trabajadora afectada por ransomware

Perú: El país más atacado por Ransomware ¿Cómo protegerse de este ataque informático en 2020?

El Ransomware es una de las armas más peligrosas de los ciberdelincuentes en la actualidad. Según Panda security este tipo de ataques han aumentado 500% en el último año

Este tipo de ataque informático es considerado tan peligroso porque significa la pérdida de información, tiempo y dinero. Ejemplo de ello es el Ransomware Wanna Cry de 2017 que atacó indiscriminadamente hospitales, aeropuertos y demás instituciones. 

¿Cómo funciona el Ransomware? 

Wanna cry fue uno de los primeros ataques de este tipo y a partir de problemas de causo comenzó a ser estudiado por diferentes entidades de ciberseguridad, por ello hoy podemos saber su funcionamiento y estar preparado antes nuevos tipos de ataques. 

Para realizar el cifrado infecta nuestros equipos reemplazando la extensión de los archivos como: .wncry, .donm, .ezz o .crjoker. Intentar cambiar la extensión de manera manual es inutil, ya que pedirá una contraseña que se encuentra en el equipo de los atacantes y solo se podrá tener acceso después de haber hecho un pago en Bitcoin. 

Estos Ransomware aprovechan el cifrado AES-128 pero es posible que los ataques venideros empleen nuevos protocolos de encriptación. 

Ransomware en 2019

El Ransomware es una de las armas más peligrosas de los ciberdelincuentes en la actualidad. Según el Informe de defensa de amenazas cibernéticas de CyberEdge Group de 2020, durante el año 2019 el 62% de las organizaciones fueron víctimas de Ransomware, siendo un porcentaje significativamente superior al de años anteriores.  

Este tipo de ataque informático es considerado sumamente peligroso porque implica la pérdida de información, tiempo y dinero. Ejemplo de ello fue el Ransomware Wanna Cry de 2017, que atacó indiscriminadamente hospitales, aeropuertos y demás instituciones. 

¿Cómo funciona el Ransomware? 

Wanna cry fue uno de los primeros ataques de este tipo y a partir de este problema comenzó a ser estudiado por diferentes entidades de ciberseguridad, por ello hoy podemos saber su funcionamiento y estar preparado ante nuevas familias de Ransomware

Para realizar el cifrado, estos códigos maliciosos infectan nuestros equipos reemplazando la extensión de los archivos como: .wncry, .donm, .ezz, etc. Intentar cambiar la extensión de manera manual es inutil, ya que pedirá una contraseña que se encuentra en el equipo de los atacantes y solo se podrá tener acceso después de haber hecho un pago en Bitcoin u otra criptomoneda. 

Estos Ransomware aprovechan el cifrado AES-128 pero es posible que los ataques venideros empleen nuevos protocolos de encriptación. 

Ransomware en 2019

En este año los ataques de Ransomware incrementaron en países específicos y apareció un nuevo código malicioso como GandCrab. Este Ransomware, de origen posiblemente Ruso, tuvo un fuerte crecimiento durante 2018 y en 2019 se anunció su desmantelación.

GandCrab es el ejemplo de que este tipo de ataques han aumentado en cantidad pero no en calidad, siendo solo una variación de la metodología ya explicada. 

Lo sorprendente de este Ransomware es:

  1. La forma en cómo guardaba los datos del usuario, ya que antes de iniciar el proceso de encriptado era capaz de registrar nombre de usuario, dirección IP y nombre del equipo.
  2. De las múltiples formas de distribución, su principal forma de llegar a los usuarios era mediante programas de piratería o crackeo. 
  3. Perú representó el 49,2% de los ataques de este Ransomware en América Latina 

Ransomware en Perú durante 2019

Perú parece ser un país que está en medio de un escenario hostil de la ciberseguridad y junto con México es uno de los más atacados de la región. Un informe de ESET gráfica el crecimiento de Ransomware en la región.

Como podemos observar en este gráfico todos los países tuvieron un aumento considerable de Ransomware a partir de 2016 por el surgimiento de Wanna Cry, estando en los primeros lugares: México y Perú. 

En el siguiente gráfico podemos ver el número de ataques que han sucedido en 2019 y que de momento vuelven a Perú, candidato como el país más vulnerable de la región.

El informe menciona que, en América Latina el 40% de las organizaciones sufrió ataques de encriptación. A partir de este hecho, 70% de los afectados perdieron dinero, información o ambas. 

Fortinet Ransomware Report – 2019

Fortinet en sus reportes Threat Landscape Q2 Y Q3 menciona el panorama del Ransomware en 2019 y nos ayuda a comprender las actividades de ciberdelincuentes a los cuales se enfrentan las organizaciones este 2020.  

Q2

“Los ataques a múltiples ciudades, gobiernos locales y sistemas educativos sirven como un recordatorio de que el Ransomware no va a desaparecer, sino que continúa representando una seria amenaza para muchas organizaciones en el futuro”. 

