Escuchar este artículo

¿Cómo enfrentar la dura realidad del estado ransomware en el país?

Alerta para organizaciones colombianas.

En este momento Colombia registra un incremento de 133% comparado con el mismo periodo de 2021 en el número de instituciones afectadas por ransomware. Los impactos de este tipo de ataques son los principales disruptores de operaciones de negocios, continúan causando gran impacto reputacional, producen miles de usuarios afectados y contribuyen a la presión mediática. 

La empresa de ciberseguridad Lumu Technologies, sacó un informe de alerta sobre cómo enfrentar la dura realidad del estado de ransomware (secuestro de información) en el país.


Conozca: Hace 30 años se envió el primer mensaje de texto, ¿cuál es su panorama en Colombia?


 

La gravedad de la situación actual

Los ataques que se vienen presentando tienen como objetivo crear caos y disrupción de las operaciones al tiempo que le permiten a los atacantes monetizar el compromiso de las redes ejecutando los siguientes tipos de malware en simultáneo:

  • Crypters - Encriptan información de los activos. Dejando fuera de operación a la compañía afectada.
  • Infostealers - Sustraen información valiosa para ser comerciada en foros de DeepWeb, y adicionalmente extorsionar a proveedores y clientes de las víctimas amenazandolos con la divulgación de la misma.
  • Criptominers - Utilizan el poder de cómputo disponible en la infraestructura de las compañías afectadas para realizar minado de criptomonedas. Esta afectación se realiza tanto en la red corporativa como en los dispositivos conectados a la misma.
  • Wipers - Borran, destruyen o hacen indisponible la información clave de las organizaciones víctimas, afectando directamente la operación de las mismas

 

Sofisticación tecnológica de los ataques

Se ha detectado que un gran número de los ataques que se vienen presentando están relacionados con el ransomware de la familia BlackCat o también conocido como ALPHV. De acuerdo a Microsoft Defender Threat Intelligence, BlackCat es una familia del tipo RaaS (Ransowmare as a Service), por primera vez vista es en Noviembre del 2021, es uno de los primeros ransomware escritos en el lenguaje Rust, lo cual permite ejecutar payloads más completos, habilitar técnicas de evasión más sofisticadas para no ser detectado por dispositivos comunes de seguridad, e infectar múltiples dispositivos y sistemas operativos como Windows, Linux, incluso instancias de VMWare

 

Cada vez son más entidades afectadas

En el último mes hemos visto que la problemática está involucrando a más y más empresas cada día. Lo que deja en evidencia que la situación no tiende a mejorar. La prueba de ello es que el seguimiento que hemos venido haciendo al número de empresas que tienen sus cuentas de correo electrónico comprometidas sigue en aumento. La gravedad de esta situación radica en que estas cuentas se están comerciando en mercados de cibercriminales y se están usando para comprometer masivamente a otras organizaciones. Te compartimos el listado de las empresas afectadas que tenemos identificadas.


Entérese: Consejos para ayudar a los niños a navegar por Internet de forma segura


¿Cuáles son las familias de malware más usadas como precursores en los ataques actuales?

Qakbot - Malware enfocado al robo de información y control de botnets. Hemos evidenciado un aumento de 1.040% respecto de Q3-2022 en las detecciones de este malware, haciendo que este sea el precursor de ransomware más popular y usado hoy en día. Es importante mencionar que comparte bastante similitud con el comportamiento del malware Emotet.

Emotet - Si bien de Q3 a Q4 de 2022 hubo una disminución de 15% en la cantidad de detecciones de este tipo de malware, este sigue siendo uno de los principales precursores de control de botnets para robo de información. Es conocido por ser usado por Conti Group, la banda de ciberdelincuentes que se dice estuvo detrás del ataque a diferentes entidades públicas y de gobierno en Costa Rica y otros países de Latinoamérica.


¿Cómo identificar un ataque en progreso?

Incremento en contactos con sitios de Phishing - En Colombia este tipo de ataques han aumentado 31.35% de Q3 a Q4. Se ha comprobado que las infecciones relacionadas con Emotet y QakBot iniciaron con el envío de phishing, ya que esto le permite a los atacantes descargar el contenido malicioso directamente a los equipos de las víctimas. Esta sin duda sigue siendo la puerta de entrada a las organizaciones.

