Resultados ransomware primer semestre 2020

03 Julio 2020
Informativo

¿Alguna vez ha pensado en el impacto que supone la pérdida de su información personal u organizacional?, ¿ha dimensionado el tiempo que debería invertir en recuperar dicha información o el costo que involucra la pérdida de oportunidades de ingresos mientras intenta volver a un estado de operación tolerable?

Finalizado el primer semestre de 2020, hemos consolidado nuevas estadísticas sobre ransomware que son concluyentes respecto al crecimiento vertiginoso que supone y seguirá proyectando, sin embargo, no todo está perdido.

El término ransomware, ya no es algo nuevo para las organizaciones. Día a día se difunden nuevas variantes de este malware a nivel global, amenazando con el secuestro de nuestra información. Pese a ello, es importante destacar que este año ha sido afectado por una agresiva reaparición de ataques, marcados por un contexto en donde los ciberdelincuentes se han aprovechado de la crisis económica y laboral causada por el brote de COVID-19. Lo novedoso es que estas campañas continúan innovando, evidenciando la implementación de una nueva táctica que está siendo utilizada para lograr comprometer la confidencialidad de la información secuestrada.

Desde sus inicios en 2012, los ataques por ransomware se han caracterizado por comprometer la integridad y disponibilidad de la información al cifrar sus datos con algún algoritmo lo bastante robusto como para que no pueda descifrarla, exigiendo un rescate cuantioso por su recuperación.

Pero, ¿en qué ha cambiado el modus operandi de las campañas de ransomware en 2020?

Las nuevas campañas de ransomware evidenciadas en 2020 tienen una nueva forma de comprometer nuestra información y así asegurar el pago. Previo al cifrado de sus datos, los ciberdelincuentes exfiltran todos sus archivos hacia servidores de almacenamiento, a fin de tener un medio de extorsión; comprometiendo así la confidencialidad de sus activos. Algunas de las variantes que están trabajando con esta nueva táctica son: DoppelPaymer, Sodinokibi, ProLock, Maze, Mespinoza, Netwalker, CLoP, Nephilim y CUBA.

Hoy en día, estas variantes amenazan con la divulgación de los datos exfiltrados de sus víctimas como parte estándar de todos sus ataques, contando en muchos casos con sitios web particulares para dichas filtraciones, por lo que herramientas de descifrado no serían tan efectivas si lo que queremos es resguardar nuestros datos de ser vistos por terceros.
 

Fuente: Entel CyberSecure

Variantes de ransomware más connotadas en 2020

Durante el primer semestre de 2020, han destacado variantes tales como:

  1. Sodinokibi ransomware:
    Los pagos de ransomware Sodinokibi suelen ser más bajos que el promedio del mercado de ransomware. Afecta tanto a las pequeñas empresas como a las grandes empresas, destacando ya que los montos de rescate se ajustan al tamaño de la organización y a la cantidad de archivos cifrados. En relación con otros tipos de ransomware, tiene una alta tasa de éxito de recuperación después de realizar un pago de rescate, la herramienta de descifrado es relativamente sencilla de usar.
     
  2. Ryuk ransomware:
    Los pagos de Ryuk ransomware suelen ser mucho más altos que el promedio del mercado de ransomware. Esto se debe a la naturaleza altamente selectiva de los ataques. Ryuk afecta a organizaciones de tamaño medio-grande que tienen una mayor capacidad de pago en relación con pequeñas empresas e individuos, generalmente se basa en asociaciones con sofisticadas integraciones de troyanos de spear phishing y banca, como Trickbot / EMOTET. Su principal vector de entrada es a través de correos de phishing y explotación de protocolo RDP. En relación con otros tipos de ransomware, tiene una baja tasa de éxito de recuperación de datos después de realizar un pago de rescate y su herramienta de descifrado requiere mucha mano de obra y es propensa a fallas.
     
  3. Phobos ransomware:
    Es relativamente nuevo y sus pagos son más bajos que el promedio del mercado de ransomware. Esto se debe al hecho de que ataca a las empresas más pequeñas y a las personas que tienen menos capacidad de pago en comparación con las empresas más grandes. Los incidentes de ransomware Phobos suelen durar mucho más que otros ataques debido a la naturaleza complicada de la herramienta de descifrado que proporcionan los atacantes. Su tasa de recuperación de datos es de aproximadamente un 85%. Sin embargo, han sido reportado casos en que no se ha entregado ninguna herramienta de descifrado después del pago. El proceso de descifrado es el mismo que el ransomware Dharma.
     
  4. Dharma ransomware:
    Los pagos de ransomware Dharma están en el promedio de pago del mercado de ransomware. Los incidentes de ransomware Dharma suelen durar mucho más que otros ataques debido a la naturaleza complicada de la herramienta de descifrado que proporcionan los atacantes. A pesar de la complejidad logística de recibir claves y ejecutar la herramienta de descifrado, tiene una tasa de éxito de recuperación relativamente alta después de realizar un pago de rescate. La mayoría de los ataques se remontan al acceso del Protocolo de escritorio remoto (RDP) como el vector de ataque. Esto se debe a la prevalencia de puertos RDP mal asegurados y a la facilidad con la que los distribuidores de ransomware pueden utilizar fuerza bruta o comprar credenciales en sitios de mercado negro. Las empresas que permiten a los empleados o contratistas acceder a sus redes a través del acceso remoto sin tomar las protecciones adecuadas corren un grave riesgo de ser atacadas por Dharma Ransomware.
     
  5. Maze ransomware:
    En los últimos meses, los operadores de Maze se han convertido en uno de los grupos maliciosos de ransomware más prolíferos, con múltiples víctimas informadas por varios medios de comunicación desde noviembre de 2019, principalmente grandes empresas financieras. Trabajan con la nueva táctica de ransomware, extorsionando a sus víctimas con la filtración de su información si no efectúan el pago del rescate. Es distribuido a través de ataques de protocolo de escritorio remoto, kits de explotación o correos de phishing.
     
  6. Snake ransomware:
    Usa un alto nivel de ofuscación y está escrito en el lenguaje de programación Golang. El malware elimina procesos, incluidos los relacionados con los sistemas SCADA e ICS, máquinas virtuales y varias herramientas de administración remota y de red. Los incidentes de ransomware Snake suelen durar mucho más que otros ataques debido a la naturaleza complicada de la herramienta de descifrado que proporcionan los atacantes. Destaca por su comportamiento agresivo y complejo orientado a Sistemas de Control Industrial (ICS), que son aquellos que facilitan la automatización y la operación segura de los procesos industriales. Pueden verse como la columna vertebral de la infraestructura crítica, ya que se utilizan en plantas de energía, controles de sistemas de presas y fábricas que dependen de altos niveles de automatización de máquinas. 

 

Fuente: Entel CyberSecureFuente: Entel CyberSecure

Ransomware 

El ransomware es un software malicioso que cifra su información digital, exigiendo un rescate cuantioso por su recuperación. Es considerado uno de los ataques cibernético más simples y, al mismo tiempo, el más efectivo del mundo. Ha sido catalogado como el terror tecnológico de la última década, tanto para los usuarios como para las grandes corporaciones.

Debido a que se desenvuelve en un entorno focalizado en la motivación financiera del atacante, y a que su propagación regularmente es a través de campañas masivas que no involucran mayor consumo de recursos para los ciberdelincuentes que las soportan, es que este tipo de ataques ha ido ganando terreno en el universo de las ciberoperaciones. A medida que el ransomware continúe siendo exitoso, las ganancias criminales continuarán elevándose y más personas querrán participar en este tipo de actividades delictivas.

Por su parte, para las víctimas, el impacto de verse envuelto en este tipo de amenazas involucra un elevado costo derivado de la pérdida de su operación e impacto reputacional. El escenario actual se ve mermado debido a la falta de visión respecto a riesgos de ciberseguridad y la poca conciencia digital de las organizaciones lo cual, lamentablemente, está favoreciendo a los atacantes debido a que naturalmente gran parte de las víctimas prefieren pagar por el rescate, antes de seguir soportando pérdidas de productividad o costes de recuperación.

Según estadísticas de empresas dedicadas a la recuperación digital cifrada por ransomware, el costo total de un ataque se puede dividir en dos:

  • El costo de recuperación. Estos gastos cubren revisiones forenses y asistencia en la reconstitución de servidores y estaciones de trabajo. Si se paga un rescate, entonces eso también es un gasto de recuperación.
  • El costo total del tiempo de inactividad, que en promedio se estiman en 14 días. Los costos de tiempo de inactividad suelen ser de 6 a 12 veces la cantidad de rescate real y se miden en pérdida de productividad (oportunidades de ingresos perdidos).
     

En el primer semestre de 2020, el pago promedio de rescate empresarial aumentó un 33% más que en el cuarto trimestre de 2019. Los distribuidores de ransomware se dirigieron cada vez más a las grandes empresas y lograron forzar los pagos de rescate para la recuperación segura de datos, alcanzando cifras por encima de los US$ 111.000 durante el primer trimestre de 2020.
 

Fuente: Entel CyberSecure

 

La amenaza en 2020

A nivel global, los principales vectores de ataque explotados para poder distribuir las distintas variantes de ransomware son vulnerabilidades del protocolo RDP y correos de phishing. Los puntos de acceso del Protocolo de escritorio remoto (RDP) mal asegurados continúan siendo el vector de ataque más común. Es importante destacar que credenciales RDP para una dirección IP empresarial se pueden comprar por tan solo US$ 20 en mercados negros. En combinación con kits de ransomware baratos, los costos para llevar a cabo ataques en máquinas con RDP abierto son demasiado lucrativos económicamente.

Fuente: Entel CyberSecure
 

Asimismo, las pequeñas y medianas empresas de servicios profesionales, como firmas de abogados, proveedores de servicios administrados y otras firmas, junto a organismos relacionados con servicios de salud, son el subconjunto más grande de la industria objetivo del ransomware en el primer semestre de 2020. Las organizaciones del sector público también aumentaron su prevalencia, principalmente como resultado del brote de COVID-19. El subconjunto de organizaciones públicas más seleccionadas fueron los organismos educacionales, obligados a pagar por rescates para mantener el flujo de clases y aprendizaje remoto. El cambio apresurado a esta nueva modalidad on-line, causó que muchas escuelas se volvieran vulnerables a los ataques. 
 

Fuente: Entel CyberSecure


¿Qué sistemas operativos son los más afectados?

Aunque muchos son escépticos respecto a las vulnerabilidades de sistemas operativos como MacOS o sistemas basados en Linux, es importante destacar que las variantes de ransomware están hechas para ser efectivas en cualquier tipo de sistema operativo. Durante el primer semestre de 2020, hemos evidenciado un aumento de ransomware dirigido a sistemas iOS y MacOS, aumentando en ambos casos más de un 1% respecto a 2019. 

Fuente: Entel CyberSecure


¿Qué tan factible es protegerse de este tipo de ataque?

Los ciberdelincuentes que están detrás de este tipo de campañas maliciosas, por lo general no tienen intenciones disruptivas, solo buscan obtener ingresos económicos de forma rápida y con altas probabilidades de éxito, es por esto que, en líneas generales, no se concentran en objetivos que tengan una buena infraestructura de seguridad, sino más bien en organizaciones inmaduras o con vulnerabilidades conocidas que puedan ser explotadas con facilidad. Entonces, ¿cómo se convierte una empresa en un objetivo costoso? ¿requerirá una revisión masivamente costosa para la seguridad de TI? La respuesta es no. 

El reto de las organizaciones está en contar con tecnologías adecuadas que prevengan este tipo de amenazas junto con la concienciación de sus colaboradores, quienes siguen siendo el eslabón más débil y principales responsables de la entrada de ciberataques.

Existen muchas estrategias que pueden resultar efectivas, sin embargo, se ha comprobado que el conjunto de éstas debe basarse en procedimientos y uso de la tecnología de forma preventiva en lugar de reactiva. Esto supone una alianza entre el departamento tecnológico y el resto de la organización logrando identificar todas las brechas de seguridad y hacer que estos ciberdelincuentes no quebranten la estabilidad de su organización.


¿QUÉ MEDIDAS DE PREVENCIÓN PODEMOS TOMAR?

Asegure cualquier servicio remoto para reducir el riesgo en un 60%

Durante el primer semestre de 2020, el 60% de los ataques de ransomware se originaron por explotación de vulnerabilidades del protocolo de escritorio remoto (RDP). El protocolo RDP está incluido en todos los sistemas Windows, es nativo de Microsoft y permite conectarse remotamente a un equipo a través de su IP o nombre de red, desde cualquier lugar de la red. Un ciberatacante podría buscar vulnerabilidades en este protocolo a través de configuraciones poco robustas o vulnerabilidades de sistemas operativos obsoletos o sin parchar. Una vez dentro de una organización, los atacantes probablemente recopilarían más credenciales para escalar sus privilegios. 

Las recomendaciones para reducir estos riesgos son ajustes de configuración disponibles en todos los servicios RDP, las que no requieren de mayor consumo de recursos, haciendo actualizaciones y capacitando a los usuarios sobre cómo conectarse:

  • Deshabilitar o eliminar servicios remotos siempre que sea posible. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • No permitir el acceso remoto directamente desde internet. En cambio, imponga el uso de puertas de enlace de acceso remoto junto con una VPN que requiera autenticación de múltiples factores.
  • Requerir credenciales únicas e intransferibles para cualquier servicio de acceso remoto.
  • Si no es posible cerrar el puerto, limite las direcciones IP de origen que pueden conectarse mediante RDP en la lista blanca, para que solo las máquinas de confianza puedan conectarse.
  • Implementar disposiciones de bloqueo de contraseña para evitar intentos de fuerza bruta.
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada.
  • Habilitar la autenticación de nivel de red (NLA). Cuando se habilita esta opción, los usuarios deben autenticarse en la red antes de conectarse a tu equipo. Permitir conexiones solo desde equipos que ejecutan Escritorio remoto con NLA es un método de autenticación más seguro que puede ayudar a proteger el equipo de usuarios y software malintencionados.


Implemente la autenticación multifactor en todas las cuentas administrativas para reducir aún más el riesgo

Requerir a los usuarios finales que inicien sesión con autenticación multifactor (MFA) es una buena política. Ésta, debe estar complementada con la implementación de privilegios mínimos para garantizar que los usuarios de una red no tengan acceso administrativo a piezas críticas de su infraestructura tecnológica.

La autenticación multifactor por lo general es una opción gratuita presente en la mayoría de los servicios de software y hardware. Hacer uso de este recurso solo en cuentas administrativas de sistema, limita las ineficiencias percibidas de implementarlo en cada usuario, ya que incluso si se obtienen estas credenciales administrativas, una aplicación de autenticación sólida o un MFA basado en claves físicas evitará que los atacantes utilicen con éxito estas credenciales para acceder a controladores de dominio o sistemas de respaldo.

Aunque la autenticación multifactor no puede evitar que se haga clic o ejecute correos electrónicos malintencionados, evita que un intento de phishing exitoso se convierta en un incidente de ransomware sistémico a través de un privilegio escalado.


