La Opinión
Suscríbete
Cúcuta Frontera Empresas Región Judicial Premium Política Más
Elecciones 2023 Elecciones 2023 mobile
Inicio
Tecnología

¿Cómo enfrentar la dura realidad del estado ransomware en el país?

Tecnología
Ataques cibernéticos. / Foto. Cortesía
Alerta para organizaciones colombianas.

En este momento Colombia registra un incremento de 133% comparado con el mismo periodo de 2021 en el número de instituciones afectadas por ransomware. Los impactos de este tipo de ataques son los principales disruptores de operaciones de negocios, continúan causando gran impacto reputacional, producen miles de usuarios afectados y contribuyen a la presión mediática. 

La empresa de ciberseguridad Lumu Technologies, sacó un informe de alerta sobre cómo enfrentar la dura realidad del estado de ransomware (secuestro de información) en el país.

Conozca: Hace 30 años se envió el primer mensaje de texto, ¿cuál es su panorama en Colombia?

 

La gravedad de la situación actual

Los ataques que se vienen presentando tienen como objetivo crear caos y disrupción de las operaciones al tiempo que le permiten a los atacantes monetizar el compromiso de las redes ejecutando los siguientes tipos de malware en simultáneo:

  • Crypters - Encriptan información de los activos. Dejando fuera de operación a la compañía afectada.
  • Infostealers - Sustraen información valiosa para ser comerciada en foros de DeepWeb, y adicionalmente extorsionar a proveedores y clientes de las víctimas amenazandolos con la divulgación de la misma.
  • Criptominers - Utilizan el poder de cómputo disponible en la infraestructura de las compañías afectadas para realizar minado de criptomonedas. Esta afectación se realiza tanto en la red corporativa como en los dispositivos conectados a la misma.
  • Wipers - Borran, destruyen o hacen indisponible la información clave de las organizaciones víctimas, afectando directamente la operación de las mismas

 

Sofisticación tecnológica de los ataques

Se ha detectado que un gran número de los ataques que se vienen presentando están relacionados con el ransomware de la familia BlackCat o también conocido como ALPHV. De acuerdo a Microsoft Defender Threat Intelligence, BlackCat es una familia del tipo RaaS (Ransowmare as a Service), por primera vez vista es en Noviembre del 2021, es uno de los primeros ransomware escritos en el lenguaje Rust, lo cual permite ejecutar payloads más completos, habilitar técnicas de evasión más sofisticadas para no ser detectado por dispositivos comunes de seguridad, e infectar múltiples dispositivos y sistemas operativos como Windows, Linux, incluso instancias de VMWare

 

Cada vez son más entidades afectadas

En el último mes hemos visto que la problemática está involucrando a más y más empresas cada día. Lo que deja en evidencia que la situación no tiende a mejorar. La prueba de ello es que el seguimiento que hemos venido haciendo al número de empresas que tienen sus cuentas de correo electrónico comprometidas sigue en aumento. La gravedad de esta situación radica en que estas cuentas se están comerciando en mercados de cibercriminales y se están usando para comprometer masivamente a otras organizaciones. Te compartimos el listado de las empresas afectadas que tenemos identificadas.

Entérese: Consejos para ayudar a los niños a navegar por Internet de forma segura

¿Cuáles son las familias de malware más usadas como precursores en los ataques actuales?

Qakbot - Malware enfocado al robo de información y control de botnets. Hemos evidenciado un aumento de 1.040% respecto de Q3-2022 en las detecciones de este malware, haciendo que este sea el precursor de ransomware más popular y usado hoy en día. Es importante mencionar que comparte bastante similitud con el comportamiento del malware Emotet.

Emotet - Si bien de Q3 a Q4 de 2022 hubo una disminución de 15% en la cantidad de detecciones de este tipo de malware, este sigue siendo uno de los principales precursores de control de botnets para robo de información. Es conocido por ser usado por Conti Group, la banda de ciberdelincuentes que se dice estuvo detrás del ataque a diferentes entidades públicas y de gobierno en Costa Rica y otros países de Latinoamérica.


¿Cómo identificar un ataque en progreso?

Incremento en contactos con sitios de Phishing - En Colombia este tipo de ataques han aumentado 31.35% de Q3 a Q4. Se ha comprobado que las infecciones relacionadas con Emotet y QakBot iniciaron con el envío de phishing, ya que esto le permite a los atacantes descargar el contenido malicioso directamente a los equipos de las víctimas. Esta sin duda sigue siendo la puerta de entrada a las organizaciones.

No pasar por alto las conexiones hacia componentes Javascript maliciosos - Se ha detectado que muchos sitios web legítimos pueden estar comprometidos y presentar códigos modificados por ciberdelincuentes. Esto les permite infectar equipos corporativos y realizar ataques de critomining.

Detección intencional de Criptomining - Si bien estos ataques se pueden presentar en un escenario “in-browser” es decir embebidos en el navegador web, también se pueden presentar en máquinas y dispositivos corporativos comprometidos. Tenemos evidencia de que los casos de ransomware están precedidos por una alta actividad de criptomining, ya que es el momento en que los delincuentes buscan monetizar al máximo el compromiso de la red antes de encriptar los archivos.

Aumento de incidentes de DGA - Al igual que con la actividad de criptomining, los incidentes de DGA (Domain Generation Algorithm) son síntoma de una red comprometida, que está siendo controlada por atacantes y sobre la cual se están haciendo tareas de monetización.

Análisis de integridad en archivos de SO - Se ha detectado que en el caso de malware tipo Wiper, los atacantes comprometen archivos ejecutables legítimos del SO para que su código se ejecute una vez el programa legítimo es iniciado.

