Infosecurity México
4 y 5 de Octubre 2023
Centro Citibanamex

El Ransomware no descansa

Por: Robin Vega

Manager Operaciones de Ciberseguridad en Nacional Monte de Piedad, responsable del SOC & CSIRT. Cuenta con experiencia en Auditoria de ciberseguridad, gestión de riesgos, seguridad de la información, Red Team, Blue Team y gestión de la seguridad informática.

Publicado 26/05/2021

“El Ransomware no descansa, por ende, es de gran importancia entenderlo para proteger a nuestras organizaciones y a nosotros mismos en nuestra vida diaria”

El Ransomware no descansa

Esta amenaza se ha convertido en una de las herramientas más redituables de los ciberdelincuentes, por lo tanto, una de las más peligrosas a las que nos enfrentamos como individuos y organizaciones. Para el usuario en el hogar podría representar la pérdida completa de su información personal y para una organización podría representar pérdidas que pueden rondar millones de dólares, incluso la de su reputación por la pérdida de datos de sus clientes.

La revista Contacto en su artículo “En 2021 el ataque con mayor crecimiento en México será el ransomware” nos describe esta tendencia de la siguiente manera:

“En México, el costo promedio de remediación para las organizaciones por un ataque de ransomware es de $470 mil US dólares y si se paga el rescate, es de $940 mil US dólares.

En 2021, el ataque con mayor crecimiento en México será el ransomware y menos del 50% de las organizaciones cuentan con personal capacitado para enfrentarlo.

Un dato relevante es que «limpiar» un sistema para eliminar el ransomware puede superar los $80 mil US dólares para los grandes corporativos y $55 mil dólares para pequeñas y medianas empresas (PyMEs). Sobre este tema el estudio de la unidad de investigación de SILIKN señala que, en México, el 66.9% de las PyMEs cierran sus operaciones o quiebran seis meses después de haber sufrido un ataque cibernético.”

Asimismo, El Economista en su artículo “Ransomware continuará con sus amenazas al sector salud en 2021”, señala que ahora estamos llegando a una época donde es muy redituable para los criminales atacar a las industrias del sector salud, tal como lo describen en el siguiente fragmento:

“Las brechas de datos han sido durante mucho tiempo un negocio rentable para los actores de amenazas, como se destaca en el Informe sobre el costo de una brecha de datos de IBM 2020, el cual señala que el costo promedio de una brecha, para la atención médica específicamente, fue de 7,130 millones de dólares, con información de identificación personal (PII) valorada en 150.00 dólares por registro, lo que convierte a la industria en un objetivo principal.

Según Tenable, durante los últimos 14 meses, hubo 293 brechas de salud divulgadas públicamente, donde el número de registros expuestos alcanzó un total de casi 106 millones. El estudio subraya que más del 54.95% de las brechas hacia dicho sector fueron causadas por ataques de ransomware. Otros motivos principales incluyeron el compromiso del correo electrónico (21.16%), amenazas internas (7.17%) y bases de datos inseguras (3.75%).

El aumento alarmante de los ciberataques durante la epidemia de Covid-19 fue motivo para que inclusive la Interpol emitiera un comunicado donde declaró que los ataques de ransomware perpetrados por distintos grupos delictivos alcanzaron su punto álgido en las dos primeras semanas de abril de 2020.”

Por esta razón, es necesario que entre todos nosotros mantengamos una cultura de información y conocimiento de este ataque. Por lo tanto, quiero iniciar con la siguiente definición:

El Instituto Nacional de Ciberseguridad de España (INCIBE) define al ransomware como “un tipo de malware que toma por completo el control del equipo bloqueando o cifrando la información del usuario para, a continuación, pedir dinero a cambio de liberar o descifrar los ficheros del dispositivo”.

El objetivo de este malware como lo establece la definición, es encriptar la información de la computadora de la víctima, volviéndola inaccesible aunque, tras el pago del rescate, no siempre la víctima puede recibir la clave para desencriptar la información. En caso de que el usuario o la organización utilicen métodos de respaldo para restaurar su sistema, muchas veces los cibercriminales deciden entonces hacer publica toda la información que obtuvieron cuando comprometieron los sistemas.

Así que vamos a conocer un poco sobre las etapas para efectuar este ataque hacia las organizaciones:

Pensemos como un atacante:

 ¿Qué necesito primero para hacer un ataque? Claro, la respuesta es: tener un objetivo claro, redituable y relativamente sencillo. Por lo tanto, la primera etapa es:

1.       Exploración:

Consiste en buscar y recolectar información pública en internet para fijar un objetivo claro para el ataque, de esta manera, con la información recolectada durante esta exploración, efectuar un ataque a la organización como “phishing, explotar vulnerabilidades o simplemente aprovechar credenciales obtenidas sobre la red a comprometer”.

Acertamos en el ataque y ahora tenemos acceso a la red de la organización, ¿cuál sería el siguiente paso?:

2.       Colocación en la red:

El atacante necesita el acceso en la red interna a libre demanda, por lo tanto, buscará por todos los medios ser persistente en la red, creando puertas traseras “back door“, para comunicarse siempre con la red interna desde cualquier punto externo. Actividad conocida comúnmente como APT “Advance Persistent Threat”

Ahora que el atacante tiene un enlace persistente a la red comprometida, es momento de realizar la siguiente etapa:

3.       Recolección de información y escalabilidad:

Dentro de la red interna, los atacantes ahora recolectarán información de credenciales de los sistemas, asimismo, generarán una elevación de privilegios para poder moverse sin restricción dentro de la red. En esta etapa con los privilegios ganados ahora puede crear más usuarios en cada uno de los sistemas para sus propios fines.

