El ransomware, tal como se conoce al ataque informático que consiste en el secuestro y cifrado de información para hacerla inaccesible al usuario, fue una de las amenazas más activas durante 2020. El dato surge de un análisis realizado por la empresa de ciberseguridad Eset. Según este reporte, el incremento de este tipo de ataques está vinculado a la expansión del teletrabajo.
Durante el año que pasó, las bandas de ciberdelincuentes se abocaron a hacer ataques dirigidos y no tanto al azar. Apuntar a compañías de varias industrias, así como al sector de la salud y a organismos gubernamentales a nivel global, y surgieron nuevas estrategias para demandar el pago de un rescate a cambio de que el usuario pueda recuperar el acceso al material comprometido.
El robo de información previo al cifrado de los archivos y la posterior extorsión bajo la amenaza de publicar, vender o subastar los datos confidenciales robados fue una metodología que se observó por primera vez a fines de 2019 y que se consolidó en 2020.
El objetivo de esta medida es sumar un plan B a la estrategia de solo cifrar los archivos y demandar el pago de un rescate para devolver el acceso. Con este nuevo método, adoptado ya por varias familias de ransomware, los criminales aumentan la posibilidad de monetizar los ataques al contar con otro instrumento para presionar a las víctimas y que se decidan a pagar, ya que supuestamente, de esta manera, evitarán la divulgación de la información robada y recuperarán el acceso a los datos.
Pero “esta técnica requiere que el atacante invierta bastante tiempo, ya que necesita obtener acceso a la red, desplazarse sin ser detectado hasta identificar los datos confidenciales y extraer una copia de información para guardar en su propio entorno”, explicó Tony Anscombe, especialista de Eset, en el informe Tendencias 2021 en ciberseguridad.
Los atacantes realizan un trabajo de persistencia una vez que están dentro de la red con la intención de recolectar información y también credenciales adicionales para asegurarse el acceso a la red en caso de que se cierre la ruta que permitió el acceso inicial.
Además, muchos grupos de ransomware dedican tiempo para realizar un trabajo de inteligencia en busca de comprender qué datos son valioso e identificar información sensible que, en caso de ser filtrada o comprometida, de alguna manera provocarán daños a la empresa u organización, detalló el especialista, según el informe difundido.
Un modelo de negocio en aumento: ransomware as-a-service
En el último tiempo comenzó a resonar con fuerza un nuevo modelo de negocio conocido como ransomware as-a-service (RaaS), donde algunos actores desarrollan estos códigos maliciosos y los ofrecen en la dark web para asociarse con afiliados que se encargarán de la distribución del malware y luego dividirán las ganancias.
Fue este tipo de modelo el que estuvo presente en el ataque a Migraciones, en Argentina. Según se supo se utilizó Netwalker, un tipo de ransomware que forma parte de una cadena de distribución. En los modelos RaaS, el que diseña el software malicioso lo pone a disposición de terceros para que lo puedan comprar como una herramienta a través de diferentes modelos de distribución. El desarrollador cobra por ese kit y multiplica las formas de infectar a las organizaciones.
Estas familias de ransomware muchas veces operan durante algún tiempo y cesan sus actividades, dando lugar a la creación de otros grupos de ransomware que adquieren el código fuente y le añaden en algunos casos variaciones. Egregor, por ejemplo, es un ransomware que surgió en septiembre de 2020 y que opera bajo este modelo de negocio. Recientemente el FBI publicó un comunicado en el que advierte a compañías de todo el mundo sobre los ataques de este ransomware y su creciente actividad.
Egregor comenzó a operar poco después de que el ransomware Maze anunciara el cese de sus actividades. Según dijeron actores de amenazas a BleepingComputer, esto provocó que muchos afiliados a Maze pasaran a trabajar con Egregor como RaaS.
El teletrabajo y el problema de no tener personal capacitado en cuidados mínimos de ciberseguridad
La aceleración de la transformación digital provocada por la pandemia obligó a muchas empresas y organizaciones a trabajar desde el hogar sin capacitar a las personas acerca de las buenas prácticas de seguridad, y sin brindar en muchos casos la infraestructura necesaria para trabajar de manera segura.
Según una encuesta realizada por Eset en plena pandemia, solo el 24% de los usuarios dijo que la organización para la cual trabaja le brindó las herramientas de seguridad necesarias para trabajar remotamente y el 42% de los participantes aseguró que su empleador no estaba preparado en cuanto a equipamiento y conocimientos de seguridad para hacer frente al teletrabajo.
Muchas personas teletrabajando equivale a muchos dispositivos, distintas redes, en distintas ubicaciones, y con profesionales —e incluso empresas— que en el apuro o por desconocimiento no lograron implementar un plan para trabajar remotamente de manera segura, destacan desde Eset.
Esto significa que aumentó exponencialmente la superficie de ataque. Según datos de una encuesta realizada por la empresa de ciberseguridad, en diciembre, el 87,67% de los participantes opinó que los cibercriminales han visto una oportunidad en el incremento del trabajo remoto para lanzar ataques dirigidos a las empresas. Además, consultados acerca de si creen que las empresas y las entidades gubernamentales están preparadas para lidiar con ataques de ransomware, el 67,76% opinó que apenas unas pocas empresas lo están, mientras que el 50,96% considera que solo unas pocas entidades gubernamentales cuentan con las capacidades.
Si un usuario cae en la trampa y abre un correo de phishing para luego hacer clic en un enlace o abrir un archivo adjunto malicioso, su equipo será comprometido con un malware que puede a su vez descargar otro código malicioso como un ransomware.
Si luego accede a la red corporativa conectándose al servicio VPN que la empresa o la entidad gubernamental le brinda, el atacante tendrá acceso a la red y podrá moverse para recolectar información y buscar otras credenciales de acceso que le den permiso de administrador para distribuir el ransomware dentro de la red general.
El uso del protocolo de escritorio remoto (RDP) ha sido uno de los mecanismos más utilizados para lanzar ataques de ransomware aprovechando también el uso de contraseñas débiles. Si bien los distintos grupos de ransomware utilizan diferentes vectores de ataque para distribuir la amenaza, varios reportes coinciden en decir que el RDP ha sido el vector de intrusión más utilizado por ataques de ransomware durante 2020.
De hecho, en el primer trimestre del año pasado, Eset reportó el aumento de los intentos de ataque al RDP mediante fuerza bruta a nivel global; un aumento que en América Latina para el mes de noviembre había sido del 141%, con picos que llegaron hasta los 12 mil intentos de ataque diarios al protocolo. Una vez que el atacante logra comprometer la seguridad mediante el RDP puede realizar distintos tipos de actividades maliciosas dentro de los sistemas.
Cómo prevenir estos ataques
1. Ofrecer una educación básica de ciberseguridad a los empleados para que estén atentos ante posibles engaños, así como para que sepan cómo activar un segundo factor de autenticación y otras medidas de cuidado básicas.
2. Utilizar una VPN.
3. Realizar backup de manera periódica. De este modo, si el material queda secuestrado o perdido se contará con un respaldo de esos datos.
4. Contar con una política de actualizaciones para corregir vulnerabilidades.
5. La implementación de la autenticación multifactor y de estrategias de seguridad como el principio del menor privilegio y de la mínima exposición.
6. Es importante que las organizaciones evalúen los mecanismos de accesibilidad a la información y cuáles son las formas que puede tener un atacante para llegar a estos datos.
MÁS SOBRE ESTE TEMA: