Domingo 25 de junio de 2017
Home / Seguridad / Informes & reviews / No todo el Ransomware funciona como el Wanna Cry
wannacry-ransomware-itsitio-kaspersky

No todo el Ransomware funciona como el Wanna Cry

Los investigadores de Kaspersky Lab descubrieron una nueva tendencia que consiste en que los cibercriminales dejan de centrar su atención en ataques masivos como el del Wanna Cry, para enfocarse en ataques de Ransomware contra empresas y detectó ocho grupos vinculados al desarrollo y distribución de este nuevo tipo de malware dirigido.

Los investigadores de Kaspersky Lab señalaron el avance de esta nueva tendencia: cada vez más los cibercriminales dejan de centrar su atención en ataques contra usuarios privados para enfocarse en ataques de ransomware contra empresas. Por lo menos ocho grupos de ciberdelincuentes han sido vinculados al desarrollo y distribución de este nuevo tipo de ransomware cifrado. Los ataques han afectado principalmente a las organizaciones financieras en todo el mundo y en algunas las demandas de rescate ascendieron a más de medio millón de dólares.

Los ocho grupos identificados incluyen a los autores de PetrWrap, que han atacado organizaciones financieras en todo el mundo, el grupo Mamba y seis grupos sin nombre que también tienen como objetivo a usuarios corporativos. Estos seis grupos previamente estuvieron involucrados en ataques dirigidos principalmente a usuarios privados y ahora han reorientado sus esfuerzos hacia las redes corporativas. Según los investigadores de Kaspersky Lab, la razón de esta tendencia es clara: los ataques de ransomware dirigidos a empresas son potencialmente más rentables en comparación con los ataques masivos contra usuarios privados como el Wanna Cry. Un ataque exitoso de ransomware contra una empresa fácilmente puede detener sus procesos operativos durante horas o incluso días, por lo que hay una mayor probabilidad de que sus propietarios paguen el rescate.

En general, las tácticas, técnicas y procedimientos utilizados por estos grupos son muy similares. Infectan a la organización objetivo con malware por medio de servidores vulnerables o lanzan correos electrónicos de phishing. Posteriormente se enfocan en la red de la víctima e identifican los recursos corporativos valiosos para cifrarlos y luego demandar un rescate a cambio de descifrarlos. Si bien comparten similitudes, algunos grupos tienen características propias y únicas.

Por ejemplo, el grupo Mamba utiliza su propio malware de cifrado, basado en el software de código abierto DiskCryptor. Una vez que los atacantes se posicionan en la red, instalan el cifrador sobre ella, usando una herramienta aceptada por el sistema para el control remoto de Windows. Este método hace que tales acciones sean menos sospechosas para los Responsables de Seguridad Informática. Los investigadores de Kaspersky Lab han encontrado casos en los que el rescate ascendía a un Bitcoin (que a finales de marzo 2017 equivale a alrededor de $1,000 dólares) por el descifrado de cada terminal.

Otro ejemplo de herramientas peculiares, utilizadas en los ataques de ransomware dirigidos, viene de PetrWrap. Este grupo se dirige principalmente a las grandes empresas con una alta cantidad de nodos de red. Los criminales seleccionan cuidadosamente sus blancos para cada ataque, los cuales pueden durar algún tiempo. PetrWrap se ha mantenido activo en una red hasta por seis meses.

“Todos debemos ser conscientes de que la amenaza de los ataques de Ransomware dirigidos a las empresas está aumentando y generando pérdidas financieras tangibles. La tendencia es alarmante a medida que los agentes de Ransomware comienzan su cruzada en busca de víctimas nuevas y más rentables. Hay muchos más blancos potenciales de Ransomware sin detectar, con ataques que resultan en consecuencias aún más desastrosas”, comentó Anton Ivanov, Investigador de Seguridad Senior Anti-Ransom, en Kaspersky Lab.

RECOMENDACIONES DE KASPERSKY LAB

 

  • Realizar una copia de seguridad de sus datos apropiada y con regularidad para que se puedan restaurar los archivos originales después de un caso de pérdida.
  • Utilizar una solución de seguridad con tecnologías de detección basadas en el comportamiento. Estas tecnologías pueden identificar malware, entre ellos el Ransomware, observando cómo funciona en el sistema atacado y haciendo posible detectar muestras de Ransomware recientes y aún desconocidas.
  • Visitar regularmente el sitio web “No More Ransom”, una iniciativa conjunta creada con el objetivo de ayudar a las víctimas de Ransomware a recuperar sus datos sin tener que pagarle a los criminales.
  • Inspeccionar el software instalado, no sólo en las terminales, sino también en todos los nodos y servidores de la red y mantenerlo actualizado.
  • Realizar una evaluación de seguridad de la red de control para identificar y eliminar vulnerabilidades de seguridad. Revisar las políticas de seguridad de proveedores externos y de terceros en caso de que tengan acceso directo a la red de control.
  • Solicitar inteligencia externa: la inteligencia de proveedores acreditados ayuda a las organizaciones a predecir futuros ataques hacia la compañía.
  • Capacitar los sus empleados, prestando atención especial al personal de operaciones y de ingeniería y a sus conocimientos acerca de las recientes amenazas y ataques.
  • Proporcionar protección dentro y fuera del perímetro. Una estrategia de seguridad adecuada tiene que dedicar recursos significativos a la detección de ataques y respuestas con el fin de bloquear un ataque antes de que llegue a objetos de importancia crítica.

CLAVES PARA EL CANAL

  • Lo más obvio: la oportunidad de potenciar las ventas y los soportes técnicos de las herramientas AntiRansomware.
  • Mejorar los niveles de servicios de soporte de las herramientas de protección de los endpoints para aumentar el nivel de detección sin generar falsas alarmas.
  • Explotar la necesidad evidente de que las empresas tengan sus sistemas con los parches actualizados. Es una oportunidad para los que cuentan con herramientas de administración de actualizaciones semiautomáticas.
  • Cuando todo falla la solución es el backup. Es un buen momento para lo que cuentan en su cartera con herramientas específicas y para los que ofrecen servicios de backup basados en Cloud de alta disponibilidad.
  • Un buen complemento de toda venta de producto o servicio es la capacitación para todos los perfiles profesionales de las empresas.

Acerca de Pamela Stupia

Pamela Stupia
Editora de ITSitio para toda la región. Comenzó su camino en medios gráficos y digitales hace más de 10 años. Escribió para diario La Nación y revista Be Glam del mismo grupo.

También puedes ver

Photography by: ©Michael B. Lloyd

Gustavo Cols, de Kaspersky Lab: “Chile es un país estratégico para nuestra empresa”

Chile es un país estratégico para Kaspersky Lab en Latinoamérica. Durante 2016, el país representó …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *