El aumento de ataques de ransomware en 2020 está relacionado con el teletrabajo

ESET advierte que el ransomware fue una de las amenazas más activas durante 2020.

La compañía analizó los detalles y explica que esto se debió al incremento del teletrabajo y a que el ransomware evolucionó, haciéndose más efectivo.

Durante 2020, las bandas que operan las distintas familias de ransomware dejaron atrás las campañas masivas y al azar esperando que alguna víctima se infecte y que pague rescate para recuperar su información