Prensa. Consultor
5.
La compañía de seguridad Informática, ESET, analizó el
escenario que dejó el ransomware en 2020 y la influencia del teletrabajo en los
ataques dirigidos a empresa y organismos gubernamentales. Su encuesta reveló
que el 61.7% de los usuarios no cree que
las empresas estén preparadas para lidiar con una infección de ransomware y el
50,9% opinó lo mismo sobre las entidades gubernamentales.
ESET, compañía líder en detección proactiva de
amenazas, advierte que el ransomware fue una de las amenazas más activas durante
2020. La compañía analizó los detalles y explica que esto se debió al
incremento del teletrabajo y a que el ransomware evolucionó, haciéndose más
efectivo.
Durante 2020, las bandas que operan las distintas
familias de ransomware dejaron atrás las campañas masivas y al azar esperando
que alguna víctima se infecte y que eventualmente pague el rescate para
recuperar su información. En cambio, apuntaron a compañías de varias
industrias, así como al sector de la salud y a organismos gubernamentales a
nivel global, llevando adelante ataques en los que secuestran mediante cifrado
los archivos en los equipos comprometidos, con nuevas estrategias para demandar
el pago de un rescate.
El robo de información previo al cifrado de los
archivos y la posterior extorsión bajo la amenaza de publicar, vender o
subastar los datos confidenciales robados fue una metodología que se observó
por primera vez a fines de 2019 y que se consolidó en 2020. El objetivo es
agregar un plan B a la estrategia de solo cifrar los archivos y demandar el
pago de un rescate para devolver el acceso. Con este nuevo método, adoptado ya
por varias familias de ransomware, los criminales aumentan la posibilidad de
monetizar los ataques al contar con otro instrumento para presionar a las
víctimas y que se decidan a pagar, ya que supuestamente de esta manera evitarán
la divulgación de la información robada y recuperarán el acceso a los datos.
Pero “esta técnica requiere que el atacante invierta
bastante tiempo, ya que necesita obtener acceso a la red, desplazarse sin ser
detectados hasta identificar los datos confidenciales y extraer una copia de
información para guardar en su propio entorno”, explicó el especialista de
ESET, Tony Anscombe, en el informe Tendencias 2021 en ciberseguridad. Hay un
trabajo de persistencia que realizan los atacantes una vez que están dentro de
la red con la intención de recolectar información y también credenciales
adicionales para asegurarse el acceso a la red en caso de que se cierre la ruta
que permitió el acceso inicial. Además, muchos grupos de ransomware dedican
tiempo para realizar un trabajo de inteligencia en busca de comprender qué
datos son valioso e identificar información sensible que, en caso de ser
filtrada o comprometida, de alguna manera provocarán daños a la empresa u
organización, agregó el especialista.
El aumento de los ataques dirigidos de ransomware
también tiene una explicación en el modelo de negocio del ransomware
as-a-service (RaaS), donde algunos actores desarrollan estos códigos maliciosos
y los ofrecen en la dark web para asociarse con afiliados que se encargarán de
la distribución del ransomware y luego dividirán las ganancias. Estas familias
de ransomware muchas veces operan durante algún tiempo y cesan sus actividades,
dando lugar a la creación de otros grupos de ransomware que adquieren el código
fuente y le añaden en algunos casos variaciones.
Egregor, por ejemplo, es un ransomware que surgió en
septiembre de 2020 y que opera bajo este modelo de negocio. Recientemente el
FBI publicó un comunicado en el que advierte a compañías de todo el mundo sobre
los ataques de este ransomware y su creciente actividad. Egregor comenzó a
operar poco después de que el ransomware Maze anunciara el cese de sus
actividades. Según dijeron actores de amenazas a BleepingComputer, esto provocó
que muchos afiliados a Maze pasaran a trabajar con Egregor como RaaS.
