Ransomware: una amenaza consolidada que expone sus indicadores de compromiso

El año 2020 llego con más de una crisis. La nueva generación de ransomware es cada vez más sofisticada, los ciberdelincuentes han empezado a adoptar nuevas técnicas que les permiten operar sin restricciones, aumentando la tendencia de extorsión y las cantidades exigidas como rescate hacia las organizaciones.

Estos ataques se han incrementado por el nuevo desafío de productividad de las empresas durante la pandemia, como el crecimiento del comercio online y el desarrollo e implementación de nuevas tecnologías. Estas agresiones son prácticas extorsivas de información que se han consolidado en los primeros meses del 2020 como una modalidad adoptada y totalmente reforzada por los ciberdelincuentes, tan solo en 2019, el 51% de las organizaciones fueron atacadas por la modalidad del ransomware, logrando cifrar los datos en el 73% de estos ataques exitosos.



Crece el cibercrimen durante la crisis del COVID-19

Según el DigiSOC - Centro de Operaciones de Ciberseguridad de Digiware, el COVID-19 se ha convertido en un vector de acceso efectivo para el desarrollo de actos delictivos, esta emergencia, se ha caracterizado por un elevado crecimiento de amenazas informáticas a partir de la persuasión humana, como también los accesos a sistemas de información, dado por la ausencia de controles de seguridad en la modalidad remota de home-office”; es por esto que las empresas deben estar en alerta máxima ante cualquier evento presentado en los puntos más débiles de la compañía, sobre todo los usuarios remotos, de quienes se están aprovechando en la pandemia, para lanzar ataques de ransomware bajo la ausencia de controles de seguridad.


Las amenazas cibernéticas que se pueden encontrar en las organizaciones al utilizar dispositivos en la red son casi infinitas (Imagen: "Cómo funciona un ransomware" Red Queen Lab de DigiSOC), por consiguiente,el mundo cada vez está más al tanto de las vulnerabilidades de su propia información. En agosto del 2016, Cybersecurity Ventures público un reporte, donde predecía que en“2021 el cibercrimen le costará al mundo US$6 billones anuales, frente a los US$3 billones del 2015”; esto representa la mayor transferencia de riqueza económica de la historia, poniendo en riesgo los incentivos para la innovación y la inversión al desarrollo económico y social, siendo más rentable que el comercio global de todas las principales drogas ilegales.


Ransonware activo en Latinoamérica

En 2020 las campañas de ransomware han apuntado a blancos más específicos con nuevas formas de comprometer y extorsionar la información de las organizaciones para asegurar un pago, estas variantes amenazan con la divulgación de los datos exfiltrados de las víctimas como parte estándar de todos los ciberataques.


El ransomware sigue siendo una amenaza sumamente estratégica y vigente en Latinoamérica y el mundo; aún existen muchos tipos de ransomware, los cuales ponen en riesgo la seguridad y la privacidad de la información en las organizaciones. 


Pr0lock/Prolock, DoppelPaymer, MAZE, CUBA, BitPaymer«operados por humanos» aparecen cada vez más y de forma sofisticada, advierte DigiSOC el Centro de Operaciones de Ciberseguridad de Digiware.

  • Ransomware ProLock: tiene la peculiaridad de haberse asociado QakBot para atacar, este troyano le brinda funciones para evitar ser detectado, hacer uso de técnicas añadidas y la eliminación de credenciales. El ransomware utiliza servidores de protocolo de escritorio remoto (RDP) sin protección con credenciales débiles para infectar.

  • Ransomware DopplePaymer: en junio de 2019, la variante de Hermes bifurcada tomo fuerza. Es un derivado de BitPaymer, que a través de la red anónima TOR (The Onion Router), guía a las víctimas a través del proceso de extorsión, cifrando los archivos del equipo informático y exigiendo un rescate que se pagará supuestamente el restaurarlos.

  • Ransomware Maze: empezó a aparecer en varias campañas de spam y explotación, a principios de mayo del 2019, pero no fue hasta finales de octubre de ese mismo año, que su nueva táctica de liberar datos privados y nombres revelados públicamente, realmente tuvo un impacto. Maze publica los datos de una sola víctima para dar un ejemplo, y después, publica tanto la identidad de una víctima como los datos que habían sido robados, con la intención de aumentar la conversión de pago.

  • Ransomware Cuba o fidel: en el mes de junio del 2020, este malware está cifrando archivos de todo tipo, en varias empresas de Latinoamérica y propagándose por archivos con macros adjuntos de correo electrónico, escritorios remotos y anuncios maliciosos.

  • Ransomware BitPaymer: está enfocado en organizaciones, y se propaga mediante la explotación de vulnerabilidades a equipos que tienen falencias sobre el protocolo RDP (protocolo de acceso remoto) o mediante fuerza bruta. En la última actividad identificada de BitPaymer fue que estaba explotando una vulnerabilidad de Microsoft Teams, para iniciar su proceso de infección.


Se podría decir que después de los ataques de ransomware a nivel mundial de la variedad WannaCry del 2017, los usuarios y las organizaciones tomarían más conciencia de las consecuencias que puede tener una ciber-amenaza. Sin embargo, parece que aún falta concientizar sobre sus consecuencias y prevenciones, ya que en los últimos dos años y debido a la pandemia, la amenaza ha vuelto tomar impulso.


Una de cada cinco organizaciones tiene una brecha importante en su arquitectura de ciberseguridad

Según una encuesta realizada por Sophos, el 84% de las organizaciones poseen un seguro de ciberseguridad, pero solo el 64% tiene uno que cubre contra el ransomware. En plena era digital, aún existe la creencia de que los ataques cibernéticos solo se centran en grandes organizaciones con grandes bases de datos, pero la realidad es otra, los ciberdelincuentes se aprovechan de la vulnerabilidad de las pequeñas y medianas empresas que no disponen con fuertes medidas de protección.


Este cambio de realidad obliga a las organizaciones a protegerse y desarrollar una infraestructura segura frente a las nuevas circunstancias, mediante la contratación de pólizas de ciberseguridad que ofrecen diferentes entidades y se adaptan a las necesidades de las empresas para mitigar las consecuencias de un ataque cibernético. Es claro que contratar un seguro frente a los ciberataques no va a eliminar la posibilidad de que los hackers intenten acceder a la información, pero sí le ayuda a afrontar las pérdidas económicas y reputacionales que sufra la empresa en una situación crítica (el seguro contra ciberataques es una solución que ahorrará más de un disgusto).


Recomendaciones para prevenir el ransomware en su organización

Teniendo en claro el tipo de amenaza y consecuencia de un ransomware que puede causar en una organización, el Centro de Operaciones de Ciberseguridad - DigiSOC, recomienda tener en cuenta las siguientes medidas que debe adoptar para prevenir, detectar y/o mitigar parcialmente la acción, aplicando las buenas prácticas en seguridad de la información para su empresa (Descargue el Red Queen Lab Report: reporte de amenazas y ciberataques a través de IA y Machine learning del SOC).



Fuente: DigiSOC - Centro de Operaciones de Cibeseguridad

logo-digiware-250x63-blanco.png