Los ataques con ransomware crecen en número y eficacia. Estas son las medidas para prevenirlos

  • Según Avast, la probabilidad de que las empresas sufran una ciberamenaza aumentó un 24% durante el último año
  • Kaspersky señala que la pandemia ha aumentado las vulnerabilidades, que seguirán creciendo en los próximos meses
ataques-rasomware

En marzo de este año, el Servicio Público de Empleo Estatal sufría uno de los ciberataques más importantes en la historia digital de la Administración española. El ransomware Ryuk tumbaba el sistema del organismo en un contexto donde la gestión virtual se ha impuesto, con las virtudes, pero también dependencias que esto genera. La actividad de las más de 700 oficinas del SEPE que prestan servicio presencial, así como las 52 telemáticas sufrían un K.O. técnico que provocaba un retraso en la gestión de miles de citas en toda España y el aplazamiento de trámites clave como la gestión de los ERTE o la inscripción en el paro.

El SEPE y el ministerio de Trabajo han sido objeto de ciberataques en los últimos meses

Apenas unos meses después de esta emboscada digital, en julio, el mismo ransomware Ryuk actuaba contra otra institución, esta vez el ministerio de Trabajo, que volvía a sufrir un secuestro de los sistemas, una situación que se ha repetido en otras instituciones como el Ayuntamiento de Bilbao, pero también en compañías de todo el mundo, desde medios de comunicación como Los Angeles Times hasta multinacionales como Sopra Steria, dedicada a la consultoría de servicios digitales y desarrollo de software.

Y estos son solo algunos ejemplos destacados, pero que han tenido reproducciones en todo tipo de organizaciones, con afectaciones en pymes y particulares. La pandemia cambió por completo la forma de relacionarnos con las instituciones y entre nosotros, reforzando el carácter digital y renunciando a la presencialidad en muchos casos. El consumo de Internet, las ventas de e-commerce o la utilización de redes sociales han registrado marcas históricas, pero también lo han hecho los ataques informáticos en forma de ransomware, un tipo de software malicioso que secuestra información por la que exige el pago de un rescate (“ransom”, en inglés) para recuperar los datos y evitar otros daños.

Pero los casos no solo han afectado a empresas o instituciones. Esta misma semana, el operador T-Mobile reconocía haber sufrido un robo de información que ha afectado a 48 millones de ciudadanos, de ellos 850.000 habrían sufrido una vulneración de sus datos más grave, habiéndose filtrado sus nombres, números de teléfono e incluso códigos PIN. Lo más curioso de esta ataque es que algunos de los afectados ni siquiera eran ya clientes de la operadora, lo que evidencia que esta habría guardado sus datos después de las bajas, vulnerando las legislaciones de protección de datos.

La fltración de informaciones tan sensibles podría terminar con ataques de suplantación de SIM, a través de las que los ciberdelincuentes pueden acceder a la cuenta bancaria de la víctima o suplantar la tarjeta telefónica, recibiendo ellos mismos el SMS de la entidad financiera con la clave para recuperar la cuenta y acceder a la misma a través de Internet.

Las acciones con malware dirigido se disparan durante la pandemia

Según un informe reciente de Avast, empresa especializada en seguridad digital, la probabilidad general de que las empresas sufran una ciberamenaza aumentó un 24% durante el último año. De acuerdo al Informe Global de Riesgos de PC de esta compañía, la posibilidad de que un usuario corporativo padezca los efectos de ransomware es de más de algo más del 21%.

“Durante la pandemia, permitir que el personal trabajara desde casa con tan poco tiempo de antelación planteó serios desafíos para la ciberseguridad y no todas las empresas estaban preparadas, por lo que los ciberdelincuentes se aprovecharon de ello. Observamos un aumento del abuso del protocolo de escritorio remoto y vimos que los ataques de ransomware se volvieron más frecuentes”, comentaba Michel Salt, Director de Inteligencia de Amenazas de Avast, en la presentación del informe. “En Avast bloqueamos una media de cuatro millones de ataques de ransomware cada mes, que son el último paso de una cadena de acontecimientos que llevan a una red de informática dañada”, apunta a Reason.Why Jaya Baloo, Directora de Seguridad de la Información (CISO) de Avast Software.

Y es que los ataques han crecido, pero también han evolucionado, según detalla Kaspersky, otro de los mayores especialistas en ciberseguridad, que describe cómo el ransomware ha pasado de ser una amenaza para los ordenadores particulares a representar un peligro serio para las redes corporativas. “Los ataques de ramsonware se han consolidado como la principal ciberamenaza tanto para empresas privadas como para las instituciones públicas, que es lo que denominamos ramsonware dirigido”, explica a Reason.Why Dani Creus, Analista Senior de Seguridad del Equipo de Investigación y Análisis de Kaspersky, quien señala que este tipo de malware ha crecido la enorme cifra de un 767% con respecto al año anterior. “Sin embargo, no solo se ha registrado un incremento del número de incidentes durante los últimos años, sino que también se han producido en las cifras de los rescates que los ciberdelincuentes reclaman a las víctimas”, añade Creus.

Los grupos de hackers especializados en ransomware explotan la influencia financiera de las compañías, pero también roban datos antes del cifrado, por lo que su acción genera una presión en todos los frentes, conscientes de la importancia que tiene la privacidad en la sociedad actual. Las empresas que han de lidiar contra estos ciberataques sufren, además del daño directo del propio incidente, un problema de reputación que puede acarrear pérdidas económicas a las que sumarán, en el peor de los casos, multas de los reguladores, por lo que el monto completo de la operación puede resultar un durísimo varapalo para sus intereses. En su blog, Kaspersky recuerda cómo 2021 ha sido un “paraíso” para los ciberdelicuentes por la expansión digital, pero sobre todo porque llevan años mejorando sus procesos para encontrar vulnerabilidades.

Estos son los ransomware más conocidos y sus consecuencias

De acuerdo a los registros de esta compañía, desde 2016, cuando se triplicaron los casos de ransomware, no han dejado de crecer este tipo de ataques. A partir de 2019, los expertos se han encontrado de forma regular con campañas dirigidas de una serie de estos software maliciosos conocidos como "ataques de caza mayor", donde los propios sitios de los operadores del malware muestran las estadísticas de los ataques. Actualmente, los ransomware más conocidos son:

  • Maze: es el responsable de más de un tercio de los ataques y fue uno de los primeros en robar datos antes de cifrarlos. La técnica fue adoptada por otros operadores maliciosos como REvil o DoppelPaymer. Este software, conocido también como ChaCha, ha sido responsable de ataques a compañías como Allied Universal, un banco estatal en Latinoamérica o sistemas de información en varias ciudades de Estados Unidos.

 

  • Conti: este ramsonware apareció a finales de 2019 y sigue en activo. Como curiosidad, los ciberdelincuentes que están detrás de Conti ofrecen a la empresa a la que atacan ayuda para mejorar sus protocolos a cambio de un pago. Este programa cifra y envía copias de los archivos desde los sistemas atacados a los operadores del ransomware. Los atacantes amenazan con publicar la información online si la víctima no cumple. A través de Conti se han perpetrado ataques que han exigido rescates de más de 40 millones de dólares por caso, aunque los pagos abonados finalmente fueron bastante inferiores.

 

  • REvil: un ramsonware que empezó a operar en Asia durante 2019 y uno de los programas más técnicos. Las empresas que más han sufrido su impacto han sido las pertenecientes a los sectores de ingeniería y logística, pero en los últimos registros los promotores de este malware han dirigido sus esfuerzos a perforar las redes de las telecos, que consideran como sus objetivos de alto perfil. El grupo detenta el récord de la demanda de rescate más alta vista: 50 millones de dólares, lo que pagó Acer en 2021 para librarse de los efectos de este programa.

 

  • Netwalker: este malware es responsable del 10% de los ataques, sobre todo hacia grupos industriales o corporaciones energéticas, de las que han conseguido más de 25 millones de dólares en rescates. El caso de los creadores de este software es curioso, puesto que se han ofrecido a alquilar su código a cambio de una porción de lo que se gane con cada ciberataque. En enero de 2021, Netwalker sufrió un golpe policial cuando fueron localizados sus recursos, detrás de los que estaba Sebastien Vachon-Desjardins. La operación acabó con el fundador, pero con un sistema que como hemos contado se ha expandido mediante la comercialización de su método.

 

  • DoppelPaymer: uno de los malwares que más acciones ha protagonizado en los últimos tiempos, aunque todavía su porcentaje de ataques esté sobre el 10% del total. Las organizaciones atacadas por DoppelPaymer incluyen fabricantes de electrónica y automóviles, aunque en su punto de mira también han estado corporaciones petrolíferas. Y es que de todos los software de la lista es el que tiene un radio de acción más global y transversal.

Las formas que tienen de actuar estos grupos de atacantes son múltiples, por lo que varias compañías de ciberseguridad han elaborado guías en las que se detalla cuáles son las puertas de acceso para estos ciberataques. Es el caso de Eset, otra de las empresas especializadas en seguridad digital y desarrollo de antivirus, que fija seis principales puertas de entrada por las que actúa el ransomware en las redes corporativas.

Acceso mediante escritorio remoto

Como hemos comentado, el aumento del teletrabajo en los últimos meses ha ofrecido la posibilidad de acceder de modo remoto a un puesto de trabajo ubicado en una red corporativa. De este modo, se han podido mantener la mayoría de las actividades y los empleados han continuado con sus funciones, en lo que además ha supuesto un cambio en la cultural laboral española que se mantendrá en algunos contextos.

"El teletrabajo ha supuesto todo un reto en el tema de la ciberseguridad, ya que hay que cuidar que las muchas redes domésticas que ahora conforman una empresa sean víctimas de ataque. Estas redes normalmente carecen de unos sistemas de protección tan avanzados como los que podríamos encontrar en una empresa y eso las hace mucho más vulnerables, un antivirus puede ser efectivo pero no suficiente y las empresas deben valorar utilizar soluciones avanzadas y diseñadas para prevenir y detener nuevas técnicas utilizadas por los hackers", declara a Reason.Why, Rubén Vega Cybersecurity Manager de Excem Technologies.

Para que las empresas puedan habilitar la conexión remota, se necesita una autenticación simple que pregunta por un usuario y una contraseña, pero ESET recuerda que este proceso se puede fortalecer aplicando sistemas de autenticación multifactor.

"Muchos de los accesos de escritorio remoto están configurados usando el puerto que viene por defecto"

“El problema es que muchos de estos accesos mediante el protocolo de escritorio remoto están configurados usando el puerto por defecto 3389 y se pueden identificar usando buscadores específicos. Existen millones de máquinas que permiten este acceso y esto supone múltiples oportunidades para los delincuentes”, explican desde la compañía, que detallan en su informe de vulnerabilidades que la mayoría de los ciberdelincuentes utilizan “los ataques de fuerza bruta” para explorar estas fallas de los sistemas. “Una vez identificados aquellos que únicamente solicitan una autenticación simple mediante usuario y contraseña es fácil para un atacante probar varias combinaciones de usuarios y contraseñas utilizando diccionarios de credenciales o incluso probando de forma aleatoria”, explican los expertos en ciberseguridad.

Para prevenir estos ataques, se recomienda adoptar procesos de autenticación más fuertes y que las compañías tengan constancia de cuántos dispositivos tienen acceso mediante escritorio remoto a los ordenadores de las empresas. Una vez identificados todos, se insta a eliminar la entrada a distancia de los que no sean indispensables y posibilitar el acceso de los que lo requieran mediante una red privada virtual VPN.

Ataques perpetrados a través del correo electrónico

La entrada de malware a través del correo electrónico es una técnica de las más antiguas, pero que aún sigue funcionando. Es más, en 2021 han aumentado los ataques exitosos de este tipo, lo que indica que aún necesaria pedagogía al respecto. Los ciberdelincuentes que utilizan este método para propagar amenazas normalmente usan algún documento adjunto con enlaces maliciosos incrustados y otro tipo de archivos que pueden comprometer los sistemas.

“Este malware de primera fase suele estar compuesto por alguna variante de botnet como son Trickbot, Qbot o Dridex”, apuntan desde Eset, dando ejemplos concretos de las fuentes de los ataques. Una vez que el malware entra en la red, los hackers comienzan a realizar movimientos de búsqueda en los dispositivos que les resultan más interesantes, es decir, aquellas que tienen una fácil desactivación de los protocolos de seguridad y que por tanto les conceden acceso a información confidencial. De nuevo, el rescate se articula como la única salida para resolver el conflicto.

Para protegerse de este vector, según apuntan los expertos en ciberseguridad es importante filtrar aquellos correos que resulten sospechosos y tener un buen filtro antispam. “Se puede bloquear la descarta de cierto tipo de ficheros, pero como muchas veces se emplean documentos ofimáticos, esta medida puede ser contraproducente al bloquear también elementos legítimos”, advierten desde Eset, que sin embargo apunta que es fácil contar con una solución de seguridad capaz de identificar estos archivos perniciosos, bien de forma estática o cuando intentan realizar alguna acción. Eso sí, estas soluciones de seguridad deben estar correctamente configuradas y protegidas con al menos una contraseña para evitar su desinstalación por parte de los atacantes.

Aprovechamiento de vulnerabilidades

La siguiente amenaza es más general y parte del análisis de las vulnerabilidades generales que presentan los sistemas y que han quedado al descubierto estos meses. De hecho, lo más habitual es que los ciberdelincuentes hagan una investigación sobre agujeros abiertos en vez de derribar fronteras desde cero. En los últimos meses, los creadores de malware han puesto la diana en elementos como las VPN, que pese a ser una solución efectiva para el teletrabajo, no siempre se han configurado de modo correcto.

Y lo mismo ha sucedido con muchas herramientas colaborativas y de productividad que han multiplicado sus usuarios. Es el caso de Microsoft Exchange Server, una aplicación hacia la que el ransomware ha concentrado su pólvora, lo que ha permitido a sus creadores robar todo tipo de datos y correos, así como también infectar sistemas de forma que pudieran acceder a la red comprometida durante largos periodos de tiempo. “De ahí que resulte fundamental para mantener una buena política de seguridad en las redes actualizar tanto los sistemas como las aplicaciones utilizadas tan pronto como sea posible, porque es un modo eficaz de acortar la ventana de oportunidad de la que disponen para aprovechar los agujeros de seguridad descubiertos”, enfatiza Eset en su informe.

Kaseya y los problemas en la cadena de suministro

Este verano, Kaseya, compañía de software especializada en soluciones y productos para empresas que precisamente necesitan servicios en remoto, sufría uno de los ciberataques más sonados. La importancia de este proveedor es capital, porque su caída puso en jaque a casi 1.500 compañías, algunas estratégicas, y visibilizó el problema de los peligros en la cadena de suministro. Los atacantes lograron comprometer la red aprovechando una vulnerabilidad que detectaron desde cero.

A pesar de que los ataques que usan la cadena de suministro aún son la excepción a la regla, su número se ha venido incrementando en los últimos meses, lo que demuestra una peligrosa tendencia que puede provocar problemas incluso más graves en el futuro”, recoge el informe de vulnerabilidades de Eset, que alerta a las compañías y usuarios para que no confíen ciegamente en este tipo de software de gestión. El mejor modo de prevención ante estas situaciones conflictivas está en la utilización de soluciones EDR, que se caracterizan por aunar elementos de detección y prevención de amenazas complejos, así como su posterior eliminación o reducción.

