En este articulo explicaremos de manera breve qué es Ransomware, cómo opera y su rol en la actualidad. Además, conozca qué fue lo que ocurrió en Costa Rica la semana del 17 de abril y cómo prepararse ante este tipo de ataque cibernético.
¿Qué fue lo que ocurrió la semana del 17 de abril de 2022 en Costa Rica?
Desde la noche del domingo 17de abril del 2022, varias entidades públicas costarricenses fueron atacadas por medio del Ransomware Conti. El grupo Conti, la organización que clama responsabilidad de estos ataques, reclama la suma de $10 millones en cambio no publicar la información robada.
El gobierno de Costa Rica confirmó el robo de datos confidenciales como declaraciones de renta, reportes de utilidades, e información sobre impuestos.
Esto no es evento aislado, ya que en promedio solamente el gobierno costarricense recibe más de 6 mil ataques mensuales. Se espera que el análisis forense esté listo el próximo viernes.
El Grupo Conti y el auge de Ransomware as-as-Service (RaaS)
El grupo Conti, es una de las organizaciones de cibercrimen y extorsión más importante de los últimos dos años.
Durante el 2021, este grupo de hackers basados en Rusia generó ganancias por más de 180 millones de dólares. Mientras, que el pago promedio de rescate fue $ 520,559.
Este grupo brinda servicios de “Ransomware as-a-Service” (RaaS). Utilizando la Darkweb, Conti ofrece sus servicios de Malware a organizaciones criminales a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates.
Además, son conocidos por también incorporar el método de extorsión “Pagar o publicar”. Una vez alertada la víctima, los cibercriminales amenazan con publicar o vender datos. Tal fue el caso que ocurrió con las bases de datos del gobierno de Costa Rica.
Conti es un grupo de herramientas de Malware, los cuales buscan el acceso inicial a la red, ejecutar comandos remotos, obtener más permisos, evadir los mecanismos de defensa dentro de la red y pueden pasar desapercibidos hasta por meses. Una vez adentro de la red, realizan descubrimientos para encontrar archivos confidenciales y servicios, luego obtienen acceso a credenciales, para así tener movimiento lateral y finalmente encriptar datos.
Conti en los dos últimos años, ha atacado empresas y organizaciones tanto grandes como pequeñas.
La industria medica recibió durante la pandemia gran parte de estos ataques y fueron forzados muchas veces a pagar el rescate de los datos sensibles de los pacientes.
Sin embargo, cada vez más empresas pequeñas están siendo atacadas, ya que muchas en esta categoría tienen el falso concepto que, al ser una pequeña empresa, están exentas de ser atacadas. Sin embargo, organizaciones como Conti, aprovechan la poca inversión en ciberseguridad y realizan cada día más, este tipo de micro extorsión y muchas organizaciones pequeñas pueden estar siendo afectadas al mismo tiempo.
El ransomware como servicio (RaaS) fue el modelo más utilizado durante el 2021, ya que dos de cada tres ataques fueron lanzados utilizando este esquema.
Muchas empresas no tienen otra alternativa más que pagar para restaurar sus servicios y las organizaciones criminales invierten cada vez más dinero en este tipo de negocio. Conti se encarga desde contactar a la víctima, negociar, extorsionar, rentar infraestructura y hasta brindar servicio al cliente para atender dudas y comprobar que ellos son los que tienen los archivos.
¿Qué es Ransomware y cómo opera?
El Ransomware es un tipo de Malware el cual encripta archivos, bases de datos, discos duros y les quita el acceso y los permisos a los administradores.
Luego la organización criminal se encarga de extorsionar a la empresa a cambio de entregar de regreso sus archivos y/o publicarlos. Muchas veces las copias de seguridad de la misma empresa son comprometidas, por lo cual, no queda otra opción que pagar por el rescate.
En particular, el ransomware Conti tiene capacidades como:
- Capacidad de encriptación avanzada que incluyen 32 subprocesos de cifrado simultáneos para un cifrado más rápido.
- Técnicas de anti-detección que le permite ocultar las llamadas a la API, utilizadas por el propio ransomware.
- Capacidad para infectar archivos en la red usando Server Message Block (SMB).
Existen muchas formas de cómo un Ransomware puede ingresar a una organización; el método más común es mediante el uso de Phishing, en el cual un usuario descarga un archivo malicioso que se le envía por correo. Los ataques de ransomware contra dispositivos móviles también han aumentado recientemente.
Otra forma que el ransomware entra a las organizaciones es utilizando vulnerabilidades en sus servicios, ataques de día cero, o aprovechándose de sesión de escritorio remoto sin seguridad para obtener acceso.
Se ha llegado a pagar un rescate de Ransomware hasta 40 millones de dólares.
Los ataques de Ransomware no solo suceden por motivos económicos, sino también está siendo utilizado como un arma geopolítica. Muchas veces, el atacante no busca un rescate, sino inhabilitar infraestructura eléctrica, militar y hasta nuclear. Conforme el conflicto en Europa se desarrolle, es posible que estos tipos de ataques sean cada vez más utilizados.
Si quiere saber más sobre Ransomware, descargue acá gratis el libro “Ransomware Defense for Dummies”.
Consejos para prevenir y mitigar un ataque de Ransomware
El gobierno de Costa Rica ha advertido a empresas que podrían ser próximo blanco de ‘hackeo’. Tanto empresas públicas como privadas, de cualquier tamaño o industria, tienen que prepararse ante la posibilidad de un posible ataque, ya que nadie está exento. La prevención es la única herramienta contra estos ataques.
Los días de un modelo clásico de seguridad de firewall y un antivirus, se acabaron. Hoy en día, se requiere tener una arquitectura holística de ciberseguridad. Es necesario asegurar el acceso seguro a usuarios y a aplicaciones.
Para poder prevenir y mitigar un ataque de Ransomware recomendamos:
- Crear un plan de contingencia y continuidad de negocio.
- Tener protección a nivel de DNS para prevenir que las amenazas ingresen en el primer lugar.
- Otorgar a los usuarios siempre la menor cantidad de permisos y accesos posibles.
- Hacer copias de seguridad de los datos críticos utilizando diferentes mecanismos de backup.
- Implementar medidas de protección de contraseñas.
- Estar constantemente actualizando con la última versión y parches de seguridad tanto los sistemas operativos y aplicativos que se utilizan en una organización.
Si desea saber más sobre cómo proteger su empresa contra este tipo de amenaza, por favor no dude en contactarnos y será un gusto poder ayudarlo. Contamos con un robusto equipo de expertos los cuales pueden ayudarle a construir una solución de ciberseguridad a la medida y de acuerdo con las necesidades de su organización.