Operadores de ransomware añaden los ataques DDoS a su arsenal

El ransomware está siendo una de las amenazas más destacadas de este 2020 gracias a las nuevas tácticas que empezaron a adoptarse a finales del año pasado y a su constante evolución. Empresas de todos los tamaños son objetivos y víctimas de los ciberdelincuentes que han visto aumentar notablemente sus ingresos, no solo por el incremento del número de ataques, sino también por la cantidad solicitada en algunos rescates a empresas importantes.

Cifrado, filtración y ahora DDoS

Una de las características de las campañas de propagación de varias familias de ransomware actuales es que no son el único malware con el que los delincuentes infectan los sistemas. De hecho, el cifrado de los archivos de la víctima suele ser el último paso, ya que previamente se ha hecho un reconocimiento de la red de la empresa atacada y robado información confidencial.

De esta forma, cuando la víctima se entera mediante los avisos que muestra en pantalla el ransomware, una vez ya ha terminado de cifrar los archivos, los delincuentes tienen en su poder información sensible de la empresa y sus clientes / proveedores, y aprovechan para amenazar a la víctima con filtrarla si no se cede al chantaje para recuperar los archivos cifrados en un corto periodo de tiempo.

Por si esto fuera poco, recientemente se ha descubierto que uno de los delincuentes afiliados al grupo detrás del ransomware SunCrypt también realiza ataques de denegación de servicio distribuido (DDoS) a las webs de las empresas cuyos responsables no ceden a su chantaje.

De esta forma, se fuerza a la víctima a que vuelva a la negociación por el rescate de sus archivos cifrados, ya que mientras su página web esté inoperativa no genera oportunidades de negocio, hace daño a la imagen de marca y además puede levantar sospechas de que algo extraño está sucediendo,lo cual en esta época suele estar relacionado demasiadas veces con ataques de ransomware y filtrado de la información.

Una amenaza que no cesa

Cuando hace un par de años el minado no autorizado de criptomonedas se impuso como tendencia delictiva, algunos pensaron que el ransomware estaba en vías de extinción. Tal y como podemos comprobar en la actualidad, ese pensamiento no podía estar más equivocado. De esta forma, desde finales de 2019 y con el cambio de táctica ya mencionado del robo y filtración de información, el ransomware y su coste para las empresas afectadas se ha convertido en una pesada carga.

Por si fuera poco, la situación excepcional provocada por la pandemia de la COVID-19 que vivimos actualmente tampoco es que haya ayudado a mejorar el panorama. Durante los meses de confinamiento estricto se observó cierta reducción en los casos de ransomware, reducción que aumentó notablemente en mayo y junio para volver a estabilizarse en meses posteriores.

Sin embargo, en los incidentes en los que se ve involucrado el ransomware la cantidad de ataques no es tan importante como lo son los objetivos atacados. En la actualidad podemos ver como coexisten dos modelos de negocio que se apoyan en esta amenaza. Por un lado tenemos al ransomware más clásico, que se distribuye principalmente mediante delincuentes afiliados y que apunta principalmente a pequeñas y medianas empresas, solicitando rescates moderados (aunque más elevados con respecto a los que se pedían hace unos años) y que no suelen tener el robo de información y la posterior amenaza de filtrarla entre sus características.

Por otro lado tenemos aquellas familias (su número no ha dejado de crecer en los últimos meses) cuyos objetivos son grandes empresas (destacando las del sector industrial), organismos gubernamentales, instituciones educativas, médicas e incluso alguna infraestructura crítica. Si bien el número de estos ataques es considerablemente inferior al de los mencionados en el párrafo anterior, la cantidad que se suele solicitar como rescate es mucho mayor y oscila entre decenas de miles y varios millones de euros.

Precisamente, el robo y la amenaza de filtración de información hace que las víctimas se vean más propensas a ceder al chantaje de los delincuentes, ya que de no hacerlo no solo se exponen al daño de imagen de marca, sino también a cuantiosas multas definidas por los respectivos reglamentos de protección de datos que se aplican en cada región.

