¿Ransomware, cómo Amazon Web Services puede protegerte?

Si la seguridad empresarial es algo importante para ti, tal vez te deba interesar saber cómo proteger a tu compañía del Ransomware, una de las formas de ciberataques más comunes en el mundo, utilizando las herramientas de Amazon Web Service.  Este es un tipo de amenaza diseñada para obtener acceso a sistemas y datos, de esta manera, cifrar esa información para bloquear el acceso de usuarios legítimos. Una vez que el hacker ha bloqueado a los usuarios fuera de sus sistemas y cifrado sus datos confidenciales, los ciberdelincuentes exigen un rescate antes de proporcionar una clave de descifrado para desbloquear los datos. 

Organizaciones de todo el mundo están en los titulares después de ser víctimas de ataques así y no quieres que tu compañía sea la próxima en salir en las noticias. Por lo general, las organizaciones quedan completamente paralizadas por un ataque, por lo que hay una pérdida significativa de productividad. Una solución perfecta para evitar o responder de manera eficaz a estos ciberataques es Amazon, pues puede otorgar ciertos controles de seguridad que te serían útiles.

Al desarrollar sus operaciones en la nube de AWS, existen importantes perspectivas y servicios de seguridad que puede aplicar para fortalecer su capacidad de combatir el ransomware antes, durante y después de que ocurra un incidente. En todo caso, es importante siempre tener cerca a un equipo de expertos para brindarte el apoyo necesario para sobrellevar este tipo de ciberataque.

Desde el primer ataque de ransomware registrado en 1989 llamado PC Cyborg, este se ha convertido en un destacado ciber amenaza que presenta peligros que continúan atrayendo la atención mundial como CryptoLocker [2014], Petya [2016], WannaCry [2017], NotPetya [2017] y Ryuk [2019]. Actualmente, los ataques están costando a las empresas miles de millones de dólares en pérdidas e, incluso, la interrupción de operaciones, total o parcialmente. Ataques como NotPetya obligaron al gigante naviero Maersk a reinstalar 4,000 servidores y 45,000 PC por 300 millones de dólares debido a una “grave interrupción del negocio”.

Tan sólo el ciberataque realizado a la ciudad de Baltimore costó más de $18 millones y los gobiernos locales de Riviera Beach y Lake City, Florida, pagarán a los piratas informáticos $1 millón de dólares para recuperar sus sistemas y datos. Ya sea que recién estés comenzando o ya estés construyendo en AWS, hay recursos dedicados a ayudarte a proteger los sistemas críticos y los datos confidenciales contra el ransomware. Esta plataforma ofrece servicios como AWS Backup, AWS GuardDuty y Amazon Detective que pueden mejorar su postura de seguridad y los procesos clave que necesitas para estar preparado para cualquier ciberataque de este tipo.

Por ejemplo, una de las herramientas prácticas que ofrece es segmentar automáticamente las nubes privadas virtuales de Amazon Web Services (Amazon VPC) en componentes aislados para que solo esté disponible el tráfico necesario y reducir su capacidad de propagarse indiscriminadamente en tu entorno. Pero, antes de seguir, veamos qué es este tipo de ciberataque.

¿Cuáles son los principales tipos de Ransomware?

La mayoría de los ataques de ransomware son de naturaleza oportunista, lo que significa que infecta indiscriminadamente cualquier red accesible a través de cualquier medio. No importa qué industria o geografía en la que se encuentra, ya que prácticamente todas las industrias a nivel mundial tienen un ejemplo de un incidente relacionado. Sin embargo, existe una tendencia de apuntar a ciertas industrias donde la probabilidad de entrada y pago exitosos es alta.

Por ejemplo, muchas organizaciones educativas y gubernamentales son vulnerables debido a una combinación de presupuestos reducidos, brechas percibidas en los recursos de seguridad y sistemas de TI heredados con vulnerabilidades sin parches. De manera similar, el ransomware puede apuntar a industrias con intolerancia por el tiempo de inactividad, como los hospitales, con la esperanza de aumentar la probabilidad de pago.

Los tipos principales de ransomware han sido crypto y locker. Sin embargo, recientemente ha habido un aumento de la modalidad de la doble extorsión y el ransomware como servicio (RaaS) se han vuelto populares entre los actores de amenazas:

• Locker ransomware bloquea el acceso a los sistemas informáticos por completo. Esta variante utiliza técnicas de ingeniería social y credenciales comprometidas para infiltrarse en los sistemas. Una vez dentro, los hackers impiden que los usuarios accedan al sistema hasta que se pague un rescate. Puede aparecer una ventana emergente en la pantalla de la víctima que dice: “Su computadora se usó para visitar sitios web con contenido ilegal. Para desbloquear su computadora, debe pagar una multa de $ 100” o “Su computadora ha sido infectada con un virus. Haga clic aquí para resolver el problema”.
• El ransomware criptográfico es más común y está más extendido que el antes mencionado. Cifra todos o algunos archivos en una computadora y exige un rescate de la víctima a cambio de una clave de descifrado. Algunas variantes más nuevas también infectan unidades compartidas, en red y en la nube. Este tipo de ciberataque se propaga a través de varios medios, incluidos correos electrónicos maliciosos, sitios web y descargas.
• El ransomware de doble extorsión encripta archivos y exporta datos para chantajear a las víctimas para que paguen un rescate. Con este tipo de ciberataques, los atacantes amenazan con publicar datos robados si no se cumplen sus demandas. Esto significa que, incluso si una víctima puede restaurar sus datos desde una copia de seguridad, el atacante aún tiene poder sobre ellos. Sin embargo, pagar el rescate tampoco garantiza la protección de los datos, ya que los atacantes tienen acceso a los datos robados en todo momento.
• RaaS involucra a los perpetradores que alquilan el acceso a una variedad de diferentes ransomware de un autor o de un grupo de ciberatacantes, quien lo ofrece como un servicio de pago por uso. Los creadores de RaaS alojan sus amenazas en sitios de la red oscura y permiten que los delincuentes lo compren como una suscripción, como un modelo SaaS. Las tarifas dependen de la complejidad y las características del ataque y, en general, hay una tarifa de entrada para convertirse en miembro de este tipo de servicios. Una vez que los miembros infectan las computadoras y cobran los pagos de rescate, una parte del rescate se paga al creador de RaaS según los términos previamente acordados.

Usualmente, el pago que solicitan los hackers es a través del Bitcoin, una criptomoneda popular, y algunas de sus variantes. Se ha convertido en un método ideal para realizar pagos de rescate porque carece de supervisión por parte de cualquier organismo rector y las transacciones se mantienen anónimas. Ahora la pregunta es; ¿debo pagar el rescate de mis datos sensibles e información? 

Cómo Amazon Web Services te puede ayudar a combatir estos ciberataques

En su guía de seguridad del 2020, Amazon Web Services menciona que algunas de las razones por las que tu empresa puede ser objetivo de un ataque de ransomware son las siguientes:

• La planta de empleados tiene poco o nulo conocimiento de las vulnerabilidades y peligros en internet
• Las organizaciones o equipos encargados no están haciendo copias de seguridad de los datos de manera periódica
• Las organizaciones tardan semanas en parchear las vulnerabilidades y exposiciones críticas comunes (CVE, por sus siglas en inglés)
• El personal técnico está sobrecargado y no puede abordar o anticipar todas las brechas de seguridad que tiene la empresa
• Se están utilizando múltiples vectores o canales en un solo ataque

Hay organizaciones gubernamentales como el FBI que aconsejan a las empresas que no paguen el rescate tras un ataque de ransomware, argumentando que pagar no garantiza que los sistemas y datos bloqueados vuelvan a estar disponibles y que los pagos a los ciberdelincuentes solo seguirán motivando comportamientos nefastos.

Aun si el acceso al sistema y a los datos no está garantizado después de pagar el rescate, algunas compañías deciden pagar con la esperanza de reanudar rápidamente las operaciones. Al hacerlo, esperan reducir los posibles costos secundarios de los ataques, sin embargo no siempre resulta positivo. La amenaza de este tipo de ciberataques es importante, pero la preparación inteligente y la vigilancia continua son contadores efectivos contra el ransomware. La armadura completa de la seguridad de los datos incluye factores tanto humanos como técnicos, pero hay características de la nube de AWS que ayudan a mitigar los ataques.

Cuando implementa sistemas en la nube de Amazon Web Services, AWS te puede ayudar compartiendo las responsabilidades de seguridad. Esta herramienta diseña la infraestructura de la nube subyacente utilizando principios de diseño seguro y los clientes pueden implementar su propia arquitectura de seguridad para las cargas de trabajo. De esta manera, la seguridad posee una doble protección en contra de ciberataques. Por su parte,  AWS es responsable de proteger la infraestructura que ejecuta todos los servicios ofrecidos en la nube y herramientas que protegen tus datos sensibles.

Por ejemplo, el documento técnico de Administración de riesgos de ransomware en AWS mediante el marco de seguridad cibernética (CSF) del NIST ayuda a los clientes de AWS a cumplir con confianza los objetivos de las guías de práctica en las siguientes categorías:

Identificar y proteger a tu empresa de amenazas

• Identificar sistemas, usuarios, datos, aplicaciones y entidades en la red que puedan atacarte.
• Identificar vulnerabilidades en tus componentes empresariales, empleados y clientes.
• Crear una línea de base para la integridad y la actividad de los sistemas empresariales en preparación para un ciberataque.
• Crear copias de seguridad de los datos empresariales sensibles ante un posible ciberataque.
• Proteger estas copias de seguridad y otros datos potencialmente importantes contra alteraciones por parte de terceros.
• Administrar el estado de la empresa evaluando la postura de la máquina.

Detectar y responder

• Detectar actividad maliciosa y sospechosa generada en la red por usuarios, o desde aplicaciones de terceros que podrían indicar poner en peligro la integridad de datos sensibles.
• Mitigar y contener los efectos de los ataques que pueden causar una pérdida de la integridad de los datos.
• Supervisar la integridad de la empresa para la detección de eventos y el análisis a posteriori.
• Utilizar funciones de registro e informes para acelerar el tiempo de respuesta ante ataques que afecten la integridad de datos.
• Analizar posibles ataques de ransomware para conocer el alcance de su impacto en la red, los dispositivos empresariales y los datos empresariales.
• Analizar eventos de integridad de datos para informar y mejorar las defensas de la empresa contra futuros ataques.

Recuperar

• Restaure los datos a su última configuración buena conocida.
• Identificar la versión de respaldo correcta (libre de código malicioso y datos para la restauración de datos).
• Identificar los datos alterados, así como la fecha y hora de la alteración.
• Determinar la identidad o identidades de quienes alteraron los datos.

Con respecto a este último punto, AWS Elastic Disaster Recovery (AWS DRS) puede ser la mejor herramienta para la recuperación ante un ataque de ransomware. Esta herramienta puede lanzar versiones desbloqueadas y sin cifrar de sus servidores antes del ataque de ransomware en su región de AWS preferida. Esta capacidad de recuperación en un momento dado protege sus datos y le permite volver a estar en funcionamiento minutos después de un ataque de ransomware, sin tener que pagar un rescate.

Una vez que AWS Elastic Disaster Recovery está configurado en sus servidores de origen primario, replica continuamente sus servidores, incluido el sistema operativo, la configuración del estado del sistema, las bases de datos, las aplicaciones y los archivos, en una subred del área de preparación en su cuenta de AWS, en la región de AWS en la que usted elija.

Esto reduce los costos en comparación con las soluciones locales tradicionales de recuperación ante desastres al eliminar los recursos inactivos del sitio de recuperación y, en su lugar, aprovechar el almacenamiento asequible de Amazon Web Services y los recursos informáticos mínimos para mantener la replicación continua. Los costos de su sitio de recuperación ante desastres completamente aprovisionado en AWS se incurren solo cuando se necesitan para simulacros o recuperación.

Incluso, si experimenta un ataque de ransomware, puede usar AWS Elastic Disaster Recovery para lanzar instancias de recuperación en AWS en cuestión de minutos. Antes de iniciar una instancia de recuperación, se le pedirá que elija un punto de recuperación. Cada punto de recuperación es un guardado de un punto en el tiempo de su servidor de origen que puede usar para recuperar una copia operativa de sus aplicaciones sin que tenga que pagar por el rescate pedido por un hacker

En el caso de ransomware u otros incidentes de seguridad que impliquen el cifrado de datos o la corrupción de datos, seleccione el último punto de recuperación antes del ataque o la corrupción de datos. De esta manera, puede “retroceder” a una versión no cifrada o no corrupta de sus servidores.

Cómo defender a tu empresa del Ransomware

Para que un intento tradicional de ransomware de cifrado en el lugar tenga éxito, el hacker debe poder evitar que usted acceda a sus datos y luego retenerlos para pedir un rescate. Lo primero que debe hacer para proteger su cuenta es asegurarse de tener la capacidad de recuperar sus datos, independientemente de cómo se hayan vuelto inaccesibles. Las soluciones de copia de seguridad protegen y restauran los datos, y las soluciones de recuperación ante desastres (DR) ofrecen una recuperación rápida de datos y cargas de trabajo.

AWS hace que este proceso sea mucho más fácil para usted con servicios como AWS Backup o CloudEndure Disaster Recovery, incluso puedes usar estos dos servicios para ayudar a recuperar sus datos. Cuando elige una solución de respaldo de datos, simplemente crear una instantánea de una instancia de Amazon Elastic Compute Cloud (Amazon EC2) no es suficiente.

Una función poderosa del servicio AWS Backup es que cuando crea una bóveda de respaldo, puede usar una clave maestra de cliente (CMK) diferente en el Servicio de administración de claves de AWS (AWS KMS). Esto es poderoso porque la CMK puede tener una política de clave que permite a los operadores de AWS usar la clave para cifrar la copia de seguridad, pero puede limitar el descifrado a un principal completamente diferente.

