Cómo las pandillas de ransomware reclutan a los infiltrados (y cómo detenerlos)

El ransomware es uno de los tipos de ciberdelincuencia más dañinos. A medida que los datos se vuelven más valiosos, los delincuentes han descubierto que pueden obtener mejores días de pago reteniéndolos para pedir un rescate. Estos ataques se han vuelto alarmantemente comunes y algunas pandillas de ransomware incluso están reclutando a miembros de la compañía para que los ayuden.

Las empresas que desean mantenerse a salvo del ransomware ahora deben considerar algo más que amenazas externas. El próximo ataque podría venir desde adentro.

¿Por qué las pandillas de ransomware quieren información privilegiada?

Pedir ayuda a los empleados con un delito parece una buena manera de dar la alarma, así que, ¿por qué las pandillas de ransomware correrían ese riesgo? La mayor parte se debe a los internos que hacen que estos ataques tengan más probabilidades de éxito.

Muchos están de acuerdo en que los de adentro

representan mayores riesgos que las amenazas externas porque ya tienen acceso a información confidencial, y muchas empresas pasan por alto los riesgos internos. Como resultado, los empleados pueden ser de gran ayuda para las pandillas de ransomware si están convencidos de ayudar. En lugar de tener que piratear capas de sistemas de seguridad complejos, los ciberdelincuentes simplemente pueden enviar un correo electrónico a un empleado con un archivo para instalarlo en las computadoras de las obras.

Puede volverse cada vez más difícil piratear una empresa cuando las defensas de seguridad son tan sólidas. Por el contrario, los humanos son tan fáciles de manipular como siempre. Reclutar a una persona con información privilegiada hace que sea mucho más fácil realizar un ataque de ransomware exitoso, lo que a menudo significa un gran pago.

Métodos de reclutamiento de información privilegiada

Evitar que las pandillas de ransomware obtengan información privilegiada para hacer su trabajo sucio comienza con aprender cómo lo hacen. Estos son algunos de los métodos más comunes.

Ingeniería social

El phishing u otras formas de ingeniería social representan un gran porcentaje de los ataques de ransomware, y es evidente por qué. Es más fácil reclutar a alguien para ayudar con un crimen si no saben que es lo que están haciendo. Las pandillas de ransomware pueden hacer que los empleados instalen software malicioso sin que ellos se den cuenta.

Estos ataques suelen venir por correo electrónico o mensaje de texto y, a menudo, contienen un enlace o un archivo adjunto que parece legítimo. Cuando el usuario interno desprevenido hace clic en él, el archivo o enlace instala ransomware en su dispositivo de trabajo. Como resultado, brinda acceso interno a las bandas de ransomware sin tener que convencer a nadie para que cometa un delito a sabiendas.

Las pandillas de ransomware también se han vuelto más directas en los últimos años. De acuerdo a Bravura Seguridad, un impactante 65 por ciento de los profesionales de TI dice que los delincuentes se comunicaron directamente con ellos o sus empleados para ayudarlos en un ataque de ransomware; eso es un aumento del 17 por ciento con respecto a los niveles de 2021.

Al igual que el phishing, estas solicitudes generalmente llegan por correo electrónico, pero algunas pandillas de ransomware se comunican a través de llamadas telefónicas o redes sociales. En la mayoría de los casos, intentan convencer a los empleados de que ayuden sobornándolos. Las pandillas ofrecerán cientos de miles de dólares en efectivo, criptomonedas o una parte del rescate a cambio de instalar ransomware.

Colaboración colectiva

Los investigadores de seguridad también han notado que algunas pandillas de ransomware intentan realizar sus ataques mediante crowdsourcing. Los ciberdelincuentes publican en foros públicos o plataformas sociales encriptadas como Telegram, solicitando a las personas con acceso interno que se comuniquen con ellos. Incluso pueden realizar encuestas públicas sobre a quién apuntar o qué datos filtrar.

Estas publicaciones públicas llegan a una audiencia más amplia, lo que potencialmente aumenta las posibilidades de obtener ayuda interna. De acuerdo a comparatech, un rescate promedio es de más de $ 2 millones, las pandillas de ransomware obtendrán más que suficiente con un ataque exitoso para pagar también a varios colaboradores.

