Cinco lecciones que aprendimos con el ataque de ransomware que sufrimos
Está ampliamente documentado que los ataques de ransomware están en auge y pueden traer consecuencias graves que afectan a todas las esferas de una empresa, incluidos los clientes, las operaciones, las marca e, incluso, el consejo de administración.
Dentro de mis funciones en el cargo que ocupo en DXC Technology, superviso nuestra área de seguridad y a menudo debo hacer frente a ataques dirigidos contra nuestros clientes. Sin embargo, el sábado 4 de julio de 2020, justo cuando salía del coche para comenzar las vacaciones con mi familia, la empresa se convirtió en objeto de un ataque de ramsonware.
El incidente afectaba a Xchanging, una filial con sede en el Reino Unido, que proporciona servicios empresariales basados en tecnología a la industria aseguradora. El atacante envió una imagen muy utilizada de un querido personaje de dibujos animados haciendo un gesto obsceno con su mano y acompañado del siguiente mensaje: «Tenemos tus datos. Hemos cifrado tus archivos. Si quieres negociar, podemos hablar por medio de una herramienta o sesión de chat segura».
Si bien la red utilizada por Xchanging se segregó de un entorno de TI mucho mayor de DXC, estábamos no obstante preocupados con que el incidente pudiese causar perjuicios operativos a los clientes de Xchanging cuando el lunes abriesen las oficinas de seguros en Londres.
Ante un ataque de ransomware, el tiempo es un elemento fundamental, ya que uno de sus efectos reales es el periodo de inactividad. El ataque promedio tumba sistemas críticos durante 16 días, de acuerdo con Emisisoft, que predice que los costes globales atribuibles a ransomware podrían alcanzar los 170.000 millones de dólares en todo el mundo en 2020.
En el caso de Xchanging, el pirata informático había obtenido acceso inicial recién dos días antes. Solo se accedió a un grupo reducido de sistemas y pudimos aislar y neutralizar la amenaza rápidamente. No se robaron datos y no pagamos ningún importe por el rescate. Inmediatamente, notificamos los hechos a nuestros clientes y a las autoridades. El domingo 5 de julio, limpiamos y restauramos el entorno afectado. Ya el lunes por la mañana, Xchanging podía tramitar pólizas de seguros.
Ante un ataque de ransomware, el tiempo es un elemento fundamental, ya que uno de sus efectos reales es el tiempo de inactividad.
Consejos para mantener la seguridad
La investigación penal continúa y aprovechamos cada oportunidad para revisar nuestros controles y procedimientos. Casi todo funcionó según lo esperado. Sin embargo, desafortunadamente muchas empresas no corren la misma suerte.
Analizamos qué había ido bien, qué no y dónde podemos mejorar.
Veamos cinco conclusiones fundamentales:
Conoce tu infraestructura. Céntrate en mantener una higiene básica en cuanto a las reparaciones de software y asegúrate de que todas las redes y firewalls cuentan con herramientas de seguridad empresarial para detectar comportamientos maliciosos. Los atacantes comienzan utilizando una herramienta pública de comprobación de la seguridad conocida como «grayware». El grayware no es de por sí malicioso pero en este caso fue utilizado con el objetivo de crear una puerta trasera para aprovechar Microsoft Windows e implementar una nueva variante de malware de cifrado. Si bien no habíamos evitado el ataque, sí estábamos al tanto de que algo no estaba del todo bien y pudimos identificar con rapidez qué punto de la red se encontraba en riesgo cuando el ataque se estaba produciendo.
Implica a altos cargos desde el principio. Nuestro equipo de crisis global se reunió para evaluar la situación, lo cual resultó clave para nosotros, ya que involucramos de manera directa a altos ejecutivos, de forma que pudimos tomar decisiones fundamentales con celeridad. Por ejemplo, necesitábamos cerrar el acceso remoto, así que tomé la decisión de cortar toda la conectividad a los sistemas Xchanging. Aunque parezca sencillo, esto exigió que nuestros equipos de TI reaccionasen con urgencia tanto en el Reino Unido como en India, y contar con la participación de los responsables de esos equipos permitió que el corte se realizase de manera rápida y eficiente. Durante la respuesta, diversos miembros de nuestra dirección, incluido nuestro CEO, Mike Salvino, participaron en la evaluación de la situación y en la toma de decisiones clave. Una buena gestión es siempre crucial en estas circunstancias. Si no tienes asignadas las responsabilidades y no está claro a quién le corresponde cada tarea, estarás desperdiciando un tiempo precioso que los atacantes aprovecharán.
