Los ataques de ransomware siguen perfeccionándose y alcanzando una mayor eficiencia en los últimos años. Hasta tal punto, que los ciberdelincuentes buscan generar un impacto devastador en las empresas, a nivel financiero y reputacional. En muchas ocasiones, se precisa de la figura de interventores o negociadores especializados, cuya función principal es ganar tiempo y reducir el precio del rescate.

En un ataque de ransomware se calcula que participan, habitualmente: desarrolladores (20%), intermediarios (brokers) de acceso inicial (10%), responsables de hacer pentesting (10%), negociadores (10%) y afiliados (50%). De ahí que estos grupos de cibercriminales se vayan especializando e incluyendo en sus grupos personas con habilidades específicas en materia de negociación y pagos de rescates.

Ganar tiempo es clave y si los ciberdelincuentes perfeccionan sus técnicas, los negociadores de las empresas también deben hacerlo y desarrollar estrategias eficientes para anticiparse. Es el caso de Jeff Wichman, antiguo negociador profesional de ransomware que actualmente es director de respuesta a incidentes en la empresa de seguridad Semperis, que ha expuesto cómo era su trabajo en una entrevista reciente para Raconteur.

Las claves del negociador de ransomware

El propio Wichman asegura que llegó por causalidad al puesto, trabajando en la empresa Crypsis, del grupo Palo Alto Networks. Poco a poco comenzó a dirigir a su propio equipo de negociación del grupo de ransomware. Un negociador debe mantener un perfil sereno, analítico, comunicativo y racional en todo momento.

Hay que tener en cuenta que los cibercriminales no son una entidad homogénea. Actúan como individuos aislados, pero a su vez otros forman parte de entramados de redes criminales más complejas.

La capacidad de negociación es fundamental, ya que las motivaciones de los atacantes sueles ser económicas, o bien, simplemente, causar el caos y la perturbación. De ahí que el negociador de ransomware deba estar capacitado para conocer a su adversario a la perfección y así poder hacerle frente.

¿Cómo es la operatividad?

El operativo de negociación con cibercriminales es bien complejo y prolongado en el tiempo. En un principio llega una nota de rescate por parte de los piratas informáticos que permite comunicarse con ellos a través de una plataforma de chat en línea en Tor o enviarles un correo electrónico para conocer cómo recuperar datos.

Hay un proceso en el que el negociador establece el contacto y determina qué se ha robado y cuáles son las exigencias. Tras la configuración inicial, habrá que obtener pruebas de exfiltración y un archivo con todo lo que se ha ido sustrayendo.

A continuación, según Wichman, se elegirán archivos específicos y pruebas para comprobar qué informaciones se han sustraído. Es fundamental indicarles documentos confidenciales, pero no archivos concretos, porque puede suceder que los atacantes no quieran revelar dicha información.

Con todos esos archivos de muestra, los investigadores podrán trabajar en reparar los sistemas y en retornar la normalidad a la empresa. Una vez se conoce de dónde proceden los archivos se pueden reparar los sistemas y evaluar los sistemas como una prioridad. Será importante buscar transferencias de archivos grandes desde directorios específicos, los cuales normalmente contendrán información financiera.

Después habrá que pedir una prueba de vida, enviando archivos cifrados para que los descifrasen. En algunos momentos, el negociador debe parecer un neófito en la materia y en otros, ser inteligente y demostrar que se sabe qué es lo que está pasando.

El objetivo fundamental a la hora de negociar debe ser ganar tiempo, aunque también se podría recurrir a conseguir que el precio del rescate bajase. Si existe un entorno con 100.000 sistemas se podría trabajar para ver cuáles deberían de analizarse a fondo.

Normalmente se realiza un triaje de todos los sistemas, aunque solo se investigan los más importantes. Hay que tener en cuenta que algunos grupos están abiertos a negociar, pero que otros serán más duros y rápidos, a la par que serán menos partidarios a negociar.

¿Cuál es el momento para negociar?

Llegar a acuerdos con cibercriminales no es sencillo y debe ser siempre el último recurso. Habrá que tener en cuenta fallas en el respaldo de datos (si las copias de seguridad han sido comprometidas o no existen), impacto en el negocio (pérdida de información que interrumpa las operaciones habituales) y costos comparativos (analizar el costo de no recuperar la información frente al costo del rescate.

Y es que en muchos casos el rescate puede ser menor que las pérdidas acumuladas por tiempo de inactividad prolongado, pérdida de ingresos y/o daños a la reputación. Es importante ganar tiempo y, si fuese necesario, utilizar técnicas de comunicación efectivas que tocasen la sensibilidad de los ciberdelincuentes.

Mantener una estrategia de defensa

Una vez que los datos han sido robados, éstos pueden ser vendidos. Los atacantes pueden convencer a los que han pagado el rescate de que han borrado una carpeta, pero es difícil saber si verdaderamente ha sido así. En raras ocasiones, tal y como puntualiza Wichman, se encuentran atacantes honestos.

Si se es consciente de que se ha sufrido una vulneración de seguridad, lo recomendable será adoptar medidas de prevención en adelante. Por todo ello, se recomienda utilizar cuentas de administrador de dominio y separar los sistemas para que no todos los usuarios tuviesen acceso a todos los archivos.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre