Siguen aumentando los incidentes de Ransomware tras la desaparición de Maze

El ransomware sigue causando estragos allá por donde pasa, y cada vez es mayor el número de empresas de todos los tamaños y sectores que se han visto afectadas por esta amenaza. Además, los delincuentes detrás de su desarrollo y propagación no dejan de innovar y buscar a nuevas víctimas a las que extorsionar, ya no solo con el cifrado de sus archivos, sino con el robo y la amenaza de hacer pública información confidencial.

El relevo de Maze

El pasado 1 de noviembre, los responsables del ransomware Maze anunciaban el cese de su actividad. Esta noticia sería buena si no fuese porque otras variantes no han tardado en tomar su relevo, relevo que, por otra parte, venía preparándose desde hace meses. Maze ha sido el principal responsable de la evolución del ransomware durante los últimos meses, desde que en noviembre de 2019 decidiese añadir a la estrategia de solicitar un rescate por recuperar los archivos cifrados la amenaza de filtrar información confidencial robada durante el ataque si no se atendían sus demandas.

Desde entonces, han sido varias las familias de ransomware que han adoptado esta táctica, incluyendo la preparación de portales web donde se publica la información robada o incluso añadiendo nuevas técnicas de extorsión para forzar el pago del rescate, como los ataques de denegación de servicio a los sitios web oficiales de las empresas víctimas de estas amenazas.

Uno de los alumnos aventajados de Maze (y del que se sospecha que ha sido desarrollado y operado por los mismos criminales) es el ransomware Egregor. Esta variante ha protagonizado sonados incidentes recientemente, siendo uno de los últimos el que ha afectado a Cenun consorcio empresarial multinacional basado en Chile y que opera en varios países de Sudamérica.

Este ataque ha conseguido cifrar varios de los sistemas ubicados en sus tiendas y esto ha tenido un importante impacto en el correcto funcionamiento de su negocio. Algunos de los centros afectados han informado a sus clientes de que no van a poder prestar ciertos servicios debido a un “problema tecnológico”.

Además, se ha informado de que varias impresoras ubicadas en tiendas de esta empresa empezaron a imprimir notas de ransomware una vez el equipo al que estaban conectadas había sido cifrado. Esta funcionalidad es una de las características del ransomware Egregor, y puede provocar que se impriman miles de notas de rescate si consigue afectar a la red de una empresa importante. No obstante, y a diferencia de Maze, Egregor no proporciona un enlace donde poder consultar los datos robados, aunque se sabe que sí que roba información de los sistemas afectados.

Centros sanitarios y de investigación sanitaria bajo ataque

Una de las víctimas de estos ataques que más nos preocupan debido a la situación de crisis sanitaria actual son aquellos centros médicos que están atendiendo pacientes afectados por la COVID-19 y aquellos en los que se investiga una posible vacuna para la enfermedad. Desde el inicio de esta crisis vimos como estas instalaciones eran bastante vulnerables a estos incidentes de seguridad, y aunque al principio se consideraron como daños colaterales e incluso algunos desarrolladores de ransomware indicaron que no eran su objetivo y se ofrecieron a descifrar gratuitamente los ficheros afectados, con el tiempo hemos visto como los ataques a estos centros han ido en aumento.

El ransomware es una de las peores amenazas posibles actualmente a las que se enfrentan centros hospitalarios y de investigación médica, amenaza que, según algunas fuentes, habría incluso provocado la muerte de algún paciente al no poder ofrecerle el tratamiento adecuado a tiempo por estar los sistemas afectados por este malware.

Lo cierto es que no solo el ransomware tiene como objetivo los centros médicos, y eso es precisamente lo que ha denunciado Microsoft recientemente. Al parecer, también se están viendo campañas de ataques protagonizados por amenazas persistentes avanzadas (APTs) que intentan robar información relacionada con el desarrollo de la vacuna para la COVID-19 y que, según la empresa, tendrían detrás a grupos apoyados por naciones-estado.

Conclusión

No podemos negar que 2020 ha supuesto un importante resurgir del ransomware, implementando nuevas técnicas y funcionalidades que lo ha convertido en una de las peores amenazas a las que se puede enfrentar una empresa de cualquier tamaño y sector. Es por ese motivo que debemos adoptar las medidas adecuadas para poder mitigar un ataque de estas características cuando se produzca, para así bloquearlo de forma efectiva y volver a trabajar normalmente lo antes posible.

Josep Albors

Web fraudulenta con supuestas ayudas económicas del gobierno español descarga troyano bancario para Android