Nueve consejos para una negociación eficaz de 'ransomware'

Los analistas de ciberseguridad y amenazas de Fox-IT han arrojado luz sobre la mecánica de las negociaciones de ransomware para ayudar a las organizaciones a mejorar el resultado de un ataque. “Esta investigación empírica sugiere que el ecosistema de ransomware se ha convertido en un negocio sofisticado”, dicen los expertos. “Cada banda de ciberdelincuentes ha creado sus propias estrategias de negociación y precios destinados a maximizar sus ganancias”.

Grupos de ransomware a la cabeza de las negociaciones

El conjunto de datos se centró principalmente en dos cepas de ransomware diferentes. El primero se recopiló en 2019 cuando los adversarios eran relativamente inexpertos y las demandas de rescate eran más bajas. Consistió en 681 entre las víctimas y el grupo. El segundo conjunto de información, que consta de 30 negociaciones, se recopiló a principios de año, cuando los ataques se convirtieron en una gran amenaza para las empresas de todo el mundo.

El análisis reveló que la madurez de las operaciones de ransomware ha mejorado. Los grupos clandestinos están calculando el coste de un incidente e implementando estrategias de precio de rescate basadas en múltiples variables sobre las organizaciones, incluida la cantidad de dispositivos infectados, número de empleados, ingresos estimados y el impacto potencial que tendría que la paralización de los servicios saliera en los medios de comunicación. Al hacerlo, pueden predecir con precisión cuánto pagarán las empresas incluso antes de iniciar las conversaciones. “Normalmente, en una negociación, cada jugador tiene sus cartas en sus propios manos, pero estos grupos conocen los gastos de las compañías y cuánto necesitan ganar para cubrirlos, mientras que la víctima solo hace una estimación del coste de reparación. Esto crea una situación en la que la víctima debe atravesar por una partida injusta que la guía a un rango de rescate preestablecido pero razonable sin su conocimiento. Es un juego amañado; si el atacante lo hace bien gana siempre. Y esto contribuye a un ecosistema de ciberataques desenfrenado”.

Una observación interesante dentro de la investigación es que las empresas más pequeñas generalmente pagan más desde la perspectiva de un rescate por ingresos anuales, es decir, en porcentaje. Por el contrario, la mayor cantidad la pagó una compañía del Fortune 500 (14 millones de dólares). “Por lo tanto, es comprensible que un actor con motivación financiera pueda seleccionar objetivos valiosos y beneficiarse de unos pocos grandes rescates en lugar de ir a por las pymes. Esta situación lleva a algunos grupos a apuntar solo a empresas grandes y rentables”

Cuatro pasos de preparación a seguir antes de un ataque de ransomware

La investigación estableció las mejores prácticas y enfoques que pueden ayudar a inclinar la balanza de la negociación a favor de la víctima, comenzando por la preparación antes de que surjan las negociaciones:

• Diga a sus empleados que no abran las notas de rescate y hagan clic en el enlace. Esto a menudo inicia una cuenta regresiva para cuando se requiere el pago. No abrir la nota gana tiempo para determinar qué partes de la infraestructura se ven afectadas, qué consecuencias tiene el ataque y los posibles costes asociados.
• Establezca sus objeticos de negociación teniendo en cuenta las copias de seguridad y los mejores y peores escenarios de pago.
• Establezca líneas de comunicación internas y externas claras que involucren a los equipos de gestión de crisis, la junta directiva, el asesor legal y el departamento de comunicaciones.
• Infórmese sobre el atacante para aprender sus tácticas y ver si hay una clave de descifrado disponible.

Cinco enfoques para la negociación

Armadas con esta preparación, las organizaciones estarán en una mejor posición para negociar si toman la decisión de hacerlo. Estos son los cinco enfoques diseñados para reducir el daño:

• Sea respetuoso en las conversaciones y use un lenguaje profesional, dejando las emociones fuera
• Las víctimas deben estar dispuestas a pedir más tiempo a los atacantes, lo que les permitirá explorar todas las posibilidades de recuperación. Una estrategia es explicar que necesita tiempo adicional para recaudar los fondos de criptomonedas necesarios.
• En lugar de perder tiempo, las organizaciones pueden ofrecer pagar una pequeña cantidad por adelantado, y se sabe que los adversarios aceptan grandes descuentos para obtener una ganancia rápida y pasar a otro objetivo.
• Una de las estrategias más efectivas es convencer al atacante de que no estás en condiciones financieras para pagar la cantidad solicitada inicialmente. Esto puede resultar efectivo incluso para organizaciones muy grandes.
• Evite decirle al adversario que tiene una póliza de seguro cibernético. No deben guardar los documentos de ese seguro en ningún servidor accesible, ya que puede hacer que los atacantes sean menos propensos a ser flexibles con las negociaciones.