Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

Interrupción impulsada por la inteligencia de las campañas de ransomware

Escrito por: Por Neil Jenkins y Matthew Olney (Blog Cisco Talos)


Como muestran los titulares, el ransomware se ha convertido en una amenaza para la seguridad nacional, la protección de la vida y la infraestructura crítica. Como resultado, el Departamento de Justicia de EE. UU. Anunció recientemente que otorgaría a los ataques de ransomware una prioridad similar a la del terrorismo . Nada de esto es una sorpresa para los más de 60 expertos que se reunieron este año bajo el paraguas de Ransomware Task Force (RTF), un esfuerzo por producir un conjunto integral de recomendaciones para gobiernos internacionales y socios del sector privado sobre cómo abordar esta amenaza. De hecho, el informe, publicado pocos días antes del ataque Colonial Pipeline , comienza diciendo: "Los ataques de ransomware presentan un riesgo urgente para la seguridad nacional en todo el mundo".


Como colaboradores del informe, nos gustaría profundizar en la segunda recomendación prioritaria emitida por el grupo, que pide "... una campaña contra el ransomware sostenida, agresiva, de todo el gobierno, impulsada por inteligencia ..." En gran medida , hemos dejado que el sector privado se ocupe de la amenaza del ransomware por sí mismos, y cuando ha ocurrido un incidente, lo hemos tratado como un asunto de aplicación de la ley. Ambos enfoques han fallado. Cuando el actor solo necesita encontrar alguna falla en las defensas de cualquier empresa u organización, entonces seguirá teniendo éxito. Cuando la principal amenaza que presenta la sociedad para disuadir estas actividades es "irás a la cárcel" y los actores se esconden en países que no han mostrado interés en cooperar con las actividades de aplicación de la ley para estos comportamientos, no hay disuasión.


Se necesita un cambio. Uno que reconoce que simplemente dejar que los actores golpeen a las empresas que conforman la economía global es una locura y que el enfoque centrado en la aplicación de la ley no ha logrado disuadir a estos actores de ninguna manera significativa. En última instancia, lo que recomienda RTF es identificar aquellos grupos de ransomware que representan una amenaza a través de sus acciones para la seguridad de la vida, la infraestructura crítica o la seguridad nacional, y tratar esos problemas no como problemas de aplicación de la ley, sino como problemas de seguridad nacional. Abordar el ransomware requiere que miremos más allá de la aplicación de la ley y aprovechemos los poderes y las autoridades de todas las partes del gobierno al mismo tiempo que coordinamos con el sector privado. Se necesitará un esfuerzo comunitario. Este enfoque aboga por el enfoque,


La clave de la campaña es que esté "impulsada por la inteligencia". Para el gobierno, esto significa que la comunidad de inteligencia debe priorizar a los actores de ransomware como objetivos de inteligencia y sintetizar la información de inteligencia única del gobierno con inteligencia sobre la actividad de ransomware de las fuerzas del orden y los defensores de la red en el sector privado. Los gobiernos deben hacer lo que mejor saben hacer, atribuir a actores específicos, y combinar eso con lo que el sector privado hace mejor: identificar la infraestructura crítica en riesgo, los indicadores técnicos de las operaciones y los flujos de criptomonedas a través de los mercados. Los datos proporcionados por estos esfuerzos se utilizarán de dos maneras: categorizar y priorizar a los actores, identificar qué grupos son realmente una amenaza e identificar cuáles de esos grupos requieren atención inmediata.


Ahora, los esfuerzos pasan de lo que ha hecho el grupo de ransomware a lo que le permite operar. La inteligencia recopilada permitirá a los gobiernos elaborar una imagen holística de los aspectos financieros, operativos e interpersonales del grupo que le permitan ser eficaz. A partir de esa conciencia, pueden desarrollar un plan para desmantelar las capacidades operativas de ese grupo. En algunas situaciones, la aplicación de la ley puede tomar la iniciativa, trabajando con las autoridades tradicionales para utilizar procesos legales para derribar la infraestructura o detener y enjuiciar a los delincuentes. Pero es probable que se determine que los componentes operativos centrales del grupo y, por lo tanto, los mejores objetivos para la interrupción, estén fuera del alcance de las fuerzas del orden. Aquí es donde entran en juego la creatividad y la colaboración.


El objetivo es, en última instancia, desmantelar e interrumpir el objetivo y disuadir a otros que considerarían seguir un camino similar. La inteligencia recopilada debe identificar los puntos débiles en las operaciones y la infraestructura del grupo de actores objetivo. Las capacidades y autoridades gubernamentales, combinadas con acciones defensivas del sector privado, pueden usarse para interrumpir esa infraestructura y disminuir la efectividad de las operaciones de ransomware. La respuesta debe orientarse hacia las debilidades específicas del grupo y coordinarse con el sector privado y los socios internacionales siempre que sea posible.


El punto aquí es que tenemos que encontrar una manera de desmantelar o desarticular estos grupos con el tiempo, ya sea a través de medios tradicionales de aplicación de la ley o usos más creativos del poder del gobierno y la colaboración con el sector privado. En algunos casos, un solo compromiso será insuficiente para disuadir a los actores y será necesaria una aplicación constante de presión. Para los actores que se han involucrado en una actividad suficiente para justificarla, este tipo de compromiso sostenido no solo es apropiado, sino totalmente necesario.


Cómo se vería esto en los EE. UU.


