Escenarios de hacking: cómo los hackers eligen a sus víctimas
La aplicación de la técnica de «doble extorsión», también conocida como «pague ahora o sea violado», surgió como un punto de inflexión el año pasado.
El 6 de mayo de 2022 es un ejemplo reciente.
El Departamento de Estado dijo que la variedad de ransomware Conti era la más costosa en términos de pagos realizados por las víctimas hasta enero.
Conti, un programa de ransomware-as-a-service (RaaS), es uno de los grupos de ransomware más notorios y ha sido responsable de infectar cientos de servidores con malware para obtener datos corporativos o sistemas de daño digital, esencialmente propagando la miseria a individuos y hospitales, empresas, agencias gubernamentales y más en todo el mundo.
Entonces, ¿qué tan diferente es un ataque de ransomware como Conti del infame «WannaCry» o «NotPetya»?
Mientras que otras variantes de ransomware pueden propagarse rápidamente y cifrar archivos en períodos cortos de tiempo, el ransomware Conti ha demostrado una velocidad inigualable con la que puede acceder a los sistemas de las víctimas.
Dada la reciente ola de violaciones de datos, es extremadamente difícil para las organizaciones poder proteger a todas las organizaciones de cada pirateo.
Ya sea ejecutando un escaneo de puertos o descifrando contraseñas predeterminadas, vulnerabilidades de aplicaciones, correos electrónicos de phishing o campañas de ransomware, cada hacker tiene diferentes razones para infiltrarse en nuestros sistemas. Es evidente por qué ciertos individuos y empresas son atacados debido a sus debilidades de software o hardware, mientras que otros afectados no tienen este talón de Aquiles común debido a la planificación y las barreras establecidas.
Podemos traer el apoyo de expertos en seguridad como Indusface para defendernos y seguir una estrategia de reducción de ataques para reducir tanto la probabilidad como el impacto de convertirse en víctima de un ciberataque.
Pero, ¿qué características poseen las empresas que tienden a atraer ciberataques y por qué los hackers las atacan?
Y si supiera que su empresa es un objetivo probable, ¿tendría sentido que tuviera cuidado con las muchas formas en que su información podría verse comprometida?
¿Qué motiva a un hacker?
Cuando los hackers piratean, lo hacen por varias razones. Hemos enumerado las 4 motivaciones más comunes detrás de la piratería.
1 — Se trata de dinero:
Una de las motivaciones más comunes para entrar en un sistema es la ganancia monetaria. Muchos piratas informáticos pueden intentar robar sus contraseñas o cuentas bancarias para ganar dinero quitándose el dinero que tanto le costó ganar. La información de sus clientes no estaría segura si los piratas informáticos se los robaran, ya que podrían usar estos datos de varias maneras, tal vez chantajeándolo o incluso vendiéndolos en el mercado negro o en la web profunda.
El costo promedio de una filtración de datos fue de $3,86 millones en 2004, según IBM, y desde entonces esa cifra aumentó a $4,24 millones en 2021. Incluso se espera que aumente aún más en los próximos años.
2 — Hack + Activismo, también conocido como Hacktivismo
Algunas personas buscan en la piratería para iniciar revoluciones políticas y sociales, aunque la mayoría está interesada en expresar sus opiniones y derechos humanos o crear conciencia sobre ciertos temas. Sin embargo, pueden atacar a quien quieran, incluidas organizaciones terroristas, grupos de supremacistas blancos o representantes del gobierno local.
Los hacktivistas, también conocidos como ‘Anónimos’, normalmente atacan a grupos terroristas como ISIS u organizaciones de supremacistas blancos, pero también han atacado a grupos gubernamentales locales. En enero de 2016, un ataque al Centro Médico Hurley en Flint, Michigan, provocó la filtración de miles de documentos y registros. La organización se atribuyó la responsabilidad con un video que prometía «justicia» para la actual crisis de agua de la ciudad que resultó en 12 muertes a lo largo del tiempo.
Ya sea que se trate de un solo pirata informático o de una simple pandilla en línea, las principales armas de los hacktivistas incluyen herramientas de denegación de servicio distribuida (DDoS) y escáneres de vulnerabilidades, que se ha demostrado que causan pérdidas financieras a corporaciones conocidas. ¿Recuerdas cuando se detuvieron las donaciones a WikiLeaks y Anonymous tuvo una serie de ataques DDoS?
3 — Amenazas internas
Las amenazas internas pueden provenir de cualquier parte, pero se las considera una de las mayores amenazas a la seguridad cibernética de las organizaciones. Muchas amenazas pueden provenir de sus empleados, proveedores, contratistas o un socio, haciéndolo sentir como si estuviera caminando sobre cáscaras de huevo.
Alguien dentro de su organización está ayudando a que una amenaza se convierta en realidad. Ahora que lo pensamos, casi todos sus empleados, proveedores, contratistas y socios son técnicamente internos de la organización. Una de las principales debilidades de las empresas son sus sistemas básicos de protección; cualquiera que tenga acceso a estos programas en un momento dado elude fácilmente los cortafuegos y los programas antivirus.
Entonces, cuando llegue la próxima ola de ataques cibernéticos, ¿quién mejor que alguien en quien siempre ha confiado el acceso de seguridad clave? Se deben implementar medidas de control de daños para evitar que se repita una situación tan catastrófica como el ataque de Sony en 2014 (posiblemente perpetuado por su propio empleado).
4 – Juego de venganza
Si tiene un empleado rebelde que busca una forma de vengarse de su empresa, lo más probable es que se tome el tiempo para pensar en un buen ataque, dejándolo pensando dos veces antes de despedirlo.
Si tienen acceso a su sistema, puede estar seguro de que intentarán encontrar cualquier forma posible de usar su estado privilegiado para vengarse de usted incluso después de dejar la empresa. Una forma de hacerlo es accediendo a bases de datos y cuentas que requieren inicios de sesión y contraseñas. En otros casos, los trabajadores descontentos podrían incluso vender información vital a cambio de dinero y oportunidades laborales más favorables solo para alterar la infraestructura de su organización.
Vectores de ataque
Los ciberdelincuentes están utilizando una amplia gama de vectores de ataque para poder infiltrarse en su sistema o apoderarse de él mediante ataques de ransomware como suplantación de identidad de direcciones IP, phishing, archivos adjuntos de correo electrónico y cifrado de disco duro.
a) Suplantación de identidad
La forma más común de propagar ransomware es a través de correos electrónicos de phishing. Los piratas informáticos envían correos electrónicos falsos cuidadosamente elaborados para engañar a la víctima para que abra un archivo adjunto o haga clic en un enlace que contiene software malicioso.
Hay muchos formatos de archivo diferentes en los que puede entrar el malware. Por ejemplo, podría estar en un PDF, BMP, MOV o DOC.
Una vez que los piratas informáticos toman el control de la red de su empresa, el malware ransomware tiene una buena posibilidad de ingresar a su sistema, cifrar la información y tomar como rehenes todos los datos almacenados en sus dispositivos.
b) Protocolo de escritorio remoto (RDP)
Al ejecutarse en el puerto 3389, RDP es la abreviatura de Protocolo de escritorio remoto, que permite a los administradores de TI acceder de forma remota a las máquinas y configurarlas o simplemente usar sus recursos por varios motivos, como ejecutar el mantenimiento.
El hacker comienza ejecutando un escaneo de puertos en máquinas a través de Internet que tienen el puerto 3389 abierto. 3389 es para SMB, o Server Message Block, que permite compartir archivos básicos entre computadoras con Windows y, a menudo, se activa en los primeros días del uso de Internet.
Una vez que un pirata informático ha obtenido acceso a las máquinas abiertas en el puerto 3389, a menudo fuerza bruta la contraseña para poder iniciar sesión como administrador. Y luego, es cuestión de tiempo. Los piratas informáticos pueden ingresar a su máquina e iniciar la operación de encriptación para bloquear sus datos al ralentizar o detener deliberadamente los procesos críticos.
c) Ataques a software sin parches
Una debilidad en el software es uno de los métodos más prometedores de implementación de ataques en el entorno actual. En algunos casos, cuando el software no está completamente actualizado o parcheado, los atacantes pueden ingresar a las redes sin tener que recopilar credenciales.
El cierre
Los piratas cibernéticos ahora pueden analizar y evaluar sus productos tanto como los equipos de seguridad. Tienen las mismas o incluso más herramientas para escanear cualquier sistema, por lo que es práctico poder prever su motivación y perfiles.
Con los piratas informáticos cada vez más sofisticados, es de máxima prioridad contar con mecanismos proactivos de ciberseguridad para mantener la salud de su negocio.