Medidas de protección

Una de las características más destacables de los ciberataques actuales que terminan robando y cifrando la información es el cambio en el modelo de ataque realizado por los delincuentes. Si bien se siguen observando muestras de ransomware siendo distribuidas por email o incluso al visitar ciertas webs, los delincuentes se están aprovechando ampliamente de fallos en la configuración de las conexiones remotas y de vulnerabilidades en VPNs.

Siendo el trabajo en remoto algo esencial durante los últimos meses para controlar la propagación de la pandemia, muchas empresas tuvieron que adaptarse rápidamente a esta nueva normalidad y no siempre cumpliendo con las medidas de seguridad necesarias. Esto ha sido aprovechado por los delincuentes detrás de las operaciones del ransomware para conseguir acceder a las redes corporativas (adivinando contraseñas de acceso a escritorio remoto mediante fuerza bruta o explotando alguna de las numerosas vulnerabilidades en VPNs descubiertas en los últimos meses).

Una vez dentro, los atacantes tratan de obtener el control del controlador de dominio para así tener una completa visibilidad de la red, desactivar las soluciones de seguridad instaladas que no estén debidamente protegidas y localizar aquella información más interesante para sustraerla, ejecutando el ransomware solo en la última fase del ataque.

Para evitar estos ataques podemos adoptar varias medidas de seguridad que pueden utilizarse también para combatir otras amenazas:

  • Contar con copias de seguridad y asegurarse de que estas funcionan correctamente. Esto nos permitirá volver en el menor tiempo posible a una actividad cercana a la normalidad mientras se investiga el incidente.
  • Instalar soluciones de seguridad y protegerlas de modificaciones no autorizadas. Esto se puede conseguir estableciendo una contraseña que sea necesaria para modificar cualquier parámetro o incluso desinstalar la solución, haciendo el trabajo de los delincuentes más difícil.
  • Contar con soluciones de detección y respuesta en los endpoints que permitan saber cuándo se está haciendo un uso malicioso de herramientas legítimas. Una de las características de muchos ciberataques actualmente es el uso de binarios que encontramos en el propio sistema o son ampliamente reconocidos como legítimos. Sin embargo, un atacante los puede utilizar también para sus acciones maliciosas, por lo que es importante saber cuándo se está ejecutando, por ejemplo, un script en PowerShell en cierto equipo, reconocer que se trata de una acción potencialmente peligrosa y bloquearlo.
  • Limitar los permisos y accesos de los usuarios a los activos críticos de la empresa. Demasiadas veces los atacantes consiguen hacerse con el control de la red y robar información confidencial accediendo a través de un equipo de un usuario normal que tiene demasiados permisos otorgados, y que puede acceder a numerosos recursos sin ningún motivo justificable.
  • Utilizar el doble factor de autenticación, especialmente a la hora de acceder a sistemas o recursos críticos de la empresa. De esta forma, aunque se consiga obtener o romper por fuerza bruta las contraseñas, habrá otra capa adicional de seguridad que los delincuentes tendrán que sortear.
  • Revisar periódicamente la seguridad de la red en busca de puntos débiles. Las auditorías continuas son una parte esencial a la hora de mantener nuestra empresa protegida. Constantemente aparecen nuevas vulnerabilidades que deben ser gestionadas para evitar que las usen en nuestra contra. Eso y otros puntos débiles son los utilizados por los delincuentes, por lo que conviene identificarlos lo antes posible para así poder solucionarlos.

Conclusión

El ransomware no tiene pinta de desaparecer a corto y medio plazo. Es más, posiblemente siga evolucionando y haciéndose más peligroso, por lo que debemos adoptar las medidas que sean necesarias para evitar convertirnos en una de sus víctimas. Mientras los delincuentes sigan obteniendo importantes beneficios de esta amenaza no debemos bajar la guardia, y debemos estar preparados ante cualquier incidente de este estilo y así poder reestablecer el correcto funcionamiento de nuestra empresa en el menor tiempo posible.

Josep Albors

El troyano bancario Grandoreiro suplanta al Ministerio de Trabajo en una nueva campaña