El ransomware lleva tiempo siendo una preocupación muy seria para empresas de todos los tamaños. La gran cantidad de campañas y variantes activas actualmente, unido a la constante evolución de estos ataques, no ha hecho más que aumentar el número de casos durante los últimos meses, con el consecuente riesgo añadido que supone la filtración de la información robada.
El fin de Maze
Una de las noticias más destacadas de los últimos días ha sido el anuncio por parte de los responsables del ransomware Maze del cese de sus actividades desde el pasado 1 de noviembre. Esta amenaza es la principal responsable de que el ransomware actual tenga funcionalidades añadidas como el robo de información confidencial de las empresas atacadas para, seguidamente, amenazarlas con publicarla si no se cede al chantaje.
Esta forma de actuar, combinada con el clásico cifrado de ficheros, empezó a observarse en noviembre de 2019 y es una de las principales evoluciones de este tipo de malware en los últimos años. Muchas variantes de ransomware han adoptado desde entonces está técnica que ha puesto a empresas de todos los tamaños entre la espada y la pared, ya que aun pudiendo recuperar los archivos cifrados mediante las copias de seguridad, se arriesgan a que se filtre información confidencial y esto suponga importantes multas según la legislación vigente en cada país.
Por ese motivo, aunque el cese de actividades de Maze debería ser una buena noticia, esta queda eclipsada por la gran cantidad de otras familias de ransomware que han ido apareciendo y que hacen uso de estas técnicas. Además, hay indicios de que los responsables de este ransomware ya están propagando desde hace semanas otras variantes similares, por lo que la situación no ha cambiado apenas.
Ataques similares en empresas de todos los tamaños
A estas alturas no sorprende a nadie que empresas y organizaciones de todos los tamaños puedan caer víctimas del ransomware. Tenemos ejemplos recientes de sobra donde elegir, como, por ejemplo, la Corte Superior de Justicia de Brasil, que fue atacada el pasado 3 de noviembre mientras se realizaban sesiones de juicios mediante videoconferencia.
Lo que suele repetirse en estos casos son las tácticas, técnicas y procedimientos de estas amenazas, donde los delincuentes utilizan varios vectores de ataque como el email, las vulnerabilidades en aplicaciones como las VPN o las conexiones inseguras de Escritorio Remoto para conseguir acceder a la red objetivo y, una vez dentro, hacerse con el control de cuentas relevantes como las del administrador de dominio.
Esto facilita mucho las siguientes acciones a realizar por parte de los delincuentes, ya que utilizando aplicaciones de código abierto (Mimikatz, AdFind, PSExec), de pentesting (Cobalt Strike) o incluso ya presentes en el sistema (PowerShell), consiguen obtener credenciales y moverse lateralmente por la red atacada hasta conseguir sus objetivos: primero robar información confidencial para, seguidamente, ejecutar un ransomware que cifre los archivos.
Este parece haber sido el modus operandi en varios de los casos más sonados recientemente, como el de la empresa desarrolladora de videojuegos Capcom, quien anunció hace unos días que había sido víctima de un ataque y que había tomado medidas para mitigarlo. A pesar de que la empresa indicó que no habían evidencias que sugieran que se haya visto afectada información confidencial, se han encontrado evidencias que apuntan a que los operadores del ransomware Ragnar Locker estarían detrás de este ataque.
Conclusión
Todo apunta a que seguiremos viendo incidentes relacionados con el ransomware durante un tiempo, al menos hasta que las empresas decidan aplicar medidas de seguridad y concienciación adecuadas. Las copias de seguridad sirven para poder recuperarse de un ataque de este tipo pero no evitan las filtraciones de datos confidenciales, y por ese motivo se deben añadir otro tipo de medidas.
Para empezar, es importante tener al día los parches de seguridad disponibles, para evitar que las vulnerabilidades existentes sean aprovechadas por los atacantes. También se debe tener en cuenta los permisos con los que cuentan los usuarios y realizar formación y concienciación de forma continua, de la misma forma que debe hacerse con las auditorías. Tampoco debemos olvidarnos de las soluciones de seguridad y su correcta configuración, unido a una monitorización y análisis de incidentes que, en las manos adecuadas, puede incluso ser capaz de detectar y bloquear un incidente de este tipo cuando ya se está produciendo.