25 de noviembre de 2020

En los últimos dos años los ataques generalizados de ransomware, en los que los delincuentes utilizan malware para cifrar los datos y solicitan un rescate para devolverlos, han sido sustituidos por ataques más selectivos contra empresas y sectores concretos. En estas campañas más selectivas los atacantes no sólo amenazan con cifrar los datos, sino también con publicar en línea información confidencial. Esta tendencia fue observada por los investigadores de Kaspersky en un reciente análisis sobre la actividad del ransomware en América Latina con Revil (también conocido como Sodinokibi) y NetWalker como las dos campañas más activas.

Los ataques ransomware se consideran uno de los tipos de amenazas más graves a los que se enfrentan las empresas. No sólo pueden interrumpir las operaciones comerciales críticas sino que también pueden provocar pérdidas financieras masivas y, en algunos casos, incluso la quiebra debido a las multas y los juicios en los que se incurre como resultado de la violación de leyes y regulaciones. Por ejemplo, se estima que WannaCry provocó pérdidas financieras de más de 4,000 millones de dólares. Sin embargo, las nuevas campañas de ransomware están modificando su modus operandi: amenazan con hacer pública la información robada a la empresa.

Entre las familias de ransomware más activas en Latinoamérica se encuentran REvil (también conocido como Sodin o Sodinokibi), Maze, Ryuk, Netwalker, Zeppelin, DoppelPaymer, Dharma y Mespinoza. De entre ellas, Revil y NetWalker son las que practican este nuevo método de extorsión en América Latina de forma masiva y han causado pérdidas millonarias a grandes empresas en la región, principalmente en los sectores de salud, telecomunicaciones y otras industrias críticas.

Revil popularizó el modelo de negocios ransomware-as-a-service, en donde el desarrollador del programa malicioso permite que otros grupos utilicen su malware en estafas cobrando una comisión por ello.

Esta estafa se propaga, al igual que las familias de ransomware más activas en la región a través de ataques de fuerza bruta sobre el protocolo de escritorio remoto (RDP) o aprovechando vulnerabilidades en distintos servicios corporativos. Entre las vulnerabilidades más utilizadas encontramos a las asignadas a los CVE-2020-0609 y CVE-2020-0610 que afectan al componente de Remote Desktop Gateway, y al CVE-2019-2725 que representa una vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware.

El costo por un ataque de ransomware se calcula en 720 mil dólares y el rescate promedio en cerca de 111 mil dólares: estos datos son de fuentes independientes y reportes de víctimas. Esto se debe a que las recompensas en su mayor parte son demandadas en la criptomoneda Monero ($XMR) que otorga un nivel de privacidad y anonimidad a los atacantes que intentan evadir el rastreo de las fuerzas de la ley.

“Lo que estamos viendo ahora mismo es el crecimiento del ransomware 2.0. Los ataques se están volviendo muy selectivos y el enfoque no es sólo en la encriptación, sino que se basa en la publicación en línea de datos confidenciales. Hacerlo no sólo pone en riesgo la reputación de las empresas, sino que también las expone a demandas si los datos publicados violan regulaciones como la HIPAA o la GDPR. Hay más en juego que las pérdidas financieras“, comenta Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para América Latina en Kaspersky.

“Las organizaciones deben pensar en la amenaza del ransomware como algo más que un tipo de malware. De hecho, a menudo, el ransomware es sólo la etapa final de una brecha en la red. Para cuando el ransomware se despliega, el atacante ya ha llevado a cabo un reconocimiento de la red, ha identificado los datos confidenciales y los ha filtrado. Por eso es importante que las organizaciones apliquen prácticas de ciberseguridad. Identificar el ataque en una fase temprana, antes de que los atacantes alcancen su objetivo final, puede ahorrar mucho dinero“, añade Fedor Sinitsyn, experto en seguridad de Kaspersky.

Para mantener su empresa protegida frente al ransomware, los expertos de Kaspersky recomiendan:

1. No expongas los servicios de escritorio remoto (como el RDP) a redes públicas, a menos que sea absolutamente necesario y utiliza siempre contraseñas fuertes para ellos.
2. Mantén el software actualizado en todos los dispositivos que utilices. Para evitar que el ransomware se aproveche de las vulnerabilidades, utiliza herramientas que puedan detectarlas automáticamente y descargue e instale parches.
3. Instala cuanto antes los parches disponibles para las soluciones comerciales de VPN que proporcionen acceso a los empleados remotos y que actúen como puertas de entrada a su red.
4. Trata con precaución los archivos adjuntos de los correos electrónicos, o los mensajes de personas que no conoces. Si tienes dudas, no los abra.
5. Utiliza soluciones como Kaspersky Endpoint Detection and Response o Kaspersky Managed Detection and Response para identificar y detener el ataque en una etapa temprana, antes de que los atacantes completen su objetivo.
6. Enfoque su estrategia de defensa en la detección de movimientos laterales y la filtración de datos a Internet. Preste especial atención al tráfico saliente para detectar conexiones de cibercriminales. Haga copias de seguridad de los datos regularmente. Asegúrese de que puede acceder rápidamente a ellos en caso de emergencia cuando sea necesario.
7. Para proteger el entorno corporativo, educa a tus empleados. Los cursos de formación como los que se ofrecen en Kaspersky Automated Security Awareness Platform pueden ayudar. Dispone de una formación gratuita sobre cómo protegerse de los ataques ransomware aquí.
8. Para los dispositivos personales, utiliza una solución de seguridad fiable como Kaspersky Security Cloud, que protege contra el malware de cifrado de archivos y permite retroceder los cambios realizados por las aplicaciones maliciosas.
9. Si se trata de una empresa, mejora tu protección con la herramienta gratuita Anti-Ransomware Tool for Business. Su versión recientemente actualizada contiene una función de prevención de exploits para evitar que el ransomware y otras amenazas se aprovechen de las vulnerabilidades del software y las aplicaciones. También es útil para los clientes que utilizan Windows 7: con el fin del soporte para Windows 7, las nuevas vulnerabilidades de este sistema ya no serán parcheadas.
10. Para obtener una protección superior, utiliza una solución de seguridad para endpoints, como Integrated Endpoint Security, basada en la prevención de exploits, la detección basada en  comportamientos y un motor de remediación capaz de hacer retroceder las acciones maliciosas.

Conoce más sobre Ransomware 2.0 en Securelist.

Acerca de Kaspersky

Kaspersky es una empresa de ciberseguridad global fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 250,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en http://latam.kaspersky.com.