La implacable expansión: diseccionando los recientes picos en sitios de filtración de ransomware y el fragmentado panorama de amenazas

El ecosistema del ransomware está experimentando un aumento significativo en la actividad, lo que refleja una profunda fragmentación del panorama de amenazas. La reciente aparición de nuevas listas de sitios de filtración, que afectan a múltiples organizaciones estadounidenses en sectores críticos, proporciona una clara ilustración de esta amenaza en evolución y cada vez más compleja.

Qué pasó

Recientemente, un grupo de ransomware publicó nuevas listas de víctimas, lo que afectó significativamente a organizaciones de los sectores de la salud, la educación, los seguros, la energía y la tecnología. Entre los objetivos notables se incluyeron varias entidades destacadas de diversas industrias. Estas divulgaciones a menudo siguen a negociaciones fallidas, con datos que se publican o se amenaza con su publicación.

El actor de la amenaza afirma poseer conjuntos de datos extensos y altamente sensibles. Los ejemplos incluyen supuestos registros significativos de una corporación importante, datos comprometidos sustanciales de un proveedor médico y un gran volumen de datos del sector de seguros de una asociación nacional. Estas cifras resaltan la escala de la posible exfiltración de datos y las graves implicaciones para las organizaciones víctimas. La educación y la atención médica, en particular, siguen siendo objetivos principales debido a la gran cantidad de información personal, financiera y operativa que manejan.

Por qué este patrón se sigue repitiendo

La economía fundamental y la resiliencia operativa de las operaciones de ransomware como servicio (RaaS) impulsan este patrón persistente. La proliferación de grupos y el alto número de víctimas globales demuestran la rentabilidad y la barrera de entrada relativamente baja para estas empresas criminales. El ecosistema se ha fragmentado, pasando de unos pocos actores dominantes a numerosas operaciones más pequeñas, más ágiles y más difíciles de atribuir.

Esta fragmentación permite una rápida adaptación y resiliencia frente a los esfuerzos de las fuerzas del orden. Cuando un grupo se interrumpe, surgen otros nuevos, a menudo aprovechando una infraestructura compartida o reclutando afiliados de operaciones desaparecidas. El modelo RaaS, donde los desarrolladores proporcionan herramientas e infraestructura a los afiliados a cambio de una parte del rescate, democratiza aún más el acceso a capacidades de ataque sofisticadas.

La proliferación de sitios de filtración de ransomware es una consecuencia directa de un ecosistema RaaS fragmentado y resiliente, donde la búsqueda de ganancias supera constantemente las defensas reactivas.

El manual del atacante paso a paso

Las operaciones de ransomware suelen seguir una metodología de ataque de varias etapas, a menudo comenzando con intermediarios de acceso inicial. Estos actores obtienen acceso por varios medios, incluida la explotación de vulnerabilidades conocidas, el phishing o el relleno de credenciales. La investigación de seguridad, por ejemplo, identifica numerosas vulnerabilidades comunes asociadas con varios grupos, lo que indica una dependencia de la explotación de debilidades comunes.

Una vez establecido el acceso inicial, los atacantes realizan reconocimiento y movimiento lateral dentro de la red de la víctima. Esta fase implica mapear la topología de la red, escalar privilegios e identificar objetivos de alto valor para la exfiltración y el cifrado de datos. Se sabe que los actores de amenazas utilizan diversos cifradores para atacar varios sistemas operativos y entornos, lo que demuestra versatilidad en sus herramientas de ataque.

La exfiltración de datos es un paso crítico, que a menudo precede al cifrado, para maximizar el apalancamiento para la extorsión. Los actores de amenazas luego implementan ransomware para cifrar sistemas, dejándolos inoperables, y dejan una nota de rescate. Si las negociaciones fallan, como lo indica la reciente actividad del sitio de filtración, los datos robados se publican en un sitio de filtración público, lo que agrega más presión y daño a la reputación.

Qué pasaron por alto los defensores

La aparición recurrente de nuevos sitios de filtración y divulgaciones de víctimas apunta a importantes lagunas en las estrategias defensivas. Muchas organizaciones continúan operando con inteligencia de amenazas retrospectiva, centrándose en los Indicadores de Compromiso (IOC) y los TTP documentados después de que ha ocurrido un incidente primario. Esta postura reactiva las deja vulnerables a los grupos emergentes y a las técnicas de ataque en evolución.

Además, la falta de pruebas de seguridad proactivas y ofensivas significa que las vulnerabilidades explotables a menudo permanecen sin descubrir hasta que un atacante las aprovecha. Esto incluye debilidades en los sistemas orientados al exterior, configuraciones erróneas y rutas de escalada de privilegios que podrían identificarse mediante pruebas ofensivas autónomas. El gran volumen de datos reclamados por los atacantes de algunas víctimas sugiere que la segmentación robusta de datos, los controles de acceso y los mecanismos de detección de exfiltración probablemente eran insuficientes.