Movimiento lateral en la red - Previo a un ataque de ransomware, los atacantes buscan comprometer la mayor cantidad de dispositivos conectados a la red. Para esto se valen de la instalación de herramientas como Cobalt Strike. Es crucial contar con estrategias que permitan identificar estos movimientos laterales a tiempo y de forma intencional.

Identificar presencia de ExMatter/Fender - Es una herramienta usada para la filtración y robo de información sensible en organizaciones víctimas de ransomware. Se deben implementar estrategias para identificar la presencia y ejecución remota de estas herramientas en los activos de la organización. Los ataques que hemos analizado hacen uso de PsExec() y dominios comprometidos para desplegar ExMatter/Fender en los dispositivos de las organizaciones.

Lea también: ¿Cuáles Apps de mensajería fueron tendencia en el 2022?

 

 

¿Cómo evitar que su red sea comprometida?

Asumir que se está comprometido y comprobar lo contrario - Está comprobado, ante la coyuntura actual cualquier empresa, sin importar su tamaño, vertical, o madurez tecnológica puede ser víctima de un ataque de ransomware. Se debe asumir una posición proactiva y para esto lo mejor es asumir que los atacantes ya están dentro de la infraestructura y demostrar lo contrario.

No existen amenazas pequeñas - Es mejor erradicar las amenazas pequeñas a tiempo antes de que estas abran el camino a situaciones catastróficas. Una red comprometida se comporta diferente, y es por esto que cualquier anomalía debe ser tratada a tiempo y dándole la mayor importancia.

No hay un momento adecuado para estar preparado - Si bien cualquier empresa puede ser víctima de ransomware, la diferencia radica en qué tan preparado se está para afrontar la crisis. No espere para tomar las medidas que le brinden una capa adicional de protección. Recuerde que Lumu tiene disponible una herramienta totalmente gratuita que le ayuda a incrementar su resiliencia ante amenazas.

Realizar verificación de identidades y credenciales de acceso - Cierrele la puerta a los criminales, incluso si alguno de sus usuarios ya fue comprometido, está a tiempo de retirarle ese privilegio a los delincuentes.

Deshabilitar puertos innecesarios - Los atacantes son extremadamente oportunistas, no van a desaprovechar las puertas de acceso que usted deje abiertas innecesariamente.

Deshabilitar la ejecución automática de Macros en aplicaciones de MS Office - Las familias de malware que se están utilizando en los ataques actuales se valen de técnicas para evadir las soluciones de antivirus y EDR. Se deben tomar medidas a nivel de los aplicativos corporativos.

Abstenerse de descargar adjuntos sin antes verificar la identidad del remitente - Complementario a lo mencionado en el ítem anterior, se debe mantener alerta constante ante el recibo de archivos adjuntos. Esto ayuda a reducir la exposición.

Gracias por valorar La Opinión Digital. Suscríbete y disfruta de todos los contenidos y beneficios en http://bit.ly/SuscripcionesLaOpinion

La opinión
La Opinión
Domingo, 25 de Diciembre de 2022
Te puede interesar
Google showCase Ahora recibe las noticias de en Google showCase
Premium-home
Jaime Vásquez fue asesinado en Cúcuta, después de sus reiteradas denuncias contra la corrupción./Foto archivo
Política
Los otros veedores a los que silenciaron por sus denuncias, en Norte de Santander
  1. Cúcuta recibe cada año una cifra cercana a los $1.500 millones por impuesto de carros venezolanos./Foto archivo
    Región
    ¡Atención! Hacienda aplicó el embargo de 15.000 cuentas bancarias, verifique si la suya está en la lista
  2. En el proyecto Villa Lina de Chitagá impera el olvido. Levantaron cuatro torres, pero ninguna fue terminada./ Foto Carlos Eduardo Ramírez-La Opinión
    Economía
    Elefante blanco de vivienda en Chitagá creció y cumple un año más, ya son 11
  3. Dentro de la Cemabastos PH hay algunos bienes que son de Cenabastos S.A. / Foto: Archivo
    Economía
    Cúcuta: así va el proceso de liquidación de Cenabastos S.A., ¿qué pasará con todos los bienes?
  4. Jorge Acevedo tomó posesión como nuevo alcalde de Cúcuta para el periodo 2024-2027./Foto cortesía Rodrigo Sandoval
    Política
    Jorge Acevedo: así van los primeros 100 días del alcalde de Cúcuta
Patrocinado por:
Logo Empresas
Ruta-migrantes-NortedeSantander
El éxodo del caminante en Norte de Santander no ha terminado
Una Sola Frontera
El proyecto 'Una sola frontera' impulsa el diálogo binacional entre Cúcuta y el Estado Táchira
canciller Yván Gil.
Tren de Aragua no existe: canciller de Venezuela
Temas del Día
Un eventual racionamiento eléctrico en el país, afectaría a Norte de Santander.
Un eventual racionamiento eléctrico en el país, afectaría a Norte de Santander.
Norte de Santander no escapa a riesgos por crisis eléctrica
teatro
teatro
Primer Festival de Teatro y Circo de Cúcuta ‘El Grito de los Toches’
Leer es placentero, además que permite adquirir cultura y mayores conocimientos./Archivo La Opinión
Leer es placentero, además que permite adquirir cultura y mayores conocimientos./Archivo La Opinión
Estas son las mejores iniciativas de lectura en Norte de Santander
Islay Avendaño fue asesinada en agosto de 2023.
Islay Avendaño fue asesinada en agosto de 2023.
Así se dio el asesinato de Islay Avendaño en el barrio Santa Teresita de Cúcuta