El reciente ataque de ransomware a Colonial Pipeline que impidió el suministro de combustible en la costa este y representó una alerta de alto impacto para todas las empresas en los Estados Unidos, parece haber catalizado este llamado a la ciberseguridad del gobierno estadounidense.
En una carta abierta, la entidad advirtió a las empresas estadounidenses sobre la importancia de tomar medidas de seguridad urgentes para protegerse contra los ataques de ransomware. Según su comunicado, los delincuentes están pasando del robo de datos a la interrupción de operaciones.
Anne Neuberger, Asesora adjunta de seguridad nacional para tecnologías cibernéticas y emergentes de Estados Unidos, aseguró en la carta que la administración de Biden estaba trabajando para disuadir los ataques de ransomware e instó a las empresas a adoptar medidas de ciberseguridad para proteger sus negocios.
Hasta hace un par de años los ataques de ransomware se veían como una amenaza lejana, enfocada únicamente en las grandes empresas, pero la llegada de la pandemia de 2020 aceleró el desarrollo digital, y con él, la cantidad de amenazas.
Del robo de datos a la interrupción de operaciones
Neuberger señaló en el documento, que los últimos ataques de ransomware han mostrado un giro interesante y los delincuentes se ven ahora más atraídos por la idea de interrumpir las operaciones, que por el robo de información.
Los atacantes han encontrado que los daños a la infraestructura tecnológica generan pérdidas inmediatas, por lo que las compañías podrían pagar mucho más rápido para recuperar la normalidad en sus operaciones.
Por esta razón la carta invita a las empresas a asegurarse de que sus funciones comerciales, así como las de fabricación y producción estén separadas entre sí, de tal manera que un ataque enfocado en alguna de estas áreas no interrumpa la operación de todo el negocio.
El mes pasado demostró que las empresas a menudo no comprenden los vínculos entre las áreas en sus propios sistemas, incluso si previamente insistieron en que las funciones ya estaban separadas.
Cuando Colonial Pipeline recibió el ataque de ransomware el mes pasado, los atacantes decidieron congelar únicamente el lado de los registros comerciales del negocio, no los controles operativos sobre el oleoducto; sin embargo, el impacto llegó a detener totalmente la operación.
La compañía (una empresa privada que suministra casi la mitad del gas, combustible para aviones y diesel a la costa este de Estados Unidos) decidió cerrar el oleoducto porque no podía acceder a sus sistemas de facturación o monitorear el flujo de petróleo a ubicaciones específicas. Con los sistemas de facturación fuera de su alcance, la empresa no tenía forma de cobrar a los clientes por las entregas.
Los efectos fueron inmediatos: aparecieron largas filas en las estaciones de gasolina debido al pánico por desabastecimiento, las aerolíneas se quedaron sin combustible para los aviones, los vuelos sin escalas tuvieron que hacer paradas no planificadas, y los precios subieron.
La empresa no se comunicó de manera efectiva con los funcionarios del gobierno y finalmente pagó un rescate de 4.4 millones de dólares, una decisión que va en contravía de lo que recomienda la agencia federal de investigación e inteligencia de Estados Unidos, F.B.I.
En ausencia de mandatos gubernamentales integrales, las prácticas de ciberseguridad han sido voluntarias. Muchas empresas y otras organizaciones se han visto obligadas a valerse por sí mismas, tal como sucedió con Apple, victima de otro ataque de ransomware en el que se reveló información confidencial sobre sus próximos lanzamientos.
Las estrategias para evitar el ransomware
Entre las recomendaciones de la Casa Blanca para evitar los ataques de ransomware se destacan varios procesos proactivos para blindar los sistemas ante las amenazas.
Autenticación multifactor
Aplicar métodos de múltiple autenticación más allá de las contraseñas es una de las primeras recomendaciones. Además de evitar las vulnerabilidades de las contraseñas, robustece la seguridad con más capas de protección. ADSelfService Plus cuenta con funciones de autenticación de múltiple factor para inicio de Windows y acceso a Active Directory.
Copias de seguridad
Crear copias de seguridad en la nube protege la información ante el robo de datos, esta práctica es altamente recomendada principalmente para la gestión de información confidencial. RecoveryManager Plus permite realizar copias de seguridad de entornos de Active Directory, Office 365 y Exchange.
Detección
Detectar una posible amenaza de ransomware en camino es posible. Con DataSecurity Plus puede analizar informes sobre metadatos de archivos y monitorear el uso del almacenamiento para identificar y responder a un ataque. Log360, la solución de gestión de logs de ManageEngine puede ayudar a identificar cualquier cambio realizado en los derechos de acceso remoto de los usuarios e interrumpir una amenaza.
Tomar todas las precauciones no es suficiente. Según datos de Recorded Future (una empresa de seguridad que rastrea los ataques de ransomware), durante 2020 hubo 65.000 ataques de ransomware exitosos: uno cada ocho minutos. Dé el primer paso y blinde sus sistemas, la información y las herramientas están a su alcance.