Además de retener datos a cambio de rescate, los ataques de ransomware más recientes utilizan cada vez más esquemas de doble extorsión. Para ayudar a proteger sus datos, siempre debe habilitar el cifrado de datos y segmentar su flujo de trabajo para que los sistemas y usuarios autorizados tengan acceso limitado para usar el material clave para descifrar los datos.

En lugar de permitir que la aplicación tenga permisos completos de lectura y escritura, limite la aplicación a una sola operación (por ejemplo, PutObject). El código más pequeño y reutilizable también es más fácil de administrar, por lo que segmentar el flujo de trabajo también ayuda a los desarrolladores a trabajar más rápido.

Para que un hacker tenga acceso a un sistema, debe aprovechar una vulnerabilidad o una configuración incorrecta. Aunque muchas organizaciones parchean su infraestructura, algunas solo lo hacen semanal o mensualmente, y eso puede ser inadecuado para parchear sistemas críticos que requieren operación 24/7. Cada vez más, los ciberataques tienen la capacidad de realizar ingeniería inversa de parches o anuncios de exposición de vulnerabilidad común (CVE) en horas. 

AWS Systems Manager puede ayudarlo a automatizar este proceso en la nube y en sus instalaciones. Con las líneas base de parches de Systems Manager, puede aplicar parches en función de las etiquetas de la máquina (por ejemplo, desarrollo frente a producción), pero también en función del tipo de parche. Por ejemplo, la base de referencia de parche predefinida AWS-AmazonLinuxDefaultPatchBaseline aprueba todos los parches del sistema operativo que se clasifican como “Seguridad” y que tienen un nivel de gravedad de “Crítico” o “Importante”. Los parches se aprueban automáticamente siete días después del lanzamiento. 

La mayoría de los clientes comerciales y del sector público están sujetos a algún tipo de regulación o estándar de cumplimiento. Debe medir su postura de seguridad y riesgo frente a estándares reconocidos en una práctica continua. Si no tiene un marco que deba seguir, considere usar el marco de arquitectura de AWS como referencia.

Con AWS Security Hub, puede ver datos de servicios de seguridad de AWS y herramientas de terceros en una sola vista y también comparar su cuenta con estándares o marcos como CIS AWS Foundations Benchmark, Payment Card Industry Data Security Standard (PCI DSS), y las prácticas recomendadas de seguridad fundamentales de AWS. Estos son escaneos automatizados de su entorno que pueden alertarlo cuando ocurren desviaciones en el cumplimiento. 

Otro aspecto importante de seguir las mejores prácticas es implementar privilegios mínimos en todos los niveles. En AWS, puede usar IAM para escribir políticas que apliquen privilegios mínimos. Estas políticas, cuando se aplican a través de roles, limitarán la capacidad del actor para avanzar en su entorno. Access Analyzer es una nueva característica de IAM que le permite generar más fácilmente permisos de privilegios mínimos, y se trata en esta publicación de blog.

Asegúrese de tener un monitoreo y alertas sólidas en su empresa. Cada uno de los elementos que describimos anteriormente son herramientas poderosas para ayudarlo a protegerse contra un ataque de ransomware, pero ninguno funcionará a menos que tenga un control estricto.

Si está realizando una copia de seguridad de sus datos mediante AWS Backup, debe configurar Amazon CloudWatch para enviar alertas cuando falla una tarea de copia de seguridad. Cuando se activa una alerta, también se debe actuar en consecuencia. Si su respuesta a un correo electrónico de alerta de AWS sería volver a ejecutar el trabajo, debe automatizar ese flujo de trabajo mediante AWS Lambda. Si ocurre una falla posterior, abra un ticket en su servicio de emisión de boletos automáticamente o llame a su equipo de operaciones.

Siempre la mejor herramienta es la prevención y una consulta de seguridad a tiempo

Por último, recuerde observar el estado de cumplimiento de sus informes de cumplimiento de Security Hub y tomar medidas sobre los hallazgos. También debe monitorear su entorno en busca de actividad sospechosa, investigar y actuar rápidamente para mitigar los riesgos. Aquí es donde Amazon GuardDuty, Security Hub y Amazon Detective pueden ser valiosos. AWS facilita la creación de respuestas automáticas a las alertas que mencioné anteriormente.

Antes de implementar una nueva estrategia para proteger a tu empresa del ransomware, es necesario analizar a detalle los beneficios y ventajas que puede ofrecer, así como los retos que representaría para tu equipo una consulta adecuada. Si te interesa conocer más sobre esto, descubre las soluciones que ofrece y ofrecerá Whiteshield a través de una consultoría que puede ayudar a resolver todas tus dudas.