Las bandas que se dedican al ransomware se están volviendo más agresivas e innovadoras que nunca, y el sector de servicios financieros (donde las empresas con finanzas fuertes se preocupan por proteger su reputación en seguridad y protección de activos), es un objetivo especialmente atractivo.
Desde el 2020, los servicios financieros se han visto especialmente afectados por los ciberdelincuentes que cada vez desarrollan formas más sofisticadas y efectivas de romper las defensas más sólidas. Estas incluyen el Servicio de Ransomware (RaaS - del inglés: Ransomware as a Service) y las técnicas de “doble extorsión”.
Según el Grupo de Trabajo Anti-Phishing, el sector de los servicios financieros experimentó un aumento del 35% en los ataques de ransomware solo en el primer trimestre de 2022. Así mismo, fue el objetivo de casi el 25% de todos los ataques de phishing.
Sin embargo, el verdadero problema para el sector financiero no es la creciente frecuencia de estos incidentes. Más bien, es la naturaleza de los ataques en sí mismos, que tienden a ser especialmente complejos en un esfuerzo por superar la rigurosa seguridad utilizada por la mayoría de las organizaciones financieras. Estos grupos son organizados, con experiencia, creativos y, a menudo, con motivaciones (y financiaciones) políticas.
RaaS y la doble extorsión
Así como muchas empresas subcontratan sus necesidades tecnológicas con proveedores de SaaS y MSP, los actores de las amenazas están utilizando proveedores externos con capacidades de ransomware para lanzar ataques más específicos y efectivos contra sus víctimas.
Conocido como RaaS, este imita la forma en que la mayoría de las organizaciones legítimas estructuran sus propias relaciones con sus proveedores. Black Basta es uno de los grupos de RaaS más prolíficos.
El uso del RaaS significa que los delincuentes ya no necesitan tener las habilidades necesarias para lanzar un ataque cibernético - simplemente le pueden pagar a alguien más para obtener el software que lo puede hacer por ellos.
Black Basta es extremadamente bueno en lo que hace. Logró golpear al menos a 75 organizaciones en nombre de sus “afiliados” (como se les dice a sus clientes) en el transcurso de unos pocos meses durante el 2022. Aunque es conocida por ser una organización de RaaS, esta banda también utiliza la “doble extorsión”. Esto significa que, si sus víctimas se niegan a realizar el pago, simplemente filtran información confidencial y la ofrecen en venta en el mercado de ciberdelincuencia.
Black Basta es muy prolífico y enormemente efectivo, sin embargo, los analistas no han podido encontrar evidencia de que se encuentre reclutando en la Dark Web. Esto ha llevado a especular que Black Basta puede tratarse de un simple cambio de nombre del grupo ruso Conti.
Conti declaró su lealtad al Kremlin al comienzo de la guerra rusa en Ucrania, y los organismos de seguridad de los Estados Unidos tienen evidencias que los integrantes de Black Basta han estado promoviendo el ataque específico contra organizaciones en países de habla inglesa que se consideran aliados de los Estados Unidos.
Manejo del riesgo cibernético - ¿Qué se puede hacer?
El sector financiero no solamente será vulnerable a los RaaS y a la doble extorsión. Los proveedores de servicios médicos, las universidades, las agencias gubernamentales del orden local y nacional, por tan solo nombrar algunos, tienen las mismas vulnerabilidades y cantidades de información confidencial valiosa que los convierten en objetivos irresistibles.
Anticiparse - La debida diligencia de terceros es esencial. El riesgo de los terceros se encuentra en aumento y los hackers tomarán ventaja de las vulnerabilidades en las cadenas de suministro de las empresas, supuestamente seguras, para identificar “puertas traseras” en sus sistemas. Usted debería identificar a los proveedores de servicios críticos de sus empresas y a otros terceros, y desarrollar una matriz de riesgo clásica que empiece por darle prioridad a los eventos de “alto impacto y alta probabilidad”.
Capacitarse - Las fallas humanas son con frecuencia el centro de una exitosa filtración en la Tecnología de la Información (TI). Mucha gente no presta atención durante las capacitaciones en seguridad de TI: mantenga a su personal actualizado con respecto a las amenazas más recientes y asegúrese de que los materiales de capacitación se actualicen de forma constante.
Las directivas de su organización y su Junta Directiva también deben estar informados sobre sus planes de respuesta ante un ataque cibernético. Esto minimizará las posibilidades de que se tomen decisiones precipitadas en el fulgor del momento.
Comunicación - La colaboración entre equipos de seguridad de TI en las diferentes jurisdicciones es esencial para garantizar que todos se encuentren en sintonía. Por ejemplo, la Universidad Estatal de Michigan tuvo que pagar un millón de dólares a una organización de ransomware que descubrió que su departamento de física no había protegido correctamente su VPN.
Evaluar - El monitoreo continuo de sus superficies de ataque y del entorno de las amenazas es vital. ¿Usted sabe exactamente cuántos servidores tiene, a través de los cuales sus defensas podrían ser vulneradas? Es posible que se sorprenda de la frecuencia con la que ese número puede cambiar.
Automatizar - No es posible que este tipo de monitoreo continuo sea realizado de forma manual. Aproveche el poder que brinda un experto externo para obtener un sistema automatizado que le brinde una visión general de sus superficies de ataque, las cuales cambian constantemente.
Con Orbit Security, usted puede:
- Descubrir sus superficies de ataque utilizando nuestro algoritmo patentado: ‘Network Footprint Discovery ML’ de Orbit Security. Desde un único dominio principal, identificamos con un alto grado de precisión toda su infraestructura interconectada, independientemente de quién la administre.
- Analizar las evaluaciones de inteligencia de amenazas obtenidas de cada dominio y subdominio de su infraestructura, o ver toda su exposición al riesgo por medio de las seis categorías de amenazas de nuestra metodología: Filtración, Configuración, Correo electrónico, DNS, HTTP y SSL / TLS.
- Mitigar los riesgos de acuerdo con las claras tareas prioritarias que resultan de las evaluaciones de Orbit Security; mejorar el estado de su seguridad; mantener una supervisión sobre sus terceros involucrados, y; presentar informes a sus directivas con certidumbre.
La presentación de informes es esencial para cualquier equipo de seguridad de TI, y expresarse en el idioma de los directivos es de crucial importancia. Nosotros ayudamos al proporcionar informes estandarizados:
Informes de gestión
Nuestra calificación de ciberseguridad presenta la información compleja de una manera que es fácil de entender, tanto para las partes interesadas fuera de su equipo, como para los altos directivos, lo que le permite comunicar de una manera clara y efectiva cuáles son sus puntos débiles en la seguridad y qué recursos son necesarios para abordarlos.
Informes de riesgos de proveedores
Usted será notificado de forma inmediata si se reduce la calificación de seguridad de algún tercero relacionado con su organización. Thomas Murray se puede poner en contacto con ellos, a petición suya, para brindarles acceso gratuito y completo a su propia evaluación de inteligencia de amenazas, mejorando así la seguridad en todo su ecosistema.