Una campaña de ransomware dirigida a 23 ciudades de EE. UU. En todo Texas ha generado serias preocupaciones sobre la vulnerabilidad de los gobiernos locales y los servicios públicos a los ataques cibernéticos. Estos eventos ocurren poco después de ataques similares contra organizaciones gubernamentales y empresariales en Indiana, Florida y otros lugares. Reflejan un cambio general en las tácticas de ransomware de ataques de «rociar y orar» a un gran número de consumidores individuales, a «caza mayor», que apunta a organizaciones, generalmente a través de personas en posiciones de poder.
Un informe reciente de la empresa de ciberseguridad Malwarebytes encontró un aumento del 363% en las detecciones de ransomware contra empresas y organizaciones (en lugar de individuos) de 2018 a 2019. En pocas palabras, los ciberdelincuentes ven la oportunidad de extorsionar mucho más dinero de las organizaciones que de las personas. . Aunque se descubrió que la mayoría de los ataques de ransomware ocurren en los Estados Unidos, los gobiernos locales de todo el mundo son igualmente vulnerables.
El ransomware generalmente se propaga a través de correos electrónicos de phishing o enlaces a sitios web infectados, basándose en errores humanos para obtener acceso a los sistemas. Como su nombre indica, el ransomware está diseñado para bloquear el acceso a datos, sistemas o servicios hasta que se pague un rescate. A nivel técnico, las ciudades tienden a ser objetivos bastante fáciles porque a menudo tienen sistemas operativos a medida, con partes que están viejas y desactualizadas, así como medidas de respaldo ineficaces.
Las ciudades también tienden a carecer de políticas de seguridad en todo el sistema, por lo que si los ciberdelincuentes obtienen acceso a través de un sistema, pueden acceder a otros y causar estragos al congelar datos esenciales y evitar la prestación de servicios. Pero incluso si las organizaciones han mejorado su seguridad técnica, mi investigación con mi colega Lena Connolly ha encontrado que pocas ponen el mismo énfasis en capacitar a los empleados para identificar y resistir los ataques.
Objetivo localizado
Los empleados de muchas organizaciones pequeñas y medianas, como los gobiernos locales, a menudo no reconocen el verdadero valor comercial de su organización para los delincuentes, y comúnmente piensan que es poco probable que sean atacados . Como resultado, también pueden desarrollar malos hábitos, como el uso de sistemas de trabajo por razones personales, lo que puede aumentar la vulnerabilidad.
Los delincuentes harán su tarea antes de lanzar un ataque, para crear la interrupción más severa que puedan. Después de todo, cuanto mayor es la presión para pagar el rescate, más altos pueden establecer la tarifa.
Los atacantes identifican individuos clave para atacar y buscar vulnerabilidades, como computadoras que se han dejado encendidas fuera del horario laboral o que no se han actualizado. Una vez que han resuelto a quién dirigirse, los ciberdelincuentes implementan técnicas de «ingeniería social», como el phishing, que manipula psicológicamente a lasvíctimas para que abran un archivo adjunto de correo electrónico o hagan clic en un enlace, lo que permite que el programa de ransomware ingrese al sistema operativo de la organización.
¿Pagar o no pagar?
Pagar o no el rescate no es una decisión directa para las autoridades de la ciudad con servicios públicos vitales en la línea. La mayoría de las agencias policiales instruyen a las víctimas de no pagar, pero como Alcalde Stephen Witt de Lake City, Florida, lo pusierondespués de su pupila fue blanco:
Con tu corazón, realmente no quieres pagar a estos tipos. Pero, dólares y centavos, representando a los ciudadanos, eso era lo correcto.
Otro problema es que el ransomware no siempre se implementa para extorsionar dinero, por lo que pagar el rescate no garantiza que se restablezcan los datos. Los atacantes pueden tener diferentes motivos, habilidades y recursos; por lo tanto, es crucial determinar su motivo (a menudo con muy poca información).
En lugar de simplemente ganar dinero usando ransomware, algunos ciberdelincuentes podrían tratar de desactivar a los competidores del mercado que proporcionan bienes o servicios competitivos. O bien, pueden usar los ataques con fines políticos, para reducir la confianza del público en la capacidad de un gobierno local para prestar servicios esenciales. En tales casos, es poco probable que los datos se restablezcan, incluso si se paga el rescate.
Buscando cobertura
Muchas ciudades están aseguradas contra ataques, y las aseguradoras a menudo pagan el rescate para recuperar datos robados, a veces empleando negociadores externos , en contra del asesoramiento nacional. Irónicamente, el conocimiento de que es probable que se les pague a los ciberdelincuentes justifica el tiempo que pasan investigando las debilidades de su objetivo, y deja la puerta abierta para ataques repetidos. Esta fue una de las razones por las cuales los ciberdelincuentes cambiaron las tácticas y comenzaron a atacar a las organizaciones en primer lugar.
Esto deja a las autoridades de la ciudad una elección difícil, entre pagar para restaurar datos y servicios esenciales (y alentar a los cibercriminales) o admitir que sus sistemas se han visto comprometidos y enfrentar una reacción social y política. Aun así, hay algunas medidas que las autoridades municipales pueden tomar para protegerse a sí mismas y a sus ciudadanos del ransomware.
Hoy, las autoridades deben asumir que se trata de cuándo, no si, ocurrirá un ataque. Deben instalar sistemas de respaldo para datos protegidos que tengan la capacidad de reemplazar los sistemas operativos y bases de datos infectados si es necesario. Por ejemplo, en el Reino Unido, la investigación encontró que el 27% de las organizaciones del gobierno local eran objetivos de ransomware en 2017. Sin embargo, el 70% de sus 430 encuestados tenían sistemas de respaldo, en preparación para el Reglamento General de Protección de Datos (GDPR) de la UE , y Por lo tanto, podría recuperarse de un ataque de ransomware mucho más rápido que sus homólogos en los Estados Unidos.
Las autoridades locales deben separar sus sistemas de datos cuando sea posible e instalar niveles apropiados de seguridad. También necesitan capacitar a los empleados sobre la naturaleza de la amenaza y los impactos de sus propias acciones cuando trabajan dentro de los sistemas de la organización. También deben conocer los esquemas internacionales para prevenir y mitigar el ransomware (como nomoreransom.org ), que brindan asesoramiento y publican las claves de algunos ransomware en línea.
Las organizaciones públicas deben poder pensar rápidamente y adaptarse a estas nuevas amenazas de seguridad, especialmente dado que los ciberdelincuentes siempre presentannuevas técnicas. Los gobiernos locales deben estar preparados para prevenir simultáneamente los ciberataques, mitigar sus efectos cuando ocurran y llevar a los ciberdelincuentes ante la justicia.
https://theconversation.com/ransomware-attacks-on-cities-are-rising-authorities-must-stop-paying-out-122347