Métodos de protección ante los ataques de ransomware

Para hacer frente a todas estas situaciones, desde Kaspersky, Dani Creus, Analista Senior de Seguridad del Equipo de Investigación y Análisis de la compañía, apunta que es esencial “la protección de los datos y los dispositivos corporativos mediante el establecimiento de contraseñas robustas, el cifrado de dispositivos de trabajo o la relación de copias de seguridad de toda la información”. Además de esta serie de acciones, es crucial, a su juicio, que las compañías refuercen “la formación de concienciación de ciberseguridad de todos sus empleados, independientemente del rol que desempeñan. Esas lecciones pueden darse de manera online y deben cubrir prácticas básicas del día a día de cualquier trabajador como la gestión de cuentas y contraseñas, la seguridad del correo electrónico, la seguridad de los endpoints o la navegación web”.

Por su parte, Jaya Baloo, CISO de Avast Software, recomienda, para evitar una interrupción generalizada, que las empresas “aseguren sus redes y tengan copias de seguridad online y offline para restaurar cualquier pérdida de datos importantes”. Y describe cinco pasos a seguir cuando una organización se ve afectada por el ransomware:

  1. Aislar los sistemas afectados
  2. Identificar y asegurar las opciones de copia de seguridad
  3. Recoger la información de los registros y realizar análisis forenses cuando sea necesario
  4. Identificar la cepa del ransomware y ver si hay una clave de descifrado disponible
  5. Ponerse en contacto con las autoridades y decidir cómo proceder

De cara al futuro, Baloo insta a crear un plan de respuesta a incidentes que les ayude a realizar el triaje y a proporcionar no solo una capacidad de respuesta rápida a los incidentes de seguridad, “sino también a establecer una ruta de mejora incremental”. Aunque este proceso lleve un tiempo, la CISO de Avast se refiere a este proceso como fundamental. “Desgraciadamente, vemos un aumento de los ataques exitosos porque el rasomware se está ejecutando como servicio para los ciberdelincuentes, lo que aumenta tanto la sofisticación como la facilidad para lanzar un ataque. Necesitamos una coordinación nacional para mejorar nuestras defensas en las infraestructuras críticas y una cooperación internacional para acabar con estas operaciones cibercriminales”, sentencia.

"Este tipo de amenazas pueden llegar a ser inasumibles para las empresas que lo sufren, por eso es tan importante que, sobre todo las pymes, se asesoren debidamente con empresas de ciberseguridad con experiencia y sean conocedoras de las medidas que pueden poner en marcha para evitar y prepararse ante un eventual ciberataque, así como el protocolo de actuación en caso de ser víctimas del ransomware", añade Rubén Vega, Cybersecurity Manager de Excem Technologies

“Desde Kaspersky creemos que, con el paso del tiempo, los atacantes han ido evolucionando y perfeccionando cada vez más sus métodos de ataque. Además, son conscientes de las vulnerabilidades de sus potenciales víctimas”, explica el Analista Senior de Kaspersky, que ve en el auge del trabajo remoto y la pandemia causas de la subida de estos ataques. “Ambos han propiciado este incremento, por lo que podemos señalar que este tipo de ataques seguirá en aumento y causando más quebraderos de cabeza para las empresas de lo hecho hasta ahora”, concluye Dani Creus, Analista de Kaspersky, en una advertencia de lo que vendrá.

Noticias Relacionadas

Así, los expertos en ciberseguridad convergen en la idea de que el teletrabajo y la pandemia han aumentado las vulnerabilidades de una sociedad cada vez más digital, con los beneficios evidentes que eso conlleva, pero con los riesgos que acarrea también, Un contexto en el que cada dato se transmite al instante, la misma velocidad con la que puede ser secuestrado. Y la pérdida de la información acarrea daños económicos, de reputación y de tiempo difícilmente recuperables a corto plazo, de ahí la importancia de contar con un entorno de seguridad digital lo más robusto posible.