Las autoridades aconsejan encarecidamente que no se paguen rescates. De hecho, en Estados Unidos y el Reino Unido están en proceso de imponer sanciones civiles e incluso penales por realizar pagos de rescates.
Incluye a autoridades y expertos con prontitud. Los expertos en asuntos judiciales y de seguridad pueden proporcionar consejos valiosísimos sobre cómo contrarrestar el ataque e impulsar una intervención legal rápida. Por ejemplo, dado que el ransomware se configuró para enviar datos de Xchanging a dominios web de Estados Unidos, me puse en contacto con agentes del orden que trabajaban durante el fin de semana. Esa misma tarde, obtuvimos una orden judicial para asumir el control de los dominios web de los atacantes.
Negocia tanto como puedas, y no pagues. Las autoridades aconsejan encarecidamente que no se paguen rescates. De hecho, en Estados Unidos y el Reino Unido están en proceso de imponer sanciones civiles e incluso penales por realizar pagos de rescates. En nuestro caso, los atacantes no pidieron un pago inicial. Querían negociar. Éramos conscientes de que habíamos detenido el ataque, de que no tenían nuestros datos y de que nosotros contábamos con copias de seguridad. Nuestra posición era sólida, por lo que no necesitábamos negociar. Si optas por negociar con ciberdelincuentes, no lo hagas solo. Busca un negociador con experiencia en rescates, preferiblemente durante tu preparación de respuesta a incidentes, antes de recibir el ataque.
Sé transparente. No debes revelar todos los hechos, pero la transparencia suele ser una buena práctica. Compartimos los indicadores de compromiso (IOC, por sus siglas en inglés) con cientos de clientes. Si bien es indudable que existe información que no puede divulgarse (por ejemplo, cuando está sujeta a restricciones de confidencialidad de clientes o en cumplimiento de la legislación), compartirla cuando esté en tu mano no solo mantiene la seguridad de los demás, sino que también puede sumar la ayuda de un grupo amplio de tus compañeros, autoridades y profesionales del ámbito de la seguridad. El domingo 5 de julio emitimos una nota de prensa para informar a los mercados públicos y posteriormente, unas semanas más tarde, otra para confirmar el éxito de nuestra labor de contención.
A los agentes policiales con los que hablé ese fin de semana les sorprendió que ya hubiésemos frenado el ataque. La mayoría de las llamadas que recibieron fueron realizadas por el propio consejero delegado, ya que los equipos de TI y seguridad mantienen un ritmo de actividad frenético, y la empresa por lo general se encuentra en su tercer o cuarto día de cierre y sin atisbo de solución.
Somos conscientes de que el ataque que sufrimos el 4 de julio pudo haber sido mucho peor. La ventaja que obtuvimos fue el resultado de una combinación de capacidad de respuesta ante incidentes, controles y gestión de seguridad, así como el uso de herramientas técnicas y prácticas del sector.
La «new DXC» mostró solidez a la hora de abordar el reto y priorizar a sus clientes en todo momento.
Y así es como pasé mis vacaciones de verano.
Mantente al día de las últimas amenazas. Suscríbete al Informe sobre inteligencia de amenazas a la seguridad de DXC en www.dxc.technology/threats_HBR.
Sobre el autor
Mark Hughes es vicepresidente sénior de ofertas y partners estratégicos de DXC Technology, responsable la organización y las ofertas de seguridad globales de DXC, incluidas ciberdefensa, infraestructura segura, identidad digital y protección de datos. Anteriormente ocupó el cargo de director ejecutivo de BT Security.