Prevención y mitigación del riesgo de correo electrónico

Debemos tener presente que los correos electrónicos son uno de los medios más explotados por ciberdelincuentes para efectuar la entrega de distribución de malware, ya sea a través de archivos adjuntos o de vínculos a dominios maliciosos o comprometidos, aprovechándose del factor humano puesto que su propagación depende de las acciones de una persona y no de un sistema. Para ello se recomienda:

  • Forzar la rotación regular de contraseñas para que las credenciales cambien para los usuarios del perímetro.
  • Utilizar herramientas de capacitación sobre conciencia de seguridad para ayudar a los empleados a identificar técnicas de ingeniería social y correos electrónicos de phishing con enlaces maliciosos.
  • Utilizar políticas restrictivas como el bloqueo de correos electrónicos externos y archivos adjuntos solo a aquellos que sean necesarios para las operaciones comerciales, considerando bloquear el acceso si la actividad no se puede monitorear bien o si presenta un riesgo significativo.


PANORAMA

A medida que ransomware siga entregando indicadores como un modelo de negocio lucrativo, los actores maliciosos continuarán trabajando por generar nuevas variantes más complejas de detectar, dirigidas a víctimas VIP de las organizaciones en las que la disponibilidad sea escencial para su negocio como los son aquellas que componen la infraestructura crítica de los países.

Los actores han mostrado su disposición a actualizar continuamente sus códigos, agregando nuevos módulos para aumentar el movimiento lateral y la filtración de datos. Se prevé que para fines de 2020, aumente vertiginosamente las variantes de ransomware.
 

Fuente: Entel CyberSecure

 

Con base en la información analizada y con el objetivo de disminuir los posibles riesgos a los que se pueden ver afectados los activos de información de su organización, el equipo del Centro de Ciberinteligencia recomienda:

Líneas generales

  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.9.2 “Gestión de acceso de usuarios” o NIST PR.AC-4, enfocada en la “Gestión de los permisos de acceso y autorizaciones, incorporando los principios de menor privilegio y segregación de funciones”.
  • Gestionar la migración o reemplazo de equipos con sistemas operativos obsoletos (Windows Server 2000, Server 2003) esto debido a que actualmente no poseen soporte de Microsoft y pueden ser explotados con mayor facilidad.
  • Tener un plan de acción para la migración de sistemas operativos con “fin de soporte”.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.
  • Mantener y mejorar el constante trabajo sobre las actualizaciones de seguridad de los diferentes productos asociados a sus activos, el que debe realizarse de forma periódica.

Explotación de Vulnerabilidades

  • En caso de no tener un impacto en la operación del negocio, desactive el protocolo Server Message Block versión 1 (SMBv1), el cual está habilitado por defecto en Sistemas Operativos de Microsoft Windows, esto debe realizarse incluso si ya instaló los parches de seguridad correspondientes.
  • Bloquear el acceso a los puertos SMB desde internet, el protocolo opera en los puertos TCP 137, 139 y 445, como en los puertos UDP 137 y 138.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. Habilitar la autenticación de nivel de red (NLA).
  • Se deben generar políticas de seguridad asociadas al uso de puertos críticos en dispositivos que aceptan conexiones desde el exterior, puertos FTP/SSH/TELNET abiertos que podría generar una brecha en la seguridad para la organización. Como primera recomendación bloquear los puertos mencionados, en caso de no ser necesario su utilización y cambiar las credenciales predeterminadas de los dispositivos IoT.

Ransomware

  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Si quiere restringir quién puede acceder a tu equipo, elija permitir el acceso solo con Autenticación a nivel de red (NLA). Cuando se habilita esta opción, los usuarios deben autenticarse en la red antes de conectarse a tu equipo. Permitir conexiones solo desde equipos que ejecutan Escritorio remoto con NLA es un método de autenticación más seguro que puede ayudar a proteger el equipo de usuarios y software malintencionados.

Tags: #ransomware #malware #Q1 #Q2 #semestre #2020


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.