internos de Conti. Utilizando una cuenta de Twitter (@ContiLeaks), publicó más de 60 mil mensajes de chat enviados entre miembros, su código fuente y docenas de documentos internos del grupo.
“Entre la información filtrada está la jerarquía corporativa del grupo, las personalidades de sus miembros, cómo eluden a las fuerzas del orden y detalles de cómo negocian los rescates que piden a las empresas. Los investigadores de seguridad de Akamai revisaron y analizaron la documentación filtrada para determinar la amplitud de su escenario de ataque con respecto al ransomware. La larga lista de TTP (Terrorist Tactics, Techniques, and Procedures) es un serio recordatorio del arsenal que está a disposición de los grupos de ataque como Conti”, señaló Hugo Werner, vicepresidente de Akamai para América Latina.
¿Qué es ransomware?
El ataque de ransomware tiene como objetivo ‘secuestrar’ la información, impidiendo que las empresas tengan acceso a sus sistemas, para luego extorsionar a su objetivo, en este caso las empresas. A través de malware (un virus), el hacker logra encriptar datos importantes de la empresa, haciéndolos inaccesibles. Para devolver estos datos, documentos, información, los ciberdelincuentes exigen un rescate. En algunos casos, los delincuentes divulgan partes de la información como amenaza, para presionar a las empresas a pagar el rescate.
El Grupo Conti
El grupo Conti de ransomware funciona como cualquier otra empresa. Cuenta con varios departamentos y colaboradores, RRHH, administradores, codificadores e investigadores. Tienen políticas sobre cómo sus hackers deben procesar su código y compartir las mejores prácticas para mantener a los miembros del grupo ocultos de las autoridades. Según los documentos filtrados, el grupo opera prácticamente como una empresa de desarrollo de software, y al parecer muchos de los programadores tienen salarios y no tienen participación en el rescate pagado tras el ataque.
“Las técnicas de ataque publicitadas son conocidas y difíciles de detener, es por eso que aún se siguen usando. Lo que estos ataques tienen en común es su efectividad para lograr su objetivo. Para que las organizaciones se defiendan de estas tácticas, deben comprender cómo operan los grupos de ransomware, ya que esto puede ayudarles a defenderse no solo de ellos, sino también de otros grupos de ransomware similares”, comentó Werner.
¿Cómo protegerse de estos ataques?
Akamai Technologies publicó en su página web un análisis detallado de las técnicas utilizadas por este y muchos otros grupos, y lo que las organizaciones pueden implementar para estar mejor preparadas contra los grupos de ransomware. Las empresas de todos los tamaños pueden ser víctimas de un ataque.
El ransomware es un problema complicado en el que el ataque cibernético puede tener un efecto devastador en el negocio. La protección contra ransomware se reduce a un principio simple: todos los flujos de tráfico de información necesitan inspección y protección, independientemente de si se origina en servidores internos (internos) o externos. Guardicore, que fue adquirida por Akamai, desarrolla este tipo de soluciones de seguridad Zero Trust, lo que permite abrir múltiples vías de defensa contra ransomware y malware.
La tecnología divide a la empresa en segmentos de seguridad, permitiendo la identificación de cada flujo de datos de las diferentes aplicaciones cliente, con controles de seguridad definidos individualmente para cada carga de trabajo, además de contar con una “estrategia de fuego” frente a un ataque de malware, defendiéndose drásticamente de la propagación de ataques cibernéticos.
“Al observar la documentación del tiempo entre hackear una documentación y el encriptado de esa documentación, queda claro que el principal problema es el hacking (violación de la red, movimiento lateral y propagación, evitar la detección) y no sólo con el encriptado y la extracción de datos. Las empresas necesitan que su defensa sea de varias capas, ya que no existe una sola solución que pueda mantenerlas seguras y protegidas de inmediato. Como podemos ver en la metodología de ataque del grupo, hay un proceso sofisticado antes de que se implemente el ransomware, lo que nos brinda muchas oportunidades para detectar y responder al ataque”, concluye el especialista.
4 consejos para defenderse contra los ataques de ransomware:
1. Asegurarse de incluir la ciberseguridad en el rol que gestiona la mitigación de riesgos general para su organización. Y cerciorarse de que su equipo de liderazgo tenga experiencia en seguridad.
2. No olvidar dedicar presupuesto y recursos a la producción de respaldos, en caso de que un ataque comprometa tus archivos. Al igual que a la segmentación de la red, lo que evitará que un ciberataque se propague dentro de la empresa.
3. Crear planes de respuesta antes de un desastre o evento adverso (como un ataque de ransomware). Estar organizado y preparado le ayudará a reaccionar más rápido y de manera más eficiente.
4. Analizar el impacto de la seguridad al integrar, diseñar o desarrollar nuevos productos y servicios. Preguntarse: ¿Estoy abriendo una nueva puerta para los invasores?
La seguridad debe formar una gran parte de la estrategia, planeación y presupuesto de la organización. Eso significa crear conciencia con los ejecutivos de nivel C y los miembros de la Junta, y mantenerse alerta sobre los riesgos potenciales y lo que necesita para mitigarlos.