Aumento global de ataques de ransomware

Las organizaciones de todo el mundo se encuentran en medio de una ola masiva de ataques de ransomware. Solo en los últimos 3 meses, el promedio diario de ataques de ransomware ha aumentado en un 50% con respecto al trimestre anterior. A medida que estos ataques continúan madurando tanto en frecuencia como en intensidad, su impacto en el negocio ha crecido exponencialmente.

Ransomware en el tercer trimestre de 2020

En el tercer trimestre de 2020, Check Point Research experimentó un aumento del 50% en el promedio diario de ataques de ransomware, en comparación con la primera mitad del año.

Los 5 países principales afectados por ransomware en el tercer trimestre en términos de número de ataques son:

• Estados Unidos (aumento del 98,1%)
• India (aumento del 39,2%)
• Sri Lanka (aumento del 436%)
• Rusia (aumento del 57,9%)
• Turquía (aumento del 32,5%)

¿Por qué sucede esto ahora?

La pandemia actual ha obligado a las organizaciones a realizar cambios rápidos en sus estructuras comerciales, lo que a menudo deja brechas en sus sistemas de TI. Estas brechas les han dado a los ciberdelincuentes la oportunidad de explotar fallas de seguridad e infiltrarse en la red de una organización. 

Efecto Emotet

Como lo informamos en nuestro boletín del 30 de septiembre, además de la continuidad de la pandemia, Emotet, después de una pausa de 5 meses, ha vuelto al primer lugar en el Índice de malware más buscado, lo que afecta al 5% de las organizaciones a nivel mundial. Emotet es un troyano avanzado, autopropagable y modular. Originalmente era un troyano bancario, pero hoy es utilizado como distribuidor de otros programas maliciosos o campañas maliciosas.

Las operaciones de Emotet venden los detalles de sus víctimas infectadas a los distribuidores de ransomware y, cómo ya están infectadas, estas víctimas son vulnerables a más ataques.

Monitoreo de ransomware últimos meses

Los investigadores de malware que monitorean las amenazas de ransomware notaron un fuerte aumento en estos ataques durante los últimos meses en comparación con los primeros seis meses de 2020. En la parte superior de la lista se encuentran las familias de ransomware Maze, Ryuk y REvil (Sodinokibi), según datos publicados recientemente por Check Point y el equipo de respuesta a incidentes de IBM Security X-Force.

• Ryuk Ransomware enfocado en sector sanitario: A diferencia del ransomware común que se distribuye sistemáticamente a través de campañas masivas de spam y kits de explotación, Ryuk se utiliza exclusivamente para ataques dirigidos personalizados. Según un informe de Check Point, Ha habido un aumento significativo en las actividades de Ryuk desde julio de 2020, y ha estado atacando a unas 20 organizaciones por semana. Ha habido un aumento constante en el número de organizaciones de atención médica a las que se dirige Ryuk, y ha habido un aumento de casi el doble en el porcentaje de organizaciones de salud afectadas por ransomware a nivel mundial, del 2,3% en el segundo trimestre al 4% en el tercer trimestre. Y la atención médica es la industria número uno como objetivo en los EE. UU.
• Maze Ransomware: El equipo de respuesta a incidentes de IBM informó que Maze representó el 12% de todos los ataques de ransomware que su equipo de respuesta a incidentes de X-Force investigó este año. 
• Sodinokibi Ransomware: Hoy en día Sodinokibi es la cepa de ransomware más prevalente que encontró el grupo de trabajo de IBM, observandoque en el 29% de los incidentes que investigaron en 2020. Según el análisis de IBM, REvil reclama más de 140 víctimas en servicios mayoristas, de manufactura y profesionales, la mayoría de ellos de EE. UU. La compañía estima que el 36% de ellos pagó la demanda de rescate. Con solicitudes entre $ 1,500 y $ 42 millones, IBM cree que el grupo de ransomware REvil obtuvo una ganancia de al menos $ 81 millones este año.
• EKANS (Snake) Ransomware: El tercer ransomware más frecuente que IBM vio en 2020 es EKANS (Snake), responsable del 6% de los incidentes, que puede matar procesos relacionados con las operaciones del sistema de control industrial (ICS).
   

Principales variantes de Ransomware en el panorama sudamericano

Hoy en día Sodinokibi se sigue manteniendo entre los ransomware más utilizado del panorama sudamericano, destacando por ser un malware de modalidad RaaS (ransomware-as-a-service).

Panorama

Los ataques de ransomware han sido tan rentables para los ciberdelincuentes que casi no existe la posibilidad de que esta amenaza desaparezca pronto, especialmente con tácticas evolucionadas (robar datos y filtrarlos o venderlos en la web oscura) diseñadas para forzar el pago de un rescate.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Proteger el protocolo RDP:
   
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.