Los ataques de ransomware de bajo perfil continúan mientras los casos de alto perfil se ralentizan

Los ataques de ransomware de bajo perfil continúan mientras los casos de alto perfil se ralentizan

En los meses desde El presidente Joe Biden advirtió a Vladimir Putin de Rusia que necesitaba tomar medidas enérgicas Secuestro de datos pandillas en su país, no ha habido un ataque masivo como el el pasado mayo que resultó en escasez de gasolina.

Pero eso es un pequeño consuelo para Ken Trzaska.

Trzaska es presidente de Lewis & Clark Community College, una pequeña escuela de Illinois que canceló clases durante días después de un ataque de ransomware el mes pasado que dejó fuera de línea sistemas informáticos críticos.

«Ese primer día», dijo Trzaska, «creo que todos estábamos probablemente despiertos más de 20 horas, simplemente moviéndonos a través del proceso, tratando de rodear con nuestros brazos lo que sucedió».

Incluso si Estados Unidos no está soportando actualmente ataques de ransomware de primera plana a gran escala a la par con los de principios de este año que dirigido al suministro mundial de carne o impidió que millones de estadounidenses llenaran sus tanques de gasolina, el problema no ha desaparecido. De hecho, el ataque a la universidad de Trzaska fue parte de un aluvión de episodios de bajo perfil que han trastornado las empresas, los gobiernos, las escuelas y los hospitales afectados.

La terrible experiencia de la universidad refleja los desafíos que enfrenta la administración de Biden para erradicar la amenaza, y su progreso desigual al hacerlo desde que el ransomware se convirtió en un problema urgente de seguridad nacional la primavera pasada.

Los funcionarios estadounidenses han recuperado algunos pagos de rescate, han tomado medidas enérgicas contra los abusos de las criptomonedas y han realizado algunos arrestos. Las agencias de espionaje han lanzado ataques contra grupos de ransomware y Estados Unidos ha presionado a los gobiernos federal, estatal y local, así como a las industrias privadas, para que aumenten las protecciones.

Sin embargo, seis meses después de las advertencias de Biden a Putin, es difícil saber si los piratas informáticos se han calmado debido a la presión de Estados Unidos. Continúan los ataques a menor escala, y los delincuentes de ransomware continúan operando desde Rusia con aparente impunidad. Los funcionarios de la administración han realizado evaluaciones contradictorias sobre si el comportamiento de Rusia ha cambiado desde el verano pasado. Para complicar aún más las cosas, el ransomware ya no está en la parte superior de la agenda de Estados Unidos y Rusia, con Washington se centró en disuadir a Putin de invadir Ucrania.

La Casa Blanca dijo que estaba decidida a «luchar contra todo el ransomware» a través de sus diversas herramientas, pero que la respuesta del gobierno depende de la gravedad del ataque.

«Hay algunos que son asuntos de aplicación de la ley y otros que son actividades de ransomware disruptivas y de alto impacto que representan una amenaza directa a la seguridad nacional que requieren otras medidas», dijo el comunicado.

Los ataques de ransomware, en los que los piratas informáticos encierran los datos de las víctimas y exigen sumas exorbitantes para devolverlos, surgieron como una emergencia de seguridad nacional para la administración después de un ataque en mayo contra Colonial Pipeline, que suministra casi la mitad del combustible consumido en la costa este.

El ataque llevó a la empresa a detener sus operaciones, lo que provocó escasez de gas durante días, aunque servicio reanudado después de pagar más de $ 4 millones en rescate. Poco después vino un ataque al procesador de carne JBS, que pagó un rescate de $ 11 millones.

Biden se reunió con Putin en junio en Ginebra, donde sugirió que los sectores de infraestructura crítica deberían estar «fuera de los límites» del ransomware y dijo que Estados Unidos debería saber en seis meses a un año «si tenemos un acuerdo de ciberseguridad que comienza a poner orden».

Él reiteró el mensaje en julio, días después de un gran ataque a una empresa de software, Kaseya, que afectó a cientos de empresas, y dijo que esperaba que Rusia tomara medidas contra los ciberdelincuentes cuando Estados Unidos proporcionara suficiente información para hacerlo.

Desde entonces, ha habido algunos ataques notables de grupos que se cree que tienen su base en Rusia, incluso contra Grupo de difusión Sinclair y el Asociación Nacional del Rifle, pero ninguno de la misma consecuencia o impacto de los de la pasada primavera o verano.

Una razón puede ser un mayor escrutinio del gobierno de los EE. UU. O el miedo a él.