El enfoque en los sistemas internos a menudo eclipsa el riesgo crítico que representan los proveedores externos. El ransomware puede atravesar los ecosistemas de los proveedores, afectando a una organización a través de un proveedor comprometido. Sin una comprensión clara de la susceptibilidad del proveedor, las organizaciones permanecen expuestas a un riesgo en cascada.

Una lista de verificación defensiva práctica

Para contrarrestar la creciente amenaza del ransomware, los CISOs y los ingenieros de seguridad deben adoptar una postura defensiva proactiva y completa:

• Priorizar la gestión de vulnerabilidades: Identificar y parchear continuamente las vulnerabilidades críticas, especialmente aquellas frecuentemente explotadas por grupos de ransomware.
• Implementar controles de acceso robustos: Aplicar principios de menor privilegio, autenticación multifactor (MFA) en todos los sistemas críticos y revisión regular del acceso administrativo.
• Fortalecer la segmentación de la red: Aislar activos críticos y datos sensibles para limitar el movimiento lateral en caso de una brecha.
• Mejorar la detección y respuesta de puntos finales (EDR): Implementar y ajustar las soluciones EDR para detectar y responder a actividades sospechosas, incluidos los intentos de reconocimiento y exfiltración de datos.
• Desarrollar y probar planes de respuesta a incidentes: Practicar regularmente escenarios de respuesta a incidentes, incluidos ataques de ransomware, para garantizar una contención y recuperación rápidas y efectivas.
• Realizar pruebas ofensivas proactivas: Implementar pruebas ofensivas autónomas para identificar continuamente vulnerabilidades y configuraciones erróneas explotables antes de que lo hagan los atacantes.
• Evaluar el riesgo de terceros: Integrar la inteligencia de susceptibilidad al ransomware en los programas de gestión de riesgos de terceros para comprender y mitigar las vulnerabilidades de la cadena de suministro.

Cómo las pruebas ofensivas modernas habrían detectado esto

El escaneo tradicional de vulnerabilidades y las pruebas de penetración a menudo proporcionan una evaluación puntual, que rápidamente queda obsoleta en un panorama de amenazas dinámico. Las pruebas ofensivas modernas, particularmente las pruebas ofensivas autónomas, ofrecen un enfoque continuo y adaptable. Nuestra plataforma, con sus capacidades de pruebas ofensivas autónomas y Pruebas de Concepto (PoC) ejecutables, proporciona una ventaja significativa.

Este enfoque simula continuamente técnicas de atacantes del mundo real, identificando rutas explotables que conducen a activos críticos o exfiltración de datos. Al generar PoC ejecutables, los equipos de seguridad obtienen evidencia concreta de vulnerabilidades y los pasos precisos que tomaría un atacante. Esto permite la remediación proactiva de fallas que podrían conducir a un acceso inicial, movimiento lateral o exfiltración de datos, reflejando directamente las primeras etapas de los ataques de ransomware.

Por ejemplo, si un actor de amenazas explota una vulnerabilidad conocida (como las identificadas por los investigadores de seguridad), las pruebas ofensivas autónomas habrían identificado la vulnerabilidad, demostrado su explotabilidad con una PoC y permitido la remediación antes de que pudiera ser aprovechada en un ataque de ransomware. Esto cambia la defensa de una respuesta reactiva a incidentes a una mitigación proactiva de amenazas.

Qué observar a continuación

El panorama del ransomware continuará su rápida evolución. La fragmentación en operaciones más pequeñas y rápidas persistirá, lo que hará que la atribución y la interrupción sean más desafiantes. Espere una explotación continua de las cadenas de suministro y los proveedores externos, ya que los atacantes buscan el camino de menor resistencia para ingresar a organizaciones más grandes.

La regla no escrita dentro del ecosistema del ransomware, donde ciertas regiones geográficas están en gran medida fuera de los límites para evitar la intervención de las fuerzas del orden locales, sigue siendo una dinámica crítica. Un incidente pasado que involucró a un afiliado de un grupo notable, que se disculpó y prohibió a un afiliado por atacar accidentalmente a una empresa con una oficina corporativa en una región sensible, subraya esta restricción geopolítica. Cualquier cambio en esta dinámica podría alterar significativamente el panorama global de amenazas.

Además, las crecientes afirmaciones de volúmenes masivos de exfiltración de datos sugieren un enfoque creciente en la monetización de datos más allá del mero cifrado. Las organizaciones deben prepararse para esquemas de extorsión dobles y triples más sofisticados, donde se aprovechan la fuga de datos, la denegación de servicio y la comunicación directa con los clientes. La inteligencia de amenazas continua y las medidas de seguridad proactivas serán primordiales para la supervivencia en este entorno en escalada.