Los analistas de Kaspersky Lab han descubierto una nueva y alarmante tendencia: cada vez más cibercriminales están desviando su atención desde usuarios privados hacia ataques de ransomware contra empresas. Se han identificado al menos ocho grupos involucrados en el desarrollo y distribución de ransomware de cifrado. Los ataques han afectado principalmente a organizaciones financieras de todo el mundo. Los expertos de Kaspersky Lab han encontrado casos en los que las solicitudes de pago ascendieron a más de 470.000 euros.
Los ocho grupos identificados incluyen a los autores de PetrWrap, que han atacado a organizaciones financieras de todo el mundo, el grupo Mamba y seis grupos más que también se dirigen a usuarios corporativos. Cabe señalar que estos seis grupos han estado involucrados en ataques dirigidos, principalmente a usuarios privados, y usaron modelos de programas de afiliados. Ahora, han reorientado sus esfuerzos hacia las redes corporativas.
Según los analistas de Kaspersky Lab, el motivo de esta tendencia es claro: los ciberdelincuentes consideran que los ataques de ransomware dirigidos contra empresas son potencialmente más rentables que los ataques masivos a usuarios privados. Un ataque de ransomware exitoso contra una empresa puede detener fácilmente sus procesos de negocio durante horas o incluso días, lo que hace más probable que los propietarios de las empresas afectadas paguen el rescate.
En general, las tácticas, técnicas y procedimientos utilizados por estos grupos son muy similares. Infectan la organización con malware a través de servidores vulnerables o lanzan correos electrónicos de phishing. Luego establecen persistencia en la red de la víctima e identifican los recursos corporativos valiosos para cifrarlos, solicitando posteriormente un rescate a cambio del descifrado. Además de sus similitudes, algunos grupos tienen sus propias características únicas.
Por ejemplo, el grupo Mamba utiliza su propio malware de cifrado, basado en el software de código abierto DiskCryptor. Una vez que los ciberatacantes ganan un punto de apoyo en la red, instalan el cifrador usando un recurso legal para el control remoto de Windows. Este enfoque hace que las acciones sean menos sospechosas para los responsables de ciberseguridad de la empresa seleccionada. Los analistas de Kaspersky Lab han encontrado casos en los que el rescate ascendió a un bitcoin (alrededor de 940.000 euros hasta finales de marzo de 2017) por cada endpoint descifrado.
Otro ejemplo único de herramientas utilizadas en ataques de ransomware dirigidos viene de PetrWrap. Este grupo se dirige principalmente a grandes empresas que cuentan con un gran número de nodos. Los cibercriminales seleccionan cuidadosamente los blancos para cada ataque que puede durar bastante tiempo: PetrWrap ha conseguido “persistir” en una red hasta 6 meses.
“Todos debemos ser conscientes de que la amenaza de los ataques de ransomware dirigidos a las empresas está aumentando. Hay muchos más objetivos potenciales de ransomware y las consecuencias de estos ataques son cada vez más desastrosas“, afirma Anton Ivanov, analista de seguridad senior, Anti-Ransom, Kaspersky Lab.
Con el fin de proteger a las organizaciones contra estos ataques, los expertos en seguridad de Kaspersky Lab aconsejan lo siguiente:
- Realiza una copia de seguridad de los datos para que puedan restaurarse los archivos originales después de un incidente de pérdida de datos.
- Utiliza una solución de seguridad con tecnologías de detección basadas en el comportamiento. Estas tecnologías pueden capturar malware, incluyendo ransomware, viendo cómo funciona en el sistema atacado y haciendo posible detectar muestras nuevas y desconocidas de ransomware.
- Visita el sitio web “No More Ransom”, una iniciativa conjunta con el objetivo de ayudar a las víctimas de ransomware a recuperar sus datos cifrados sin tener que pagar a los criminales.
- Haz una auditoría del software instalado, no sólo en los endpoints, sino también en todos los nodos y servidores de la red y mantenlo actualizado.
- Realiza una evaluación de seguridad de la red de control (es decir, una auditoría de seguridad, pruebas de penetración, análisis de brechas) para identificar y eliminar las lagunas de seguridad.
- Revisa las políticas de seguridad de proveedores externos y de terceros en caso de que tengan acceso directo a la red de control.
- Solicita inteligencia externa: la inteligencia de proveedores acreditados ayuda a las organizaciones a predecir futuros ataques a la compañía.
- Capacita a tus empleados, prestando especial atención al personal de operaciones y de ingeniería para que sean conscientes de las recientes amenazas y ataques.
- Proporciona protección dentro y fuera del perímetro. Una estrategia de seguridad adecuada tiene que dedicar recursos significativos a la detección de ataques y la respuesta con el fin de bloquear un ataque antes de llegar a objetos de importancia crítica.