El atacante ahora tiene privilegios altos sobre la infraestructura, por lo tanto, el siguiente paso será realizar:

4.       Movimientos Laterales

Ahora intentará moverse dentro de la red interna a través de la interconexión de los sistemas, de esta manera, colocará el malware en todo aquello que pueda obtener acceso y concentrarse en donde localice la información con mayor valor.

Llegamos a la etapa:

5.       Persistencia en la red

Como ya lo explicamos en la etapa 2, es necesario mantener la persistencia en los sistemas, por lo tanto, con los movimientos laterales se concentrarán en obtener acceso a recursos que permitan crear usuarios con privilegios de administrador y acceder a cualquier recurso de red, estos pueden ser Directorio Activo, Tacacs, bóvedas de contraseñas.

El atacante buscará destruir o comprometer cualquier forma de restauración de la información que secuestrará y entrará en la siguiente etapa:

6.       Eliminación de copias de seguridad o archivos de respaldo

Necesita asegurarse que la compañía afectada no pueda recuperar el acceso a sus sistemas, configuraciones o información, por lo tanto, se concentrará en destruir las copias de seguridad a las que tenga acceso.

Ahora es momento de concluir el ataque, llegamos a la etapa de:

7.       Activación del ransomware

Aquí se cifra toda la información de los sistemas consecutivamente, los atacantes dejan una nota de contacto que solicita realizar un pago para recuperar el acceso a la información. Un ejemplo es el mensaje del ransomware Makop

Pero ¿Cómo detenerlo?

Ahora ya sabemos la forma como operan normalmente los criminales, qué es y cómo funciona un ransomware, pero ahora, necesitamos saber cómo poder implementar controles para protegernos de este ataque:

Debemos combinar más de una tecnología en una organización, que permitan en conjunto generar una gran barrera contra este malware, como las siguientes:

  1. Implementar una protección de correo electrónico con una solución de antispam robusta
  2. Implementar un filtrado de contenido o de navegación que tenga la capacidad de detener al usuario cuando requiera realizar un clic en un enlace malicioso recibido por medio de un phishing o visitando páginas web.
  3. Implementar antimalware avanzado con módulos para la detección de ransomware o módulo de comportamiento heurística para detectar cuando exista un comportamiento que afecte integridad de los archivos.
  4. Actualizar constantemente los equipos de cómputo para evitar brechas de seguridad por vulnerabilidades

Por último y una de las más importantes:

5. Implementar campañas de concientización constantemente para los usuarios, ya que teniendo una cultura de seguridad más arraigada con los usuarios vamos a reducir el riesgo de este tipo de la materialización de eventos exponencialmente.

 Claro, no hemos olvidado las recomendaciones para los usuarios en casa:

  1. Evita siempre dar clic en los links de correos no deseados o en sitios web que no reconozcas, y asegúrate siempre de que los dominios de los correos que llegan sean de entidades que comúnmente recibes, recuerda que siempre están suplantando identidad de empresas como bancos o gobierno. Si no tienes cuidado puedes dar inicio a la descarga del malware.
  2. Si te piden datos por algún método electrónico, no entregues la información para nada. Cuida siempre tu información personal, ninguna entidad bancaria o gubernamental te solicitará esta información personal o confidencial por estos medios.
  3. Evita a toda costa abrir archivos sospechosos que lleguen por correo electrónico, recuerda que esta vía es la más utilizada por los atacantes para desplegar el malware. Nuevamente, te recomendamos verificar que la dirección de la que provienen sea de una fuente confiable.
  4. Siempre cuenta con un antivirus robusto en tus equipos que permita la detección y frenado oportuno de malware como el ransomware, en la actualidad existen muchas versiones de antivirus que ya cuentan con las firmas más actuales de este malware. En caso de que no cuenten con la variable, muchos son efectivos con su escaneo de heurística para detectar cuando el malware esté intentando cifrar archivos
  5. Mantén actualizados periódicamente los Sistemas Operativos y aplicaciones de tus dispositivos personales, esto ayudará a que tengas los parches de seguridad actualizados y disminuir el riesgo de explotar una vulnerabilidad en los mismos.
  6. No introduzcas medios extraíbles que no sean de tu entera confianza, porque algunos de ellos podrían tener como contenido este u otro malware.
  7. Evita a toda costa descargar archivos o programas de sitios no confiables, siempre descarga y consigue software de sitios oficiales.
  8. Valida que las conexiones que realices en portales transaccionales siempre cuenten con un certificado digital que la dirección inicie con https.
  9. Ten cuidado con las redes públicas. Nunca realices actividades confidenciales en estas redes, ya que pueden estar comprometidas y ser utilizadas por atacantes para obtener datos de tu navegación, por eso evitar consultar portales bancarios, entre otros.
  10. Siempre cuenta con respaldos de tu información más importante, toda aquella que, en caso de una pérdida, te podría representar dolor de cabeza. Esto puedes realizarlo en soluciones en la nube como One Drive, Dropbox, Google Drive, entre otros.

Puedes contactarme a través de mi LinkedIn.

Fuentes:

https://www.incibe.es/aprendeciberseguridad/ransomware

https://revistacontacto.com.mx/en-2021-el-ataque-con-mayor-crecimiento-en-mexico-sera-el-ransomware/

https://www.eleconomista.com.mx/tecnologia/Ransomware-continuara-con-sus-amenazas-al-sector-salud-en-2021-20210401-0008.html