Ejemplos de Insiders que ayudan a los atacantes de Ransomware

Ataques como este se han dirigido a algunas de las empresas más reconocidas del mundo. En 2021, Noticias AP informó que un ciberdelincuente le ofreció a un empleado de Tesla $ 500,000 para instalar ransomware en las computadoras de la empresa. En este caso, el empleado denunció el incidente en lugar de tomar el dinero, pero resalta la magnitud de estos ataques.

Otras empresas han tenido menos suerte. En 2019, un exempleado descontento de la empresa de soporte técnico Asurion recibió $50,000 por día de su antiguo empleador después de robar datos sobre millones de clientes (según Bitdefender). La policía logró atrapar al ex trabajador, pero no después de que la empresa ya había gastado miles en pagos de rescate.

Vale la pena señalar que, si bien estos ataques se han vuelto más comunes, tampoco son necesariamente nuevos. De acuerdo a el FBI, un ingeniero de Boeing robó cientos de miles de documentos entre finales de la década de 1970 y principios de la de 2000 como recluta de las agencias de inteligencia chinas. Esta instancia es anterior al ransomware, pero ejemplifica cuán extremas pueden ser las amenazas internas que funcionan para poderes externos.

Cómo prevenir las amenazas internas de ransomware

Dados los riesgos masivos, las empresas deben hacer todo lo posible para evitar que personas internas trabajen con bandas de ransomware. Aquí hay tres pasos cruciales hacia ese objetivo.

Cree una cultura positiva en el lugar de trabajo

Una de las medidas más importantes que puede tomar es asegurarse de que los empleados estén satisfechos en sus puestos. Cuanto menos le guste a un empleado su empleador, más probable será que acepte un soborno de una pandilla de ransomware y ayude a atacar a su empresa para vengarse. Construir un lugar de trabajo más positivo minimiza esa amenaza.

El salario competitivo es una parte importante de la satisfacción de los empleados, pero no lo es todo. A Informe Gallup muestra que solo el 28 por ciento de los empleados mencionan el salario y los beneficios como el mayor cambio que haría que su lugar de trabajo fuera excelente, en comparación con el 41 por ciento que mencionó problemas de compromiso y cultura. Trabajar con los empleados para garantizar que se sientan respetados, seguros y cuidados será de gran ayuda.

Capacitar a los empleados

Las empresas deben capacitar a sus empleados para detectar tácticas de ingeniería social también. Muchos ataques de ransomware relacionados con información privilegiada provienen de accidentes como hacer clic en un enlace de phishing. La clave para detener estos incidentes es enseñar a los trabajadores a qué deben prestar atención.

Los errores de ortografía, la urgencia inusual y las situaciones que suenan demasiado buenas para ser verdad son indicadores comunes de phishing. En general, los empleados no deben hacer clic ni responder a ningún mensaje no solicitado y nunca deben proporcionar información confidencial por correo electrónico.

Implementar seguridad de confianza cero

La seguridad de confianza cero es otro paso esencial para prevenir las amenazas internas de ransomware. El enfoque de confianza cero trata todo como potencialmente hostil, que requiere verificación en cada paso antes de otorgar acceso a cualquier cosa o persona. Como parte de eso, también limita el acceso para que cada empleado solo pueda ver lo que necesita para su trabajo.

Estos modelos de seguridad son más difíciles de implementar que los enfoques tradicionales, pero son la mejor apuesta contra las amenazas internas. Debido a que incluso los internos autorizados solo pueden acceder a una cantidad limitada de recursos, reclutar a los internos no necesariamente hará que valga la pena el costo de un ataque de ransomware.

Las amenazas internas de ransomware son manejables

La tendencia de las pandillas de ransomware que reclutan a personas internas no es necesariamente nueva, pero va en aumento. Eso debería ser motivo de preocupación, pero no significa que no puedas defenderte de él.

Las amenazas internas de ransomware resaltan la importancia de limitar la confianza en la ciberseguridad. Las amenazas pueden provenir de cualquier lugar, incluso de empleados de confianza, por lo que es mejor bloquear las cosas tanto como sea posible.