El robo de datos y las tácticas de nombre y vergüenza iniciadas por Maze en noviembre de 2019 y posteriormente adoptadas por varios otros grupos han borrado la línea entre el ataque de ransomware y la violación de datos.

Los objetivos más atractivos para este tipo de ataque son las organizaciones que sufrirían el mayor daño al exponer sus datos, ya que se considera que son los más propensos a pagar para evitar la exposición. En consecuencia, las organizaciones de los sectores jurídico, sanitario y financiero han sido objeto de ataques frecuentes.

Pero, ¿qué tan comunes son los ataques de cifrado + exfiltración, y cuál es la probabilidad de que una organización que ha cifrado sus datos también los haya robado?

Los números

Entre el 1 de enero y el 30 de junio de 2020, ID Ransomware recibió 100,001 envíos relacionados con ataques de los grupos de ransomware dirigidos a empresas y organizaciones del sector público.

De esas presentaciones, 11,642, poco más del once por ciento, relacionadas con ataques de los grupos que roban datos abiertamente.

Por qué esto importa

Los ataques de exfiltración + cifrado combinan la interrupción de un incidente de ransomware con el impacto a largo plazo de una violación de datos.

Además de los costos asociados con la interrupción y recuperación del negocio, las organizaciones también pueden enfrentar sanciones regulatorias, daños a la reputación, acciones legales, ver afectado el precio de sus acciones y experimentar una miríada de otros impactos significativos, como la pérdida de propiedad intelectual o la divulgación de información competitiva. información.

Además, los incidentes de exfiltración + cifrado crean un camino para futuros ataques y otras actividades criminales. La información robada se puede utilizar para atraer clientes y socios comerciales de organizaciones de víctimas de phishing o para cometer otras formas de fraude, como el compromiso de correo electrónico comercial (BEC). En otras palabras, un crimen puede conducir a muchos.

Lo que esto significa para el sector público de EE. UU.

En 2019, al menos 966 entidades gubernamentales, establecimientos educativos y proveedores de atención médica se vieron afectados por el ransomware, pero debido a que los grupos no comenzaron a robar datos abiertamente hasta noviembre, solo una de esas entidades tuvo datos extraídos y publicados: la Ciudad de Pensacola.

Durante el transcurso de este año, al menos otros nueve grupos también han comenzado a filtrar datos y, en consecuencia, ahora existe un riesgo mucho mayor de que los datos sean robados durante incidentes de ransomware.

Si 966 entidades se ven afectadas nuevamente en 2020, es probable que 106 de ellas, el once por ciento, tengan datos robados y publicados. Este es probablemente el mejor de los casos, ya que los grupos con mayor probabilidad de atacar a las entidades del sector público son aquellos que roban datos abiertamente.

Este pronóstico está respaldado por datos de Q1 y Q2: de las sesenta entidades federales, estatales y municipales que fueron impactadas por ransomware, cinco u ocho por ciento tenían datos robados. No todos los grupos que ahora extraen datos comenzaron a hacerlo al comienzo del primer trimestre y, en consecuencia, este porcentaje es más bajo de lo que hubiera sido de otra manera.

La filtración de datos de las entidades públicas puede tener consecuencias extremadamente graves. Por ejemplo, la exposición de la información de un departamento de policía podría comprometer las investigaciones y procesamientos en curso o poner en riesgo a los agentes. Del mismo modo, el robo de datos de empresas privadas en el sector de la Base Industrial de Defensa (DIB) podría presentar un riesgo para la seguridad nacional o la seguridad del personal.

Ya ha habido varios ataques exitosos de exfiltración + encriptación este año tanto en los departamentos de policía como en las empresas del sector DIB.

La divulgación más rápida y precisa es crítica

"Los datos personales públicos no se han visto afectados". - la ciudad de Torrance

"La evaluación inicial muestra que la información financiera o personal ha sido accedida o comprometida". - la ciudad de Knoxville

"Según nuestra investigación, actualmente no hay ninguna razón para creer que la información personal de los isleños se haya visto afectada por el malware". - El gobierno de la Isla del Príncipe Eduardo

Posteriormente, se demostró que todas estas declaraciones eran incorrectas cuando se publicaron datos robados.

La ausencia de evidencia de exfiltración no debe interpretarse como evidencia de su ausencia, especialmente durante las etapas preliminares de una investigación. Esto es particularmente cierto en el caso de ataques de grupos como DoppelPaymer, Maze y REvil que se sabe que roban datos. En estos casos, la suposición inicial debe ser que los datos pueden haber sido extraídos y las partes potencialmente afectadas deben ser notificadas de inmediato de esta posibilidad.

Como se señaló anteriormente, estos incidentes ponen a los clientes y socios comerciales de las organizaciones víctimas en un riesgo significativo. La divulgación rápida y precisa puede ayudarlos a evitar convertirse en víctimas secundarias.

El porcentaje es probablemente mayor

Todos los grupos de ransomware tienen la capacidad de filtrar datos. Mientras que algunos grupos roban abiertamente datos y usan la amenaza de su publicación como un apalancamiento adicional para extorsionar el pago, otros grupos probablemente lo roban de manera encubierta.

Si bien los grupos que roban encubiertamente pueden no filtrar tantos datos como los grupos que buscan usarlo como apalancamiento, bien pueden extraer cualquier información que tenga un valor de mercado obvio y significativo o que pueda usarse para atacar a otras organizaciones.

Conclusión y Recomendaciones

Anticipamos que los ataques de exfiltración + cifrado se convertirán en una práctica cada vez más estándar y, en consecuencia, tanto los riesgos como los costos asociados con los incidentes de ransomware continuarán aumentando. Además, a medida que los cazadores de caza mayor cazan con éxito juegos cada vez más grandes, el impacto económico general de los incidentes aumentará desde su nivel actual de $ 170 mil millones.

Para evitar ataques y limitar el alcance de cualquiera que tenga éxito, las organizaciones deberían:

• Utilice la autenticación multifactor en todos los lugares donde se pueda usar.

• Limite los derechos de administrador.

• Deshabilite RDP si no es necesario y bloquéelo si es necesario.

• Segmenta la red.

• Utilice el correo electrónico y el filtrado web.

• Parche de inmediato.

• Deshabilite PowerShell cuando no sea necesario.

• Suponga que se romperá el perímetro y asegúrese de que las herramientas y los procesos estén en su lugar para monitorear las indicaciones de compromiso.

• Asegúrese de que los MSP y otros proveedores de servicios se adhieran a las mejores prácticas.

• Llevar a cabo una formación de conciencia de seguridad de forma continua.