¿Cómo el ransomware se aprovecha de los insider threats?

POR: EIMY VERONICA RODRÍGUEZ RODRÍGUEZ | CYBERSECURITY ENGINEER EN HTECH
La manera en la que funciona o se ejecuta el ransomware ha cambiado a lo largo de los años, creciendo en temas de funcionalidades, complejidad y sofisticación. Dentro de las organizaciones siempre estamos pensando en los external threats (una persona del exterior que se aprovechará de una vulnerabilidad de nuestros sistemas). Pero algo que se ha descuidado es otra amenaza existente y que ha resonado en los últimos años: el insider threat (amenazas internas).

Existen distintas amenazas internas, pero en esta ocasión nos enfocaremos en el modo de operación para el ransomware. Principalmente, vamos a definir este tipo de software malicioso.

¿Qué es el ransomware?

Según Malwarebytes, “el malware de rescate, o ransomware, es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos”.

Generalmente, cuando se ha sido víctima de este tipo de malware, se puede identificar porque aparece una pantalla en el escritorio comentando principalmente cuatro cosas:

• ¿Qué fue lo que pasó? Tu información fue encriptada.
• ¿Qué puedo hacer? Si quieres recuperarla, deberás pagar cierta cantidad de dinero.
• Una cuenta de bitcoin para realizar el pago.
• Una amenaza de que la información se perderá o será expuesta.

Antes, la forma en la que funcionaba era la siguiente: encriptaban toda la información y pedían el rescate. En esos casos, las empresas podían restaurar su información desde backups y así seguir con su operación normal. Pero eso ha cambiado desde hace años: ahora los ciberdelincuentes roban un porcentaje de información antes de encriptarla, bajo la amenaza de hacerla pública, acto que podría traer grandes consecuencias en la reputación y en otros ámbitos de la empresa.

¿Qué es Insider threat?

Según Imperva, “una amenaza interna es un riesgo de seguridad que se origina dentro de la organización. Por lo general, involucra a un empleado o socio comercial actual o anterior que tiene acceso a información confidencial o cuentas privilegiadas dentro de la red de una organización, y que hace un mal uso de este acceso”.

Existen distintos tipos:
• Malicious: alguien que realmente quiere causar daño.
• Accidental: alguien que comparte información mediante casos como phishing.
• Negligent: alguien que conoce que realizar una acción conlleva un riesgo, y lo realiza.
• A mole: alguien que es externo, pero ingresa a la empresa con la finalidad de causar daño.

¿Qué está ocurriendo?

En vez de estar gastando recursos en ataques sofisticados en la infraestructura de una empresa se suelen enfocar en el usuario final. Podemos tener todos los controles de seguridad del mundo y, aun así, la información y los recursos deben ser compartidos a las personas para darle un uso, y es ahí donde entra el “eslabón más débil”.

Uno de los ejemplos más notorios es el phishing, en el que un mensaje alarmante le llega al usuario para que cambie sus credenciales de inmediato; de lo contrario, algo horrible podría ocurrir. En este momento, el usuario final introduce sus credenciales y, sin percatarse, su cuenta es comprometida.

También está el reciente caso de LAPSUS$ MFA, en el que por llamada o notificaciones provocaban que el usuario compartiera el código para que el atacante ingresara.

Una vez adentro se comenzaba la ejecución de software malicioso dentro de los equipos al interior de la organización.

¿Recuerdan a LockBit? Es un ransomware que utiliza el modelo de ransomware-as-a-service. Esto se refiere a cuando un grupo de desarrolladores crea un malware tipo ransomware y lo ofrece a actores maliciosos interesados (no es necesario que tengan conocimientos técnicos debido a que usualmente solo es cuestión de clicks) para que ellos contraten el servicio (se convierten en “afiliados”) y distribuyan la amenaza a sus víctimas. Al ser un servicio as-a-service, el afiliado paga una mensualidad por utilizar la herramienta, así como una comisión por las ganancias obtenidas por su distribución.

Sin embargo, comenzaron a quitarse ese paso y fueron directamente con los usuarios finales dentro de la empresa. Entonces, al momento de comprometer algún equipo colocaban la siguiente leyenda: “you can provide us accounting data for the access to any company, for example, login and password RDP, VPN, corporate email”, etc.

Esta leyenda informaba a los usuarios dentro de la empresa o equipos de respuesta a incidentes (personas que cuando ocurre algún incidente, validan y responden a los hechos) que podían compartir sus datos o credenciales para que los ciberdelincuentes pudieran acceder a más recursos y obtener más información. Podríamos pensar, ¿si ya fuimos comprometidos, por qué pedir otros accesos? Una de las posibles respuestas sería la extensión de la brecha de seguridad a otras partes que no habían sido comprometidas.

Como podemos observar, las amenazas internas son los principales vectores de ataque de los ciberdelincuentes, debido a que no necesitan una infinidad de herramientas o técnicas para poder obtener el acceso.