No pasar por alto las conexiones hacia componentes Javascript maliciosos - Se ha detectado que muchos sitios web legítimos pueden estar comprometidos y presentar códigos modificados por ciberdelincuentes. Esto les permite infectar equipos corporativos y realizar ataques de critomining.

Detección intencional de Criptomining - Si bien estos ataques se pueden presentar en un escenario “in-browser” es decir embebidos en el navegador web, también se pueden presentar en máquinas y dispositivos corporativos comprometidos. Tenemos evidencia de que los casos de ransomware están precedidos por una alta actividad de criptomining, ya que es el momento en que los delincuentes buscan monetizar al máximo el compromiso de la red antes de encriptar los archivos.

Aumento de incidentes de DGA - Al igual que con la actividad de criptomining, los incidentes de DGA (Domain Generation Algorithm) son síntoma de una red comprometida, que está siendo controlada por atacantes y sobre la cual se están haciendo tareas de monetización.

Análisis de integridad en archivos de SO - Se ha detectado que en el caso de malware tipo Wiper, los atacantes comprometen archivos ejecutables legítimos del SO para que su código se ejecute una vez el programa legítimo es iniciado.

Movimiento lateral en la red - Previo a un ataque de ransomware, los atacantes buscan comprometer la mayor cantidad de dispositivos conectados a la red. Para esto se valen de la instalación de herramientas como Cobalt Strike. Es crucial contar con estrategias que permitan identificar estos movimientos laterales a tiempo y de forma intencional.

Identificar presencia de ExMatter/Fender - Es una herramienta usada para la filtración y robo de información sensible en organizaciones víctimas de ransomware. Se deben implementar estrategias para identificar la presencia y ejecución remota de estas herramientas en los activos de la organización. Los ataques que hemos analizado hacen uso de PsExec() y dominios comprometidos para desplegar ExMatter/Fender en los dispositivos de las organizaciones.


Lea también: ¿Cuáles Apps de mensajería fueron tendencia en el 2022?


 

 

¿Cómo evitar que su red sea comprometida?

Asumir que se está comprometido y comprobar lo contrario - Está comprobado, ante la coyuntura actual cualquier empresa, sin importar su tamaño, vertical, o madurez tecnológica puede ser víctima de un ataque de ransomware. Se debe asumir una posición proactiva y para esto lo mejor es asumir que los atacantes ya están dentro de la infraestructura y demostrar lo contrario.

No existen amenazas pequeñas - Es mejor erradicar las amenazas pequeñas a tiempo antes de que estas abran el camino a situaciones catastróficas. Una red comprometida se comporta diferente, y es por esto que cualquier anomalía debe ser tratada a tiempo y dándole la mayor importancia.

No hay un momento adecuado para estar preparado - Si bien cualquier empresa puede ser víctima de ransomware, la diferencia radica en qué tan preparado se está para afrontar la crisis. No espere para tomar las medidas que le brinden una capa adicional de protección. Recuerde que Lumu tiene disponible una herramienta totalmente gratuita que le ayuda a incrementar su resiliencia ante amenazas.

Realizar verificación de identidades y credenciales de acceso - Cierrele la puerta a los criminales, incluso si alguno de sus usuarios ya fue comprometido, está a tiempo de retirarle ese privilegio a los delincuentes.

Deshabilitar puertos innecesarios - Los atacantes son extremadamente oportunistas, no van a desaprovechar las puertas de acceso que usted deje abiertas innecesariamente.

Deshabilitar la ejecución automática de Macros en aplicaciones de MS Office - Las familias de malware que se están utilizando en los ataques actuales se valen de técnicas para evadir las soluciones de antivirus y EDR. Se deben tomar medidas a nivel de los aplicativos corporativos.

Abstenerse de descargar adjuntos sin antes verificar la identidad del remitente - Complementario a lo mencionado en el ítem anterior, se debe mantener alerta constante ante el recibo de archivos adjuntos. Esto ayuda a reducir la exposición.

Gracias por valorar La Opinión Digital. Suscríbete y disfruta de todos los contenidos y beneficios en http://bit.ly/SuscripcionesLaOpinion

Image
La opinión
La Opinión
Domingo, 25 de Diciembre de 2022

EXCLUSIVO PARA
NUESTROS SUSCRIPTORES

Patrocinado por:
Logo Empresas
Temas del dia Foros La Opinión