Aunque el gobierno ha publicado requisitos de ciberseguridad muchas veces en el pasado, es la primera vez que los hemos visto emitidos rápidamente en respuesta a un ataque conocido.

¿Están aumentando los ataques de ransomware? Eso parece. Desde Colonial Pipeline hasta JBS aBS Servicio de salud irlandés, los efectos del ransomware se sienten por todas partes. Sin embargo, al mismo tiempo, el gobierno de EE. UU. Ha respondido a estos ataques de nuevas formas que ya están afectando a los operadores de ransomware y podrían marcar una nueva fase positiva en la batalla contra. Secuestro de datos.

Colonial Pipeline se vio afectado por un ataque de ransomware que bloqueó su sistema de tuberías durante casi una semana a principios de mayo de este año. La compañía dijo que si bien el sistema de tuberías en sí no se vio afectado, sus redes internas sí lo fueron, lo que llevó al cierre. Colonial Pipeline es un importante proveedor de combustible para la costa este de los Estados Unidos, suministrando el 45% del combustible a la región. Como resultado, el cierre tuvo efectos inmediatos, que se vieron agravados por la escasez inducida por las compras de pánico.

Luego, a principios de junio, un ataque de ransomware contra JBS – el procesador de carne más grande del mundo – detuvo el procesamiento en nueve fábricas de carne de res y detuvo las operaciones en las plantas de carne de cerdo y aves de corral en los Estados Unidos. JBS pudo volver a funcionar en una semana.

El momento de estos importantes ataques, uno tras otro, ha atraído mucha atención y preocupación. Pero, ¿qué no ha recibido tanta atención? – y es al menos tan importante – es la respuesta del gobierno de EE. UU. y el impacto que parece tener en los operadores de ransomware y en la industria del ransomware. Podríamos entrar en una nueva fase de la crisis del ransomware que finalmente ve avances en Detén este problema.

Nuevas respuestas del gobierno de EE. UU. A los ataques de ransomware

Si bien el ataque al Oleoducto Colonial aún estaba en curso, el gobierno de los Estados Unidos actuó rápidamente para declarar el estado de emergencia para el sector afectado, una novedad en términos de velocidad y alcance de respuesta.

Luego, unos días después del ataque, el FBI atribuido el ataque a Lado oscuro grupo de ransomware, que comúnmente se cree que es ruso, aunque no es parte del gobierno ruso. Si bien el FBI ya ha hecho públicas atribuciones sobre ciberataques, como su atribución de Ataque de Sony Pictures en 2014 a Corea del Norte: esta es la primera vez que esto se hace rápidamente.

Antes de finales de mayo, el gobierno de los Estados Unidos lanzó nuevos requisitos de ciberseguridad para operadores de oleoductos. Aunque el gobierno de EE. UU. Ha publicado requisitos de ciberseguridad muchas veces en el pasado, esta es la primera vez que vemos requisitos emitidos tan rápidamente en respuesta a un ataque conocido.

A medida que se desarrollaba el ataque a la JBS, vimos otra serie de respuestas rápidas y sin precedentes del gobierno de Estados Unidos. El FBI se trasladó rápidamente a atributo público ataques a un grupo de ransomware específico a los pocos días del ataque, esta vez nombrando REvil / Sodinokibi grupo de ransomware. Anne Neuberger, asesora adjunta de seguridad nacional para información y tecnología emergente, luego publicó un recordatorio instando a los líderes empresariales a tomar en serio la amenaza del ransomware y brindando orientación específica sobre los pasos que pueden y deben tomar para ayudar a prevenir estos ataques.

Más significativamente, hemos aprendido que el Departamento de Justicia de los Estados Unidos ha publicado un recordatorio a las oficinas del fiscal general de EE. UU. en todo el país, diciéndoles que prioricen los ataques de ransomware al mismo nivel que los casos de terrorismo. Este es un movimiento verdaderamente sin precedentes que literalmente coloca al ransomware en la parte superior de la lista de las fuerzas del orden de EE. UU.

Para enfatizar la seriedad con la que la administración se está tomando estos ataques de ransomware, el lunes 7 de junio de 2021 en los Estados Unidos. Asesor de seguridad nacional, Jake Sullivan Ella dijo que la administración estaba planeando abordar el ransomware «en cada parada» del primer viaje internacional planeado del presidente Biden. Dijo que esperaban que esto llevara a Estados Unidos y sus aliados a desarrollar un «plan de acción», indicando claramente un objetivo de fuerte coordinación para combatir el problema.

El mismo día, el Departamento de Justicia de los Estados Unidos anunció que había recuperado $ 2.7 millones del rescate de $ 4.4 millones que Colonial Pipeline había pagado. Otra acción sin precedentes en velocidad y alcance.

En conjunto, estas acciones constituyen un cambio significativo en la postura del gobierno de los EE. UU. Y de las fuerzas del orden público federales hacia el ransomware. Y podemos ver que algunas de estas acciones ya están afectando a la «industria» del ransomware.

Impacto de las acciones en los grupos de ransomware

Para ver el impacto de al menos algunas de estas acciones, podemos mirar al grupo de ransomware Darkside detrás de los ataques de Colonial Pipeline.

