Scitum constantemente les recuerda a los clientes que un backup en la nube no es suficiente para poder restaurar después de un ataque de ransomware, que lo que realmente se necesita es una estrategia que continuidad que permita tener backups aislados de la red que puedan ser utilizados para volver a producción. Al parecer los atacantes refuerzan esta idea ya que esta semana los creadores de Maze ransomware y Doppelpaymer le comentaron a un sitio de noticias de seguridad que los respaldos en la nube son utilizados para justamente extraer información sensible antes de que se cifren los equipos.

Como es bien sabido, los atacantes buscan ganar acceso a la red interna por diversos medios, una vez dentro buscan extraer credenciales de administración para moverse lateralmente sin levantar sospechas, llegar al directorio activo y utilizarlo para distribuir el ransomware, pero adicionalmente para ganar acceso a los respaldos en la nube, de hecho una de las familias de malware confiesa que ellos emplean todos los métodos posibles para obtener las credenciales de la nube, desde keyloggers, volcado de contraseñas con Mimikatz, ingeniería social, entre otros. Una vez que ganan acceso a la nube revisan que información es sensible y la descargan, el que la información esté en la nube les facilita evitar ser detectados por la víctima ya que no levantarán ningún tipo de alerta en la red local, una vez que descargaron la información de valor, eliminan los respaldos en la nube justo antes de iniciar con el cifrado de los equipos más críticos de la víctima.

Es un hecho que los atacantes pasan dentro de la red de la víctima desde semanas hasta meses antes de que se ejecute un ataque, ya que a diferencia del pasado donde los ataques eran masivos y generados automáticamente, ahora son mucho más focalizados y realizados de manera manual, con ello ganan más control sobre lo que desean cifrar de acuerdo con su diagnóstico respecto de que es que causaría mayor impacto en la víctima, además de que durante el tiempo que pasan dentro de la red hasta que ejecutan la operación les permite que cualquier alerta de seguridad que llegaran a levantar parezca inofensiva para los administradores de los sistemas, debido a que no se observan consecuencias de manera inmediata.

Sin duda los atacantes seguirán empleando este y otros métodos para lograr que la víctima se vea obligada a pagar, por ello es importante que las organizaciones hagan énfasis en contar con una estrategia de ciberseguridad holística que les permita ser capaces de hacerle frente a esta y otras amenazas, ya que como vemos los atacantes “no juegan limpio” y evolucionan rápidamente, a la par de los nuevos retos que enfrentan y las nuevas tecnologías que tienen a la mano.