De acuerdo con FireEye, desde 2013, el grupo FIN10 tiene como principal objetivo extorsionar financieramente casinos y organizaciones de minería en América del Norte, siendo Canadá el principal foco. De acuerdo con los investigadores de FireEye, estas operaciones de intrusión pretenden el robo de datos corporativos, archivos, registros, correspondencia y claves de seguridad. En algunos casos ha solicitado el rescate en Bitcoins por un equivalente desde alrededor de 125.000 y hasta 600.000 dólares.

Responder a los incidentes como los observados del FIN10, es un reto para las empresas de todo el mundo, ya que no se puede prever cuál será el plano de contención para detener a este atacante, ya que no se sabe cuál es la motivación o el daño ya causado por él. Para ayudar a las organizaciones con estos incidentes, FireEye dio a conocer diez lecciones aprendidas a partir de la observación del FIN10:

1. Asegúrese de que exista una brecha: asegúrese del que el sistema fue realmente hackeado. Las tentativas de extorsión son comunes, por eso, examine el ambiente antes de considerar el pago de rescate. El FIN10, por ejemplo, acostumbra proporcionar datos como prueba de que hubo una invasión y ayuda a determinar que sean suyos.
2. Su adversario es un humano: recuerde que los seres humanos son imprevisibles y pueden actuar con emociones. Considere, con cuidado, cómo un atacante puede reaccionar sobre su acción o inacción (puede ser más agresivo en caso de que se sienta amenazado) o puede conceder más tiempo si cree en usted.
3. El tiempo es crítico: es preciso validar la violación rápidamente, lo que exigirá esfuerzo de todo el equipo, incluyendo periodos fuera del horario normal, como noches o fines de semana, lo cual puede generar cansancio y fatiga. Además de la aprobación de cambios de emergencia en cortos periodos de tiempo.
4. Permanezca enfocado: las distracciones están latentes y usted está contra reloj. Por eso evalúe las tareas que ayuden a mitigar, detectar y responder para contener un ataque. Concéntrese no en lo que deba tener (los llamados “must-have”) sino a la inversa, en lo que sería bueno tener (los “nice-to-have”) y considere la implementación de soluciones temporales para detener esta invasión.
5. Evalúe a los atacantes cuidadosamente: un ciberatacante no espera respuestas, así que considere sus respuestas, limite sus interacciones y sea cauteloso con sus palabras. Tenga un apoyo jurídico en todas sus comunicaciones.
6. Involucre a especialistas antes de la violación: serán necesarios especialistas de tres áreas a priori: forense, jurídico y relaciones públicas, al obtener confirmación de una violación disruptiva. Por eso es importante ya tenerlos y mantenerlos sobre aviso.
7. Considere todas las opciones cuando el rescate sea pedido: Sea consciente de que el pago de rescate no garantiza que su atacante le devolverá todos los datos robados, de ahí la importancia de incluir especialistas para evaluación de escenarios y toma de decisiones.
8. Asegure la segmentación y controle sus respaldos: la mayor parte de las empresas no cuenta con políticas cautelosas de respaldos, para recuperarlos rápidamente en caso de una falla del sistema. Por lo tanto, es común que el respaldo esté en el mismo ambiente invadido y comprometido por el atacante. De esa forma se tendrá el riesgo de la destrucción de los mismos.
9. Después del incidente enfóquese en mejoras de seguridad: sea cual sea el resultado, debe garantizar que los atacantes no regresen y dañen más su ambiente. Usted no querrá que un segundo invasor lo visite porque está dispuesto a pagar un rescate. Asegúrese que ha entendido cómo funciona una extensión de brechas de seguridad e implemente tácticas y acciones estratégicas para prevenir accesos de futuros atacantes.
10. Si usted piensa que están fuera, pueden volver de una manera diferente: no olvide el funcionamiento y la mejora del tiempo de implementación de soluciones inmediatamente después de contener el ataque. Garantice pruebas de conducta del “red team” con evaluaciones para validar los controles de seguridad e identificación de vulnerabilidades, con el fin de arreglarlos rápidamente.

Noticias Relacionadas

Gigante chino alojó códigos maliciosos en sus espacios publicitarios virtuales3 min read Fireeye será anfitrión de Cyber Defense Live summit en la ciudad de México3 min read FireEye recomienda implementar ciberseguridad basada en inteligencia5 min read FireEye detalla la campaña WannaCry de Ransomware, su amenaza y manejo de riesgos8 min read