Primero, es de destacar que un par de días después del ataque al Colonial Pipeline, el grupo de ransomware Darkside emitió una declaración sin precedentes que parecía destinado a poner distancia entre ellos y el impacto del ataque. El grupo Darkside en realidad opera bajo un modelo de afiliados, lo que significa que otros lanzan los ataques reales utilizando la tecnología e infraestructura pagadas de Darkside. El tono de la declaración y el hecho de que atribuyan el ataque a un «mal afiliado» parece calculado para intentar extender cualquier posible castigo.

Esto es consistente con Darkside, cuyo ransomware verifica específicamente el idioma del sistema antes de la instalación para no instalarlo en sistemas en Rusia, los «países vecinos» de Rusia y Siria (donde están estacionadas las tropas rusas). Nuestros investigadores han verificado esto en versiones recientes de su ransomware y se cree ampliamente que esta es una táctica para garantizar que no engañen a las autoridades nacionales y al gobierno para que los cierren. Esta declaración inicial parecería ser otra táctica en ese manual para mantener bajo el «calor» de la aplicación de la ley y la acción del gobierno contra ellos.

Sin embargo, la táctica parece haber fallado. Al final de la semana, mientras el Oleoducto Colonial reanudaba sus operaciones, aprendió que Darkside había perdido el control de su infraestructura y sistemas de pago y estaba cerrando su programa de afiliados debido a la «presión de Estados Unidos». También indicaron que sus fondos se habían retirado a una cuenta desconocida. Presumiblemente, al menos en parte, esto representa la recuperación parcial del rescate de Colonial Pipeline.

Aproximadamente al mismo tiempo, nos enteramos de que dos importantes foros clandestinos que alojaban anuncios de ransomware, XSS es Explotar, prohibió esos anuncios. Esta medida asestó un duro golpe a la parte comercial del negocio del ransomware, lo que dificultó la publicidad de los posibles afiliados y compradores de servicios de ransomware.

Y unas dos semanas después de que Darkside anunciara que cerrarían, nosotros … aprendió que algunos de los afiliados de Darkside acudirían al «tribunal de piratas informáticos» para intentar recuperar los fondos adeudados por Darkside.

Finalmente, unos días después de que el FBI nombrara a REvil como responsable de los ataques de JBS, REvil liberado su propia afirmación parece intentar distanciarse del impacto del ataque, similar a la afirmación de Darkside.

Grupos de ransomware frente a una nueva realidad

Cuando miramos lo que han hecho los grupos Darkside y REvil, qué les sucedió y cómo otros están respondiendo, está claro que se está produciendo un cambio radical.

Tanto Darkside como REvil tomaron medidas para intentar distanciarse del impacto de los ataques que se les atribuyen, lo que no tiene precedentes.

Darkside ha visto sus operaciones detenidas, su dinero tomado y tiene que lidiar con afiliados que afirman estar endeudados por dinero. En este momento parece que están fuera del negocio.

Dos importantes foros de publicidad de ransomware han prohibido dichos anuncios, lo que afectará a todos los operadores de ransomware, lo que hará que sea más difícil llevar a cabo sus actividades como de costumbre.

Y otros operadores de ransomware se han dado cuenta de esto y han tomado medidas. Por ejemplo, el grupo Avaddon Anunciado ciertas restricciones sobre los tipos de ataques que llevarán a cabo o permitirán que sus afiliados realicen, prohibiendo el objetivo de entidades afiliadas al gobierno, hospitales o instituciones educativas. Curiosamente, REvil fue uno de los operadores que afirmó que prohibiría ciertos ataques antes del ataque de JBS. Esto da crédito a su afirmación, lo que implica que los resultados del ataque de JBS no fueron los que esperaban.

Mientras tanto, la pérdida de fondos por parte de Darkside y la recuperación y devolución de al menos parte del rescate pagado por Colonial Pipeline cuestiona la viabilidad económica del ransomware como empresa. O, al menos, aumenta la parte de riesgo del cálculo de riesgo-rendimiento.

Cuando miramos todo esto, es razonable concluir que la respuesta vigorosa y robusta del gobierno de Estados Unidos ya está teniendo un impacto claro, directo y positivo.

Esto no quiere decir que el problema del ransomware esté desapareciendo. Estos son avances importantes, pero la escala y la escala del problema es enorme. Dicho esto, la acción del gobierno de EE. UU. Y el impacto que parece tener muestra una promesa real de cambiar el entorno actual de ransomware, especialmente si otros gobiernos y agencias de todo el mundo siguen su ejemplo. Y la administración claramente está tratando de involucrar a los aliados para obtener respuestas más vigorosas y coordinadas a este problema.

Es posible que Darkside no esté permanentemente fuera de servicio; pueden reformarse en algún momento. Pero la historia nos muestra que el éxito en la lucha contra el crimen organizado pasa por muchas victorias, grandes y pequeñas, en múltiples frentes, a lo largo del tiempo. Y el gobierno de Estados Unidos ha demostrado que está dispuesto a abrir más frentes en la lucha.

Mientras tanto, sigue ahí un problema de ransomware Aquí hoy. Las empresas y las personas deben escuchar los consejos de Anne Neuberger y mantener los sistemas actualizados, ejecutar software de seguridad, no hacer clic en los enlaces y realizar buenas copias de seguridad. Y lo más importante, si sufre un ataque de ransomware, no pague el rescate, solo está ayudando a estos grupos a realizar futuros ataques que lo golpearán directamente o, como hemos visto en estos tres ataques, indirectamente.


Obtenga más información sobre cómo Avast Business Solutions puede ayudar a proteger su empresa del ransomware.