Sobrevivir a un ataque de ransomware es posible con una combinación de preparación e intencionalidad. Hay una idea errónea de que los ataques de ransomware tienen 2 finales posibles: son completamente frustrados, o son exitosos. En uno los usuarios salvan todos sus datos, en el otro los atacantes terminan tomando el control total de sus objetivos. Sin embargo, los últimos dos años han demostrado que el éxito de los usuarios a la hora de hacer frente a los ataques de ransomware se sitúa en un amplio espectro de resultados potenciales, algunos obviamente mejores que otros.

También es fácil imaginar que todos los grupos que están en el negocio del ransomware tienen las mismas habilidades, apuntan a los mismos objetivos y operan bajo los mismos modelos de negocio. Pero, como ocurre en cualquier industria vertical, los grupos que se dedican al ransomware tienen una amplia gama de habilidades y una variedad de objetivos y modelos de negocio.

Está de moda referirse a REvil y DarkSide como “modelos de franquicia” que suministran ransomware como servicio. Pero es importante recordar que los franquiciados son en realidad ciberdelincuentes autónomos. El franquiciador proporciona operaciones de back-office para estos autónomos, mientras que ejerce poca influencia en la forma en que operan.

Teniendo en cuenta lo anterior, consideremos cada uno de los factores que pueden afectar al resultado de un ataque.

Habilidad y persistencia del atacante

Las habilidades de los atacantes y las habilidades de los defensores (además de algunos elementos de suerte) suelen determinar el posible alcance de los ataques de ransomware:

• Habilidades bajas: Algunos atacantes pueden ser hábiles para atacar a organizaciones con prácticas de seguridad rezagadas. Pero, a menudo, se encontrarán con su rival en organizaciones que tienen defensas robustas
• Habilidades incorrectas: Los atacantes con habilidades y herramientas útiles para atacar centros de datos tradicionales tendrán problemas para irrumpir en objetivos que han trasladado todo a la nube
• Mala suerte: Organizaciones que generalmente están bloqueadas pero que pueden tener una exposición temporal con la que un atacante tropieza por casualidad
• Buena suerte: Organizaciones que han dejado una apertura persistente (por ejemplo, acceso RDP abierto al exterior en un enclave de AWS) pueden tener una racha de buena suerte ya que ningún atacante se encuentra con ella

Objetivo de los ataques de ransomware

Los grupos de ataque también pueden especializarse en objetivos centrados en las fugas o en las operaciones.

Los objetivos centrados en las filtraciones implican la exfiltración y la amenaza de revelar datos confidenciales pertenecientes a la organización objetivo. Los datos más valiosos en este sentido suelen ser los relacionados con los clientes y empleados del objetivo, ya que el potencial de responsabilidad legal y de reputación actúa como un fuerte incentivo para el pago del rescate.

Alternativamente, la divulgación pública o la venta de propiedad intelectual o secretos comerciales también pueden justificar el pago del rescate. El libro de jugadas de este tipo de ataques suele consistir en enviar a la víctima una muestra de los datos para mostrar lo que tiene el atacante. A partir de ahí, se puede escalar hasta hacer pública una muestra de datos y contactar con los clientes de la víctima para presionarla a pagar el rescate.

Un ejemplo de ataque con un objetivo centrado en la filtración fue el ataque asociado a REvil contra Quanta, que exfiltró especificaciones de futuros diseños de productos de Apple. Los atacantes pidieron primero un rescate de 50 millones de dólares a Quanta. Luego decidieron que Apple tenía bolsillos más profundos e intentaron extorsionar 50 millones de dólares a cambio de no filtrar públicamente los datos o venderlos a un competidor de Apple.

Grados de éxito

Varios factores (incluida la suerte) limitan los posibles resultados de un ataque de ransomware. Los posibles resultados incluyen:

Los atacantes no logran avanzar lo suficiente en una organización objetivo y se rinden. Esto puede deberse al grado de dificultad percibido para llevar a cabo el ataque con éxito. También porque hay otros objetivos que los atacantes están persiguiendo simultáneamente que parecen más prometedores. Piense en esto como un coste de oportunidad. En cualquier caso, no se pide un rescate.

Los atacantes tienen éxito hasta cierto punto y creen tener cierta influencia para pedir un rescate, pero éste finalmente no se paga. El resultado en estos casos suele ser un cierto impacto operativo o un daño a la reputación. En última instancia implica la supervivencia y (con suerte) un sentido de compromiso renovado con la ciberseguridad.

Los atacantes tienen éxito hasta cierto punto y la petición de rescate es lo suficientemente modesta como para que la víctima decida pagar el rescate, ya que es menos costoso que el esfuerzo de recuperación. En esto también puede influir que la víctima tenga una póliza de ciberseguro que ofrezca cobertura contra el ransomware.