Debido a que WannaCry no generó grandes ganancias, los ciberdelincuentes han aprendido que los ataques realizados en masa no resultan lucrativos, puesto que las instituciones comunican públicamente si se está devolviendo la información después de realizar el pago.

Por este motivo, ahora realizan una selección más cuidadosa de empresas que estén dispuestas a pagar por desencriptar sus datos, a pesar que los expertos recomiendan no pagar el rescate debido a que esto alimenta el mercado de los Ransomware dirigidos

En el apartado de familias de Ransomware que aparecieron en 2019, se encuentra Sodinokibi, cuyas funciones de encriptado son mismas descritas anteriormente, pero con mayor dificultad para ser detectado y diseñado para explotar vulnerabilidades de Windows. 

Las recomendaciones de Fortinet en este periodo fueron: 

  • Educar a los responsables de área y ejecutivos en la creación y actualización de los parches de seguridad del sistema operativo. 
  • Identificar y tomar precauciones en base a las vulnerabilidades del Protocolo de escritorio remoto (RDP). 

Q3

En el tercer trimestre del año 2019, Fortinet identificó el crecimiento de Ransomware-as-a-Service (RaaS) distribuidos a través de la Dark Web, incluso los ransomware cómo Sodinokibi y Nemty están siendo ofrecidos como servicios. 

Esto representa un menor gasto de experiencias y tiempo para lanzar un ataque de encriptación hacia una organización específica. 

Ransomware en 2020

Este año es percibido negativamente por los constantes cambios y complicaciones que ha presentado. El apartado de Ransomware no es la excepción y presenta un escenario cambiante y peligroso tanto para el sector corporativo como para personas naturales. 

Maze Ransomware group: Los responsables del doxing

A inicios de 2020 se presentó una nueva modalidad relacionada a este ataque informático. Denominada como doxing. Consiste en robar los datos confidenciales de las organizaciones, encriptarlos y amenazar con hacerlos públicos, a menos que se pague el rescate. 

Esta práctica tiene por finalidad aumentar la presión sobre los cargos empresariales, ya que no solo se trata de recuperar la información cifrada, sino también evitar que los datos robados se hagan públicos.

Es posible que los delincuentes informáticos hayan ideado esta nueva práctica debido al auge de Backup as a Service como la mejor forma de responder a un cifrado de información. 

Los operadores del Ransomware “Maze” parecen ser los primeros en haber incorporado esta práctica, siendo una de sus primeras víctimas la empresa de fabricación de alambres y cables Southwire, de la cual se publicó 14 GB de información confidencial

Otro ejemplo de lo peligrosa que es la práctica es el caso del Instituto de Cirugía Plástica de Ashville, que fue hackeado, comprometiendo datos confidenciales de pacientes como:  fechas de nacimiento, detalles del seguro médico, formularios de órdenes de implantes y fotos antes/después. 

Maze y la práctica de doxing pueden marcar el 2020 como el año en que no es suficiente contar con un respaldo de información para afrontar un ataque de Ransomware, ya que aunque la organización recupere sus datos, el filtrado de estos afecta su credibilidad y la privacidad de sus clientes. 

¿Conoces el doxing? Esta práctica ha incrementado la peligrosidad de los ataques de Ranomware este 2020 Click To Tweet

Los ataques de Ransomware y el coronavirus 

Desde el primer trimestre de 2020, la emergencia sanitaria provocada por el virus Sars-Cov-2 impulsó el trabajo remoto de emergencia, por este motivo los ataques de Ransomware estuvieron dirigidos hacia personas naturales empleando aplicaciones como COVID-19 Tracker,  aplicación supuestamente creada para identificar los síntomas de la Covid-19, sin embargo solo encriptaba los datos del usuario exigiendo una recompensa. 

Conoce los ataques informáticos durante la pandemia

Estas ofensivas focalizadas y dirigidas hacia personas naturales marca un nuevo estándar en los ataques de encriptación, debido a que las prácticas de Home Office podrían continuar por un largo periodo de tiempo, puesto que el personal se encuentra aislado y con reducido conocimiento para afrontar este tipo de extorsiones. 

Conclusiones

Hasta la fecha, las mayores preocupaciones del sector corporativo en relación al Ransomware deben proteger a sus colaboradores que se encuentren realizando Home Office, mediante una solución de correo limpio, ya que el Ransomware puede distribuirse como código malicioso adjunto en mensajes de correo electrónico

 Además de esta protección, es recomendable capacitar a su personal en relación a medidas preventivas como evitar descargar aplicaciones no autorizadas 

Otra gran preocupación por su relación con el filtrado de información es la combinación de Ransomware con la amenaza de divulgar información confidencial, debido a las implicaciones legales y de privacidad que esto conlleva. 

Optical Networks pone a disposición de su empresa las soluciones de Sandboxing, una tecnología capaz de aislar, analizar y eliminar ataques de Ransomware antes de que logre contaminar los documentos importantes para su organización, esta tecnología va de la mano de nuestro servicio de Internet seguro logrando la protección que necesita para no ver sus operaciones interrumpidas. 

Send this to a friend