22.9 C
Guatemala City
domingo, enero 29, 2023

Anatomía de un ataque Ransomware

La palabra Ransomware es la combinación de las palabras Ransom que en inglés significa “Rescate” y  Ware que proviene de la palabra software, por lo que hablar de rescate por un secuestro de software nos da una idea del propósito de este tipo de ataques.

En forma muy resumida un ataque de tipo Ransomware está divido en tres grandes fases: la de infiltración, la de cifrado y la de extorsión.

Un ataque Ransomware es una de las modalidades de ataques cibernéticos de mayor impacto para las organizaciones, esto es debido a que al hacerse efectivos los ataques, logran cifrar los archivos de la organización como: documentos, imágenes, videos, etc. Dejándolos inutilizables para todas las personas de la organización atacada; causando la detención de la operación normal del negocio, lo que en automático puede implicar pérdidas económicas, daños en la imagen y reputación, y en los peores casos el cierre definitivo de la misma.

José Amado, Cybersecurity Outsourcing Director de SISAP

Infiltración

Para que se lleve a cabo un ataque de tipo Ransomware el primer paso es infiltrarse dentro de los sistemas informáticos de la organización, esto puede realizarse mediante ingeniería social, explotación de vulnerabilidades, instalación directa, entre otros.

“Una infiltración es un acceso no autorizado a un sistema, aplicación o datos, en donde un usuario no autorizado logra este acceso con la intención de causar algún daño”, José Amado, Cybersecurity Outsourcing Director de SISAP

La Ingeniería Social es un conjunto de técnicas de engaño y manipulación, dirigida a los usuarios, con el objetivo de conseguir que revelen información personal o permitir al atacante tomar control de los dispositivos. La ingeniería social se puede valer entre otras técnicas de: uso de redes sociales, herramientas de mensajería, falsas promociones, correos electrónicos, etc.

Adicional al uso de la ingeniería social para engañar y manipular a los integrantes de la organización atacada, también existen otras rutas que los cibercriminales utilizan para infiltrarse en los sistemas, entre ellos tenemos:

  • Uso de escritorio remoto, al cual logran acceder en muchos casos debido a lotes de credenciales que son robadas en otros ataques cibernéticos.
  • Instalación de aplicaciones web, especialmente cuando provienen de fuentes no oficiales o cuando se instalan versiones “piratas”.
  • Instalación directa del malware debido a que “el enemigo está en casa” es decir, un colaborador de la organización atacada ha sido extorsionado, sobornado o simplemente es parte de la organización criminal que está realizando el ataque.

De acuerdo con el Data Breach Investigations Report (DBIR) de Verizon 2022, en el último año el 82% de las brechas de seguridad involucraron el factor humano, entre ingeniería social, errores de configuración, descuidos y la mala intención, han colocado a las personas como las principales debilidades para la seguridad informática.

Cifrado

El cifrado es un mecanismo el cual somete un texto o un archivo a un proceso de codificación, el resultado es un archivo ilegible y solamente accesible por el autor del cifrado quien posee la llave para descifrar.

“El cifrado fue diseñado para proteger la información y ahora utilizado por los ciberdelincuentes en ataques de ransomware”, señala Amado.

Ejemplo de un texto cifrado
Ejemplo de un block de notas cifrado

Al cifrar los documentos los cibercriminales colocan una clave que permitirá a la organización “descifrarlos”, sí y solo sí, se accede a realizar un rescate por ellos.

En el momento en que los sistemas y bases de datos quedan cifrados, los ciberdelincuentes se encargan de hacerle saber a sus víctimas que han sido atacados; generalmente se identifican con el nombre de la organización criminal a la que pertenecen y abren un canal de comunicación entre los atacantes y la organización atacada.

Es importante mencionar que los ciberdelincuentes, adicional de cifrar los datos de la organización, examinarán vulnerabilidades en los sistemas de esta, con el fin de extraer la información cifrada; recordemos que la información es poder y los criminales lo tienen muy claro, así que no dudarán en llevarse una copia para sacarle mayor provecho.

Extorsión

Debido a que el fin principal de los ataques Ransomware es obtener un beneficio, una vez logrado el objetivo de cifrar los sistemas y bases de datos de la organización, empezará la fase de extorsión en donde exigirán dinero a cambio de la llave para descifrar los datos. El dinero exigido en la mayoría de los casos será en criptomonedas debido a lo complicado que se vuelve para las autoridades el rastreo de este.

Si los atacantes lograron extraer la información de la organización, tendrán otra oportunidad para extorsionar amenazando a la organización atacada con hacer pública la información secuestrada, a esta modalidad se le conoce como “doble extorsión”.