El informe final de RTF proporciona un modelo de cómo los Estados Unidos podrían organizarse para tomar estas acciones y aumentar la colaboración dentro del gobierno federal y con el sector privado. El gobierno debe reunir a las diversas agencias gubernamentales que tienen un papel para trabajar hacia un objetivo común de interrumpir a los actores del ransomware. Problemas como el ransomware exigen esfuerzos coordinados, y el RTF recomienda que el gobierno establezca un Grupo de Trabajo Conjunto Interinstitucional contra el Ransomware (JRTF) para dirigir las operaciones de este esfuerzo. La JRTF debe estar compuesta por agencias de aplicación de la ley, como el FBI y el Servicio Secreto de EE. UU., Junto con los principales actores de la comunidad de inteligencia, incluida la Oficina del Director de Inteligencia Nacional (ODNI), la Agencia de Seguridad Nacional (NSA), y la Agencia Central de Inteligencia (CIA).


También debe incluir la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). CISA ayudará a la JRTF a comprender el riesgo para las entidades de infraestructura crítica y proporcionará información técnica específica a las empresas y organizaciones para ayudarlas a apuntalar sus vulnerabilidades y aplicar las mitigaciones adecuadas. Es imperativo que combinemos los elementos disruptivos descritos anteriormente con esfuerzos para mejorar la seguridad de las organizaciones. La misma inteligencia que usamos para contraatacar debe usarse para apuntalar las defensas. Si solo nos enfocamos en interrumpir el conjunto actual de actores maliciosos y no mejoramos nuestra línea de base de seguridad, los nuevos actores simplemente entrarán en la brecha. Al reunir estos elementos en un grupo de trabajo operativo, las agencias gubernamentales de EE. UU. Pueden interrumpir las operaciones de actores específicos de ransomware y, a través de CISA,


El JRTF también debe incluir el Comando Cibernético de EE. UU. Para ejecutar potencialmente operaciones cibernéticas ofensivas legales que podrían usarse para interrumpir la infraestructura de los actores del ransomware. Si el gobierno estima que arrestar a los actores puede no ser posible, entonces la mejor opción disponible podría ser bloquear su infraestructura de comando y control o eliminar los foros que utilizan para comunicarse con sus afiliados. Cyber ​​Command también puede estar en la mejor posición para usar información e influir en las operaciones dirigidas a los actores del ransomware.


El Departamento de Estado también sería un actor clave para trabajar a través de acciones diplomáticas que probablemente se centrarán en convencer a los países de que tomen medidas contra los actores de ransomware que operan dentro de sus fronteras. El Departamento del Tesoro podría ayudar con el desarrollo de sanciones y trabajar con los mercados de criptomonedas para interrumpir el flujo de fondos a los actores. Otras agencias gubernamentales también pueden tener un papel que desempeñar y podrían incluirse en el JRTF según sea necesario.


La conclusión aquí es que el ransomware exige soluciones que no son solo las que usamos para tratar con los delincuentes. Si el ransomware es realmente un problema de seguridad nacional, entonces el gobierno debe adoptar un enfoque de seguridad nacional para resolverlo, aprovechando las autoridades y las capacidades de múltiples agencias gubernamentales.


Compromiso del sector privado


El sector privado tiene un papel que desempeñar aquí en la evaluación de las amenazas potenciales y la asistencia en actividades lícitas para interrumpir las operaciones de los actores. El sector privado tiene años de experiencia directa analizando actividad maliciosa, monitoreando actores y trabajando directamente con organizaciones afectadas por ransomware. También tienen un conocimiento de nivel experto de cómo funcionan las redes y los servicios del mundo real, cómo los actores hacen mal uso de estas tecnologías y cómo se pueden utilizar para interrumpir las actividades de los actores.


La cooperación público / privada en actividades cibernéticas no es nueva, pero el nivel de cooperación necesario para identificar correctamente las amenazas a la seguridad nacional y ayudar a construir una respuesta segura y procesable a esas amenazas sí lo es. Las amenazas de alto nivel requieren la combinación de la experiencia del gobierno y del sector privado para diseñar actividades personalizadas de disuasión y disrupción.


Existe una larga historia de cooperación de este tipo, pero en gran medida ha sido unilateral. El gobierno debe sentirse más cómodo haciendo que los expertos del sector privado formen parte del proceso de discusión para construir perfiles de los actores y ejecutar las actividades de disrupción técnica. La inteligencia que se obtenga, en la medida de lo posible, pero especialmente los indicadores técnicos y los TTP de los actores, debe compartirse con las organizaciones del sector privado que sean capaces de respaldar las actividades disruptivas. Esto significa que la información debe fluir en ambos sentidos para que los expertos de ambos lados puedan brindar su mejor orientación. Asimismo, como dice el informe de RTF, "los participantes del sector privado deben reconocer que no todas las acciones gubernamentales serán compartidas o coordinadas con actores no gubernamentales debido a preocupaciones de seguridad o para proteger fuentes y métodos".


Conclusión


No es poca cosa decir que el ransomware se ha convertido en una amenaza para la seguridad nacional. Es aleccionador admitir que hemos llegado a un punto en el que la actividad delictiva tiene efectos en el mundo real a nivel social y las opciones que ahora están sobre la mesa debido a eso. Es importante comprender que el hecho de que algo sea una crisis no significa que nos falte atención en nuestra respuesta, simplemente significa que consideramos más opciones. Tanto los gobiernos como el sector privado tendrán muchos momentos desafiantes a medida que avanzamos para combatir estas amenazas. Ahora más que nunca, se necesita sabiduría y jefes de nivel para encontrar las palancas apropiadas del gobierno y el sector privado, y para aplicar esas palancas de manera efectiva contra la amenaza.


Fuente: https://blog.talosintelligence.com/2021/06/intelligence-driven-disruption.html

3 vistas0 comentarios