La administración Biden en septiembre sancionó una moneda virtual con sede en Rusia intercambio que, según los funcionarios, ayudó a las bandas de ransomware a lavar fondos. El mes pasado, el Departamento de Justicia reveló los cargos contra un presunto operador de ransomware ucraniano que fue arrestado en Polonia y ha recuperó millones de dólares en pagos de rescate. El general Paul Nakasone, jefe del Comando Cibernético de EE. UU., Dijo a The New York Times que su agencia ha comenzado operaciones ofensivas contra grupos de ransomware. La Casa Blanca dice que continuará el esfuerzo de «todo el gobierno».

«Creo que la gente del ransomware, los que los llevan a cabo, están dando un paso atrás como, ‘Oye, si hacemos eso, el gobierno de los Estados Unidos nos persigue ofensivamente'», Kevin Powers, asesor de estrategia de seguridad de la empresa de riesgo cibernético. CyberSaint, dijo de los ataques contra la infraestructura crítica.

Mientras tanto, los funcionarios estadounidenses han compartido una pequeña cantidad de nombres de presuntos operadores de ransomware con funcionarios rusos, quienes han dicho que han comenzado a investigar, según dos personas familiarizadas con el asunto que no estaban autorizadas a hablar públicamente.

No está claro qué hará Rusia con esos nombres, aunque el portavoz del Kremlin, Dmitry Peskov, insistió en que los países han mantenido un diálogo útil y dijo que «se ha establecido un mecanismo de trabajo y que en realidad está funcionando».

También es difícil medir el impacto de los arrestos individuales sobre la amenaza general. Incluso cuando el presunto pirata informático ransomware aguarda la extradición a los EE. UU. Después de su arresto en Polonia, otro que fue acusado por los fiscales federales fue informado más tarde por un tabloide británico de que vivía cómodamente en Rusia y conducía automóviles de lujo.

Algunos se muestran escépticos acerca de atribuir cualquier caída en los ataques de alto perfil a los esfuerzos de Estados Unidos.

“Pudo haber sido una casualidad”, dijo Dmitri Alperovitch, ex director de tecnología de la firma de ciberseguridad Crowdstrike. Dijo que pedirle a Rusia que tome medidas enérgicas contra los ataques a gran escala no funcionará porque «es una solicitud demasiado granular para calibrar la actividad delictiva que ni siquiera controlan por completo».

Altos funcionarios estadounidenses han dado respuestas contradictorias sobre tendencias de ransomware desde las discusiones de Biden con Putin. Algunos funcionarios del FBI y del Departamento de Justicia dicen que no han visto cambios en el comportamiento ruso. El director cibernético nacional Chris Inglis dijo que ha habido una disminución perceptible en los ataques, pero que era demasiado pronto para decir por qué.

Es difícil cuantificar el número de ataques dada la falta de información de referencia y los informes desiguales de las víctimas, aunque la ausencia de incidentes disruptivos es un marcador importante para una Casa Blanca que intenta centrar su atención en los riesgos de seguridad nacional más importantes y las violaciones catastróficas.

Las víctimas de ataques de ransomware en los últimos meses han incluido hospitales, pequeñas empresas, universidades como la Universidad de Howard, que desconectó brevemente muchos de sus sistemas después de descubrir un ataque en septiembre, y la legislatura de Virginia.

El ataque en Lewis & Clark, en Godfrey, Illinois, se descubrió dos días antes del Día de Acción de Gracias cuando el director de TI de la escuela detectó actividad sospechosa y desconectó los sistemas de forma proactiva, dijo Trzaska, el presidente.

Una nota de rescate de los piratas informáticos exigía un pago, aunque Trzaska se negó a revelar la suma o identificar a los culpables. Aunque muchos ataques provienen de piratas informáticos en Rusia o Europa del Este, algunos se originan en otros lugares.

Con los sistemas educativos vitales afectados, incluido el correo electrónico y la plataforma de aprendizaje en línea de la escuela, los administradores cancelaron las clases durante días después del receso del Día de Acción de Gracias y comunicaron actualizaciones a los estudiantes a través de las redes sociales y a través de un sistema de alerta pública.

La universidad, que tenía copias de seguridad en la mayoría de sus servidores, reanudó sus operaciones este mes.

La terrible experiencia fue lo suficientemente abrumadora como para inspirar a Trzaska y a otro presidente de la universidad que, según él, pasó por una experiencia similar para planificar un panel de ciberseguridad.

«La cotización bursátil de todos», dijo Trzaska, «no es si va a suceder, sino cuándo va a suceder».

Suderman informó desde Richmond, Virginia. La periodista de Associated Press Dasha Litvinova en Moscú contribuyó a este informe.