El Departamento de Justicia de EE. UU. (DoJ), a través de la Oficina del Inspector General (OIG), publicó un informe que evalúa la estrategia del Departamento para combatir las amenazas de ransomware, incluida la respuesta y la coordinación de los ataques de ransomware. Centrándose en el enfoque general del Departamento de Justicia para abordar los ataques de ransomware, en lugar de sus esfuerzos por contrarrestar los ataques al propio Departamento de Justicia, este documento se centra en la Oficina Federal de Investigaciones (FBI) y la División de Delitos Informáticos de la División Penal del Departamento de Justicia. y la División de Propiedad Intelectual (CCIPS) lideran la respuesta del Departamento de Justicia y están priorizando los esfuerzos para maximizar la prevención de ataques de ransomware.
El informe, titulado “Una auditoría de la estrategia del Departamento de Justicia para combatir y responder a las amenazas y ataques de ransomware”, también identificó oportunidades para que el Departamento mejore sus esfuerzos para contrarrestar la amenaza del ransomware. Específicamente, el informe señaló que el Departamento carece de métricas efectivas para medir el éxito de los esfuerzos contra el ransomware y podría mejorar el cumplimiento de las políticas de eliminación de conflictos de ransomware. Además, el FBI desarrolló una estrategia de ransomware centrada en apuntar al ecosistema de ransomware y pudo interrumpir significativamente tres grupos de ransomware en 2023.
El informe también señala que el Centro de Misión contra el Crimen del Grupo de Trabajo Conjunto de Investigación Cibernética Nacional (NCIJTF) dirigido por el FBI, que fue responsable de coordinar los programas anti-ransomware de todo el gobierno en 2021 y 2022, también logró resultados significativos en la lucha contra el ransomware. reveló que su papel en este campo no ha sido definido desde que el Congreso creó la Fuerza de Tarea Conjunta contra Ransomware (JRTF) en 2022.
El informe del Inspector General señala que los ataques de ransomware han aumentado en tamaño, alcance y frecuencia durante la última década. Hay muchos tipos diferentes de ransomware, cada uno de los cuales se denomina “subespecie”. Estas variantes difieren en los mecanismos de entrega, la selección de objetivos, la competencia técnica, los métodos de extorsión y varios otros factores. Las variantes cambian con frecuencia y surgen nuevas variantes con frecuencia, lo que complica aún más los esfuerzos para combatir esta amenaza.
Con base en estos hallazgos, el informe del Inspector General establece que la Oficina del Fiscal General Adjunto trabajará con los departamentos relevantes para mejorar la coherencia de las métricas en todo el Departamento y las métricas sobre las amenazas de ransomware, incluidas las métricas que rastrean el sabotaje) que son más comunes. impactante y demostrar la efectividad de sus esfuerzos para combatir las amenazas de ransomware. También evaluamos la implementación de la política de eliminación de conflictos de la Oficina del Fiscal de los Estados Unidos (USAO) en casos de ransomware para garantizar que los fiscales federales comprendan consistentemente la política y cumplan con sus requisitos.
Finalmente, el informe analiza cómo el FBI, la agencia responsable de la NCIJTF, ayudará a la JRTF a garantizar que sus contribuciones sean significativas y efectivas, incluyendo cómo el FBI ayudará a la JRTF a garantizar que sus contribuciones sean significativas y efectivas. Proporciona una definición más clara. de roles.
El FBI y el CCIPS encabezan los esfuerzos del Departamento de Justicia para priorizar y abordar las amenazas de ransomware. Descubrimos que el FBI y el CCIPS están dando alta prioridad a la amenaza de ransomware y asignando los recursos existentes para aumentar su eficacia. El FBI ha desarrollado un marco para priorizar y evaluar de forma iterativa el impacto de las variantes de ransomware. Los resultados de estas evaluaciones serán utilizados por el FBI para identificar los insumos necesarios para las investigaciones de alta prioridad y por el CCIPS para determinar el nivel de apoyo necesario para mantener la cobertura de los casos que involucran variantes significativas.
Además, el FBI ha desarrollado una estrategia de ransomware centrada en atacar a los actores, la infraestructura y la financiación que conforman y habilitan el ecosistema de ransomware.
El informe instó al Departamento de Justicia a mejorar las métricas para rastrear la progresión y el impacto de las amenazas de ransomware. El Departamento de Justicia anunció que combatir los ataques de ransomware será un objetivo prioritario para las agencias del DOJ en los años fiscales 2022 y 2023, y aumentará la cantidad de casos de ransomware reportados que se abren y se agregan a los casos existentes, con el objetivo de aumentar la tasa de ransomware. -incautaciones o decomisos relacionados con ransomware en un 10 por ciento y aumentar la tasa de incautaciones o decomisos relacionados con ransomware al 65 por ciento. Sin embargo, el Departamento de Justicia no había publicado un plan de acción para este objetivo en 2022 o 2023 en Performance (punto)gov, como exige, y no había informado de avances.
Además, el informe del inspector general señala que el Departamento de Defensa aún no ha publicado sus objetivos para el próximo bienio, el año fiscal 2024-2025. “Sin embargo, creemos que las métricas anti-ransomware existentes del Departamento de Defensa no capturan la efectividad de las actividades subversivas contra actores maliciosos. De todos modos, es necesario determinar qué métricas son más efectivas para asegurarse de comprender la efectividad de sus acciones para combatir el ransomware. amenaza de ransomware”.
