Otro día, otra entrega de la saga LockBit. El último acontecimiento en la interminable historia de las bandas de ciberdelincuentes contra las fuerzas del orden es casi digno de su propia serie de televisión. Pero, ¿qué significa para usted, la persona que debe defender su organización y mantener su capacidad para operar en medio de todo el caos?
Lectura relacionada: Cerrar las brechas de seguridad de AD
La banda detrás del telón
El reciente intercambio de declaraciones públicas entre LockBit y la Agencia Nacional contra el Crimen (NCA) del Reino Unido y sus socios -incluidos el Departamento de Justicia y la Oficina Federal de Investigaciones de Estados Unidos- parece ser algo así como un juego mental. Aun así, esta situación cambiante nos permite echar otro vistazo tras el telón de la actividad ciberdelictiva.
Los ciberdelincuentes operan como cualquier otra operación organizada. Tienen proveedores y cadenas de suministro, como cualquier empresa normal. Y como en cualquier transacción comercial, estas relaciones se basan en un cierto grado de confianza. Por supuesto, en el mundo criminal, la confianza es una moneda cara.
Este retorcido sentido del orgullo corporativo se refleja en la declaración de LockBitSupp, la persona que supuestamente está detrás de la operación LockBit.
Me parece interesante el énfasis: "... voy por buen camino", afirma LockBitSupp, y "... ningún hack... puede impedir que un negocio prospere". El escritor afirma estar en el negocio de "pentest con postpago", lo que hace que los esfuerzos criminales de LockBit contra el ransomware suenen casi legítimos.
Esto pone de relieve que la ciberdelincuencia es una operación bien organizada. Como tal, necesitamos una defensa bien organizada para hacerle frente.
Una batalla interminable
La lucha entre defensores y adversarios es una batalla que dura las 24 horas del día. Como hemos visto en casos anteriores, era cuestión de tiempo que el grupo resurgiera al completo con un nuevo nombre o que sus miembros se unieran a otros grupos de ransomware. Sólo que pocos expertos en ciberseguridad pensaban que resurgirían tan pronto.
No se equivoquen: El azote del ransomware de los últimos cinco años ha captado la atención del CISA, la NCA, la Interpol, el FBI y otros organismos mundiales encargados de hacer cumplir la ley. Su lucha diaria para desbaratar las acciones ilícitas de LockBit, BlackBasta, CLOP, ALPHV y otras numerosas bandas continúa en serio.
Sin embargo, LockBit está demostrando ser una serpiente de dos cabezas. Aunque la incautación mundial de sus activos la semana pasada fue un gran logro de las fuerzas de seguridad, el grupo no tardó en reanudar sus operaciones. Con más de 100 millones de dólares robados (según las fuerzas del orden), el grupo tiene los medios y la motivación para "volver al negocio" lo antes posible. Desde luego, no iba a desvanecerse en silencio tras verse avergonzado por un contingente de fuerzas del orden de todo el mundo.
Como siempre, recordamos a nuestros clientes que mantengan una mentalidad de "asumir la brecha". La actividad de los ciberdelincuentes no se detiene ni se ralentiza. Nunca se puede bajar la guardia ante las amenazas. Para proteger a sus empleados, clientes y socios, es vital crear una resistencia operativa que incluya un plan de copia de seguridad y recuperación que dé prioridad a los activos críticos, como la infraestructura de identidad.
Entonces, ¿qué puedes hacer?
La mayoría de las organizaciones saben que no compensa pagar rescates. Pero para poder elegir, necesita un plan que le ofrezca otras opciones. Crear resiliencia organizativa y operativa en su ecosistema digital le permite contraatacar y elimina la recompensa de la que dependen las bandas criminales de ransomware. Esto es lo que significa crear resiliencia:
- Identifique y evalúe inmediatamente sus sistemas críticos. Incluya infraestructuras como Active Directory (AD) y otros repositorios de identidad; 9 de cada 10 ciberataques tienen como objetivo AD.
- Trabaje con la mentalidad de "asumir la violación". Si encuentra un sistema comprometido o una actividad maliciosa (como la interceptación de contraseñas), asuma que hay otros que no ha descubierto.
- Supervise los cambios no autorizados en su infraestructura de identidad (por ejemplo, AD, Entra ID, Okta).
- Mantenga visibilidad en tiempo real de cualquier cambio en las cuentas y grupos de red elevados.
- Realice copias de seguridad continuas de sus sistemas de identidad con un enfoque de ciberprioridad en mente, lo que permite una recuperación rápida y sin malware.
- Conserve una copia de cualquier entorno comprometido para poder realizar una investigación forense completa.
El azote del ransomware no tiene por qué paralizar a las organizaciones. Con una planificación adecuada y un enfoque organizativo para proteger los activos críticos, puede ver cómo se desarrolla el drama en lugar de verse atrapado en él.
