Las organizaciones afectadas por el ransomware a menudo se encuentran en una crisis: ¿Pagar o no pagar? La mayoría de los expertos en seguridad coinciden en que el pago no es la respuesta ideal a un ataque de ransomware. Pero la verdad es que algunas organizaciones no tienen elección, y en estos casos, necesitan tener una estrategia.
«Una cosa que hace que una crisis sea más manejable es tener la mayor cantidad de información posible», dijo Pepijn Hack, analista de ciberseguridad de Fox-IT, parte de NCC Group, en una charla en la Black Hat Europe.
Hack y su colega, el analista de amenazas Zong-Yu Wu, trataron de aprender cómo los atacantes maximizan los beneficios, la posición en la que se encuentran las víctimas durante las negociaciones y cómo las empresas afectadas por el ransomware pueden nivelar el campo de juego. El dúo analizó más de 700 negociaciones entre 2019 y 2020 para crear un conjunto de datos que analizaron utilizando métodos cuantitativos y cualitativos.
Los investigadores se centraron en el precio final, en lugar del rescate inicial que piden los atacantes, porque representa la línea de base de los beneficios para los atacantes. Varios factores económicos influyen en el rescate final, dijo Wu. El precio debe ser lo suficientemente alto como para cubrir el coste del alojamiento del malware, las pruebas de penetración y el desarrollo de conjuntos de herramientas para los atacantes, pero lo suficientemente bajo como para que un alto porcentaje de víctimas lo pague. «Lo que hace que este negocio sea complicado es que estos factores están entrelazados», explicó, señalando que el precio del rescate y la disposición a pagar tienen una correlación negativa: Si el precio es más alto, menos gente pagará. Los atacantes deben elegir un modelo de negocio en el que un menor número de víctimas pague un rescate mayor o un mayor número de víctimas pague un rescate menor, añadió.
Hack y Wu investigaron sus conjuntos de datos para ver cómo fijan los atacantes sus precios en el mundo real. Dividieron a las víctimas en dos subgrupos según sus ingresos anuales. «Los datos muestran que si las empresas obtienen ingresos similares y ambas son infectadas por el virus, y ambas deciden pagar, es probable que paguen una proporción similar de rescate», dijo Wu. Además, los investigadores observaron que las pequeñas y medianas empresas pagan menos dinero, pero relativamente más como porcentaje de sus ingresos.
Su análisis indica que los atacantes valoran los ingresos y el tamaño de la empresa a la hora de determinar el rescate. Un factor preocupante, señaló Wu, es que los atacantes suelen tener una idea de cuánto pagarán las víctimas de antemano. También saben que la víctima suele jugar al juego por primera vez, lo que da ventaja a los atacantes. «El atacante ha estado jugando todo el día y sabe lo que tiene en sus manos», añadió Wu. «En esta situación, la víctima no puede ganar».
Llevar con éxito una negociación estratégica
Los adversarios pueden tener ventaja, dijo Hack, pero también son humanos, y los humanos cometen errores. Sabiendo esto, las víctimas pueden negociar precios de rescate más bajos o evitar pagar por completo. Su primer consejo es ser respetuoso en la comunicación. Una crisis puede ser «una montaña rusa emocional», dijo, y hay mucho en juego. Es comprensible que los empresarios se pongan nerviosos. Hack aconsejó considerar la negociación del ransomware como una transacción comercial. Consulte con ayuda externa si es necesario, pero siga siendo profesional. «Ser amable conducirá a un mejor resultado», señaló.
Además, las víctimas no deben tener miedo de pedir más tiempo. Los adversarios suelen intentar presionarlos para que tomen decisiones rápidas, a menudo amenazando con filtrar los archivos robados o duplicando el rescate después de un determinado periodo. Cuanto más estrés cause el atacante, peor será la toma de decisiones de la víctima. «Sin embargo, en casi todos los casos el adversario estaba dispuesto a ampliar el plazo cuando las negociaciones aún estaban en marcha», dijo Hack. «Se puede ver que definitivamente hay cierto margen de maniobra en cada negociación». Una víctima se enfrentó inicialmente a un rescate de 12 millones de dólares y acabó pagando sólo 1,5 millones.
Esta estrategia es útil para las víctimas que quieren ganar tiempo. Otra estrategia, para los que quieren pagar antes, es ofrecer un pago menor rápidamente en lugar de un pago mayor más adelante. «Si quiere pagar ahora, recuperar sus cosas porque sabe que no tiene copias de seguridad y su negocio necesita ponerse en marcha, esta es una estrategia que le conviene», dijo. A la gente no se le da bien retrasar la gratificación, y los atacantes tienen el incentivo de cerrar el círculo rápidamente, para poder pasar a otros objetivos y ganar más dinero. En un caso, la demanda inicial de rescate era de un millón de dólares, y la víctima acabó pagando 350.000 dólares utilizando esta estrategia.
Como alternativa, continúa Hack, la víctima puede decir que no tiene el dinero. «Una de las estrategias más eficaces en general es convencer al adversario de que simplemente no puede pagar tanto dinero». En un caso, una víctima que inicialmente tenía un rescate de 30 millones de dólares acabó pagando 500.000 dólares. La empresa amenazó con aceptar lo que sucedería si no conseguía la clave de descifrado, y los atacantes estuvieron entonces dispuestos a aceptar un pago mucho menor.
Hack también aconsejó a las organizaciones que tengan un seguro para este tipo de incidentes que mantengan ese hecho en secreto. Si los atacantes saben que tienes un seguro, la negociación será mucho más difícil. En algunos casos, los atacantes dicen que no darán a las víctimas un descuento por debajo de la cantidad que saben que pagará el seguro. «Lo que hemos aprendido es que las negociaciones de Ransomware son un juego injusto», dijo. «Los adversarios pueden aprender de experiencias anteriores y tienen información sobre la víctima y saben que hacer con ella. Sin embargo, siguen siendo sólo humanos, y podemos aprovecharnos de eso».
Sheridan, K. (2021, noviembre 15). How to negotiate with ransomware attackers. Dark Reading. https://www.darkreading.com/attacks-breaches/how-to-negotiate-with-ransomware-attackers