Según la Oficina del Fiscal General Adjunto (ODAG), la falta de coordinación y evitación de conflictos daña las relaciones que son fundamentales para las investigaciones, los procesamientos y la aplicación de la ley, desperdicia recursos y amenaza la seguridad pública, la seguridad nacional y el Departamento de Justicia. puede dañar la confianza de Para abordar estas preocupaciones, la Oficina del Fiscal General Adjunto anunció una política a principios de 2023 para mejorar la eliminación de conflictos y la coordinación de las investigaciones cibernéticas. La política requería que los fiscales confirmaran que los agentes federales evitaron colisiones durante toda la investigación.
Sin embargo, el informe señala que: “Los funcionarios del departamento nos han dicho que la eliminación de conflictos en los casos de ransomware sigue siendo problemática. Por ejemplo, los funcionarios del FBI han informado que los fiscales federales que supervisan dos casos relacionados de ransomware citaron ejemplos de no compartir información de manera oportuna, los funcionarios de la división penal dijeron que el Fiscal Federal La oficina está dividida sobre el conocimiento y la aplicación de la política, dadas estas preocupaciones anecdóticas, recomienda que ODAG evalúe la implementación de políticas de eliminación de conflictos para incidentes de ransomware para garantizar una implementación y cumplimiento consistentes”.
La NCIJTF está dirigida por el FBI y consta de tres centros de misión. Reconocimos los esfuerzos anti-ransomware del NCIJTF Crime Mission Center. Esto incluyó la coordinación de un plan de ransomware a nivel gubernamental para 2021 y 2022, pero sin resultados significativos. El Crime Mission Center coordinó un plan contra dos variantes de ransomware, pero el informe no demuestra que se cumplieron los objetivos estratégicos y los resultados del plan, y un informe final detalla las lecciones aprendidas. El personal del FBI y las partes interesadas también expresaron su preocupación por la falta de intercambio de información, comunicación y apoyo efectivo del Centro de Misión contra el Crimen, y cuestionaron su urgencia y adaptabilidad en un entorno de amenazas en rápida evolución.
Al final, los funcionarios del NCIJTF y el FBI confirmaron que no pudieron identificar ninguna acción destructiva resultante del ataque de ransomware al Centro de Misión Criminal. Además, el Congreso ordenó la creación de la JRTF de múltiples agencias en 2022 para coordinar una respuesta de todo el gobierno a la amenaza de ransomware.
El informe del Inspector General encontró que el establecimiento de la JRTF afectó el papel del Centro de Misión contra el Crimen y que este papel no estaba claramente definido. “Como agencia responsable del NCIJTF, el FBI debe definir mejor el papel del Centro de Misión contra el Crimen del NCIJTF contra el ransomware y garantizar que sus contribuciones sean significativas y efectivas”.
En el informe, el inspector general señala que el Departamento de Defensa ha estado trabajando para combatir esta amenaza desde 2014, y que tanto el CCIPS como el FBI, que lideran los esfuerzos del Departamento de ransomware, han priorizado la amenaza del ransomware y han asignado los recursos existentes para maximizarla. su eficacia. “Sin embargo, el Departamento de Defensa debería evaluar el cumplimiento de las políticas de eliminación de conflictos en materia de investigaciones cibernéticas para garantizar una implementación y cumplimiento coherentes por parte de los fiscales federales, y las normas relativas al ransomware deberían tener en cuenta las importantes actividades de sabotaje del Departamento. Descubrí que no lo hice”. ”
“También reconocimos los esfuerzos del Centro de Misión contra el Crimen del NCIJTF en 2021 y 2022 para coordinar los planes anti-ransomware de todo el gobierno y descubrimos que no demostraron resultados significativos en la respuesta a las amenazas de ransomware”, afirma el informe. “Además, el papel del Crime Mission Center contra el ransomware ha evolucionado desde que el Congreso creó la JRTF en 2022, y el FBI está comprometido a garantizar que su apoyo y contribuciones a la JRTF sean significativos y eficaces. definido más claramente para garantizar que el Departamento mejore los esfuerzos de coordinación y eliminación de conflictos para abordar esta creciente amenaza. Esto será crucial para nuestro éxito”.
Además, sin mejoras, el Departamento de Justicia tendrá un impacto negativo en las investigaciones y enjuiciamientos, dañará las relaciones con las víctimas y los socios nacionales e internacionales y socavará la seguridad pública, la seguridad nacional y las capacidades del Departamento en esta área crítica. que la eficacia para garantizar la confianza disminuirá.
La semana pasada, el Departamento de Justicia anunció una operación autorizada por el tribunal para desmantelar una botnet global utilizada por piratas informáticos respaldados por el gobierno chino. Estos piratas informáticos, activos desde 2021, tienen como objetivo agencias y organizaciones gubernamentales en Taiwán y otros países. También se emitió un aviso conjunto para ayudar a los defensores de la red a mitigar estas amenazas y evitar que los dispositivos de IoT formen parte de una botnet.
Ana Ribeiro
Editor de noticias cibernéticas industriales. Anna Ribeiro es periodista freelance con más de 14 años de experiencia en seguridad, almacenamiento de datos, virtualización e IoT.
https://industrialcyber.co/reports/dojs-inspector-general-report-highlights-ransomware-strategy-gaps-calls-for-improved-metrics-and-compliance/