“La doble extorsión es una modalidad del Ransomware donde la información valiosa también fue exfiltrada, los datos fueron cifrados y extraídos, cuando el atacante logra esta combinación exitosa, podrá extorsionar a la víctima para no publicar su información y también para devolverle el acceso a la misma”

Jose Amado, Cybersecurity Outsourcing Director de SISAP

Al igual que la gran mayoría de los ataques cibernéticos, el Ransomware tienen un fin económico para los atacantes, esta modalidad incluso ha sido tan lucrativa para los cibercrimanales que, incluso han llegado a crear opciones para criminales no expertos conocidos como “Ransomware as a service”  es un servicio que permite a una persona sin conocimiento técnico poder contratar el servicio y dirigirlo a su víctima que puede ser una persona individual o una empresa con la que el contratante del servicio tiene algún descontento.

Ojo al dato

Más de la mitad de los ataques se atribuyen a 5 grupos principales en los últimos 2 años. 3 de estos grupos continúan activos: Conti, LockBit y Pysa, y son responsables de dos terceras partes del total de ataques en la actualidad.

Fuente: Abnormal The Evolution of Ransomware: Victims, Threat Actors, and What to Expect in 2022
Fuente: Abnormal The Evolution of Ransomware: Victims, Threat Actors, and What to Expect in 2022

Se han identificado 62 distintos grupos de Ransomware desde el 2,020. Muchos de ellos se han “rebrandeado” es decir han cambiado de nombres o se han formado debido a la desintegración de grupos más grandes.

Fuente: Abnormal The Evolution of Ransomware: Victims, Threat Actors, and What to Expect in 2022

Históricamente la banca, tecnología y salud eran las industrias más afectadas, en los últimos años los ataques se han diversificado, en gran parte debido a que han proliferado cada vez más grupos cibercriminales y porque estas industrias que históricamente eran las más atacadas se han preparado y reforzado su ciberseguridad.

“Las organizaciones criminales tienen como objetivo clientes de todos los tamaños, con ataques hechos a la medida, las pequeñas y medianas empresas han resultado ser víctimas más fáciles por su débil protección ante un ataque cibernético, volviéndose un objetivo más atractivo para los ciber delincuentes», indica el director de SISAP.

Incluso dependiendo del grupo criminal, existen variaciones en su tipo de víctimas, tal y como lo muestra la siguiente gráfica de las víctimas de los grupos criminales Pysa y Everest.

Pago de rescates

Fuente: El estado del Ransomware 2021, Sophos

Recuperación de datos

Fuente: El estado del Ransomware 2021, Sophos
Fuente: CERT SISAP

Cómo reducir el riesgo

El CERT de SISAP insta encarecidamente a las instituciones y empresas privadas a reforzar los controles de seguridad y seguir las recomendaciones brindadas a continuación:

  • Validar que los procesos de concientización de usuarios se estén llevando a cabo de manera adecuada para que éstos no sean víctimas de un ataque de phishing.
  • Utilice la autenticación multifactor. 
  • Implemente la segmentación de la red y filtre el tráfico. 
  • Analice en busca de vulnerabilidades y mantenga el software actualizado. 
  • Elimine aplicaciones innecesarias y aplique controles. 
  • Disponga de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malware por correo electrónico. 
  • Deshabilite los servicios de escritorio remoto (RDP), si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad. 
  • Mantenga una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá restaurar las operaciones y evitar el pago del rescate. 
  • Actualice los equipos con las versiónes más recientes de sistemas operativos: Windows, Linux, Mac Os.

Acerca de SISAP

SISAP, Sistemas Aplicativos S.A. es una empresa fundada en 1985, líder en el mercado de la Tecnología y la Seguridad de la Información en varios países de la región centroamericana y caribe. Cuenta con un amplio portafolio de servicios y soluciones enfocadas principalmente en el área de seguridad de la información.

El Centro de Operaciones de Ciberseguridad (SOC) dentro del CERT de SISAP cuenta con la certificación CERT (Computer Emergency Response Team), concedida por la Universidad Carnegie-Mellon a centros de operaciones de todo el mundo especializados en la respuesta ante incidentes de seguridad de la información.

Con una experiencia de más de 35 años son los líderes en proveer soluciones y servicios de seguridad a clientes en Latinoamérica (80% son del sector financiero), a través de una planilla de más de 250 empleados (60% son ingenieros) en sus distintas oficinas regionales, ubicadas en Guatemala, El Salvador, Honduras, Nicaragua, Costa Rica, Panamá , República Dominicana y Colombia.

 

Suscríbete a Nuestro Boletín

¡No te pierdas las noticias más relevantes y contenido exclusivo! 📲

Últimas Noticias

Noticias Recomendadas