La aceleración de la transformación digital provocada
por la pandemia obligó a muchas empresas y organizaciones a trabajar desde el
hogar, dejando las oficinas que están preparadas con los mecanismos de
seguridad necesarios para proteger el perímetro de una organización, sin
capacitar a las personas acerca de las buenas prácticas de seguridad, y sin
brindar en muchos casos la infraestructura necesaria para trabajar de manera
segura. De hecho, según una encuesta realizada por ESET en plena pandemia, solo
el 24% de los usuarios dijo que la organización para la cual trabaja le brindó
las herramientas de seguridad necesarias para trabajar remotamente y el 42% de
los participantes aseguró que su empleador no estaba preparada en cuanto a
equipamiento y conocimientos de seguridad para hacer frente al teletrabajo.
En este sentido, muchas personas teletrabajando
equivale a muchos dispositivos, distintas redes, en distintas ubicaciones, y
con profesionales —e incluso empresas— que en el apuro o por desconocimiento no
lograron implementar un plan para trabajar remotamente de manera segura. Este
escenario provocó un aumento en la superficie de ataque. Según datos de una
encuesta realizada por ESET en diciembre pasado, el 87,67% de los participantes
opinó que los cibercriminales han visto una oportunidad en el incremento del
trabajo remoto para lanzar ataques dirigidos a las empresas. Además,
consultados acerca de si creen que las empresas y las entidades gubernamentales
están preparadas para lidiar con ataques de ransomware, el 67,76% opinó que
apenas unas pocas empresas lo están, mientras que el 50,96% considera que solo
unas pocas entidades gubernamentales cuentan con las capacidades.
En un ataque informático, si un usuario cae en la
trampa y abre un correo de phishing dirigido para luego hacer clic en un enlace
o abrir un archivo adjunto, su equipo será comprometido con un malware que
puede a su vez descargar otro código malicioso como un ransomware. Si luego
accede a la red corporativa conectándose al servicio VPN que la empresa o la
entidad gubernamental le brinda, el acatante tendrá acceso a la red y podrá
moverse lateralmente para recolectar información y buscar otras credenciales de
acceso que le den permiso de administrador para distribuir el ransomware dentro
de la red.
El uso del protocolo de escritorio remoto (RDP) ha sido
uno de los mecanismos más utilizados para lanzar ataques de ransomware
aprovechando también el uso de contraseñas débiles. Si bien los distintos
grupos de ransomware utilizan diferentes vectores de ataque para distribuir la
amenaza, varios reportes coinciden en decir que el RDP ha sido el vector de
intrusión más utilizado por ataques de ransomware durante 2020. De hecho, en el
primer trimestre del año pasado ESET reportó el aumento de los intentos de
ataque al RDP mediante fuerza bruta a nivel global; un aumento que en América
Latina para el mes de noviembre había sido del 141%, con picos que llegaron
hasta los 12 mil intentos de ataque diarios al protocolo. Una vez que el
atacante logra comprometer la seguridad mediante el RDP puede realizar
distintos tipos de actividades maliciosas dentro de los sistemas.
Desde ESET mencionan que esto no impide a las
organizaciones a operar de manera remota, sino que deberán dedicar tiempo y
recursos para capacitar a los usuarios de manera que cuenten con más herramientas
y estén mejor preparados para lidiar con las distintas amenazas y riesgos en
Internet. Asimismo, recomiendan como pasos básicos el acompañar la educación de
los usuarios con la adecuada tecnología, el uso de una VPN, la realización de
backups de forma periódica, una política de actualizaciones para corregir
vulnerabilidades, la implementación de la autenticación multifactor y de
estrategias de seguridad como el principio del menor privilegio y de la mínima
exposición, por nombrar algunas. Por otra parte, es recomendable que las
organizaciones evalúen los mecanismos de accesibilidad a la información y
cuáles son las formas que puede tener un atacante para llegar a estos datos.
#noticias
#aumento
#ataques
#ransomware
#2020
#vínculo
#teletrabajo
#senderosdeapure
#venezuela