Klaus Vedfelt / Getty Images
El viernes que se dirigía al fin de semana del Día de los Caídos de este año, fue gigante de procesamiento de carne JBS. El viernes anterior al 4 de julio, fue Empresa de software de gestión de TI Kaseya y, por extensión, más de mil negocios de tamaño variable. Queda por ver si el Día del Trabajo verá un colapso de ransomware de alto perfil también, pero una cosa está clara: a los hackers les encantan las vacaciones.
Realmente, a los piratas informáticos de ransomware también les encantan los fines de semana regulares. ¿Pero uno largo? ¿Cuando todo el mundo está de juerga con familiares y amigos y evita cuidadosamente cualquier cosa que esté remotamente relacionada con la oficina? Eso es lo bueno. Y aunque la tendencia no es nueva, una advertencia conjunta emitida esta semana por el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad
El atractivo para los atacantes es bastante sencillo. El ransomware puede tardar en propagarse a través de una red, ya que los piratas informáticos trabajan para escalar los privilegios y obtener el máximo control sobre la mayoría de los sistemas. Cuanto más tarden en darse cuenta, más daño pueden hacer. “En términos generales, los actores de amenazas implementan su ransomware cuando hay menos probabilidades de que haya gente cerca para comenzar a desconectarse”, dice Brett Callow, analista de amenazas de la compañía antivirus Emsisoft. “La menor posibilidad de que el ataque sea detectado e interrumpido”.
Incluso si se detecta relativamente pronto, muchas de las personas a cargo de tratarlo están potencialmente junto a la piscina o, al menos, son más difíciles de localizar de lo que serían en una tarde normal de martes.
“Intuitivamente, tiene sentido que los defensores estén menos atentos durante las vacaciones, en gran parte debido a la disminución del personal”, dice Katie Nickels, directora de inteligencia de la firma de seguridad Red Canary. “Si ocurre un incidente importante durante las vacaciones, puede ser más difícil para los defensores traer al personal necesario para responder rápidamente”.
Son esos incidentes importantes los que probablemente llamaron la atención del FBI y CISA; Además de los incidentes de JBS y Kaseya, el devastador ataque Colonial Pipeline tuvo lugar durante el fin de semana del Día de la Madre. (No es un fin de semana de tres días, pero aún así está programado para las molestias máximas). Las agencias dijeron que no tienen ningún “informe de amenazas específicas” de que se producirá un ataque similar durante el fin de semana del Día del Trabajo, pero no debería ocurrir como tal. una especie de sorpresa si uno lo hace.
Es importante recordar también que el ransomware es una amenaza constante, y por cada escasez de gasolina que acapara los titulares, hay docenas de pequeñas empresas en un momento dado que luchan por enviar bitcoins a los ciberdelincuentes. Las víctimas informaron 2.474 incidentes de ransomware al Centro de Quejas de Delitos en Internet del FBI en 2020, un aumento del 20 por ciento con respecto al año anterior. Las demandas de los piratas informáticos se triplicaron en ese mismo período de tiempo, según los datos de IC3. Esos ataques no se concentraron todos en fines de semana de tres días y feriados de Hallmark.
De hecho, como reconocen CISA y el FBI, los fines de semana en general tienden a ser populares entre los delincuentes. Callow señala que los envíos a ID Ransomware, un servicio creado por el investigador de seguridad Michael Gillespie que le permite cargar notas de rescate o archivos encriptados para averiguar qué le golpeó exactamente, tienden a aumentar los lunes, cuando las víctimas han regresado a sus oficinas para buscar sus datos. cifrado.
La sincronización estratégica por parte de los piratas informáticos también adopta otras formas. Los ataques contra las escuelas caen precipitadamente a fines de la primavera y el verano, dice Callow, porque entonces hay mucha menos urgencia asociada con la recuperación. Cuando ellos robó $ 81 millones del Banco de Bangladesh, Grupo Lazarus de Corea del Norte cronometrado el atraco para aprovechar no solo las diferencias entre los fines de semana de Bangladesh y EE. UU. (en el primero, es viernes y sábado), sino también el Año Nuevo Lunar, un feriado en gran parte de Asia.
Es cierto que un puñado de grandes bandas de ransomware:Lado oscuro, Ragnarok y REvil entre ellos, se han disuelto o desconectado últimamente. La asesora adjunta de seguridad nacional Anne Neuberger dijo en una conferencia de prensa el jueves que las agencias de inteligencia estadounidenses habían visto una “reducción” en el ransomware recientemente. Pero los investigadores de seguridad advierten contra cualquier suspiro de alivio. “Los grupos de ransomware como Pysa, Lockbit 2.0, Conti y muchos otros continúan causando un daño significativo a las organizaciones”, dice Nickels. “Incluso cuando desaparece una o más familias dominantes de ransomware, suele haber otra detrás para llenar el vacío”. En la misma sesión informativa, Neuberger también advirtió a las organizaciones que “estén en guardia” antes del fin de semana largo.
Desafortunadamente, prepararse para un posible ataque no es una cuestión de cerrar varias escotillas un viernes por la tarde. Para entonces, ya es demasiado tarde; los atacantes tienden a acechar en sistemas comprometidos y golpear en el momento más oportuno. El mejor momento para una defensa estricta era a menudo semanas antes de que el ransomware realmente llegara. “La mayoría de los robos en casas ocurren a la mitad del día, pero no solo se cierra la casa entonces”, dice Callow.
Dicho esto, hay pasos que las empresas y las personas pueden tomar para mejorar protegerse de los hacks, tanto antes de un fin de semana largo como más allá. Las recomendaciones del FBI y CISA se hacen eco de las mejores prácticas para la mayoría de las situaciones de ciberseguridad: no haga clic en enlaces sospechosos. Realice una copia de seguridad de sus datos sin conexión. Utilice contraseñas seguras. Asegúrese de que su software esté actualizado. Utilice la autenticación de dos factores. Si usa el Protocolo de escritorio remoto, un producto de Microsoft que históricamente probado un punto de entrada popular para los atacantes, proceda con precaución. Y tal vez tenga algunas personas adicionales de guardia este fin de semana, por si acaso.
Esta historia apareció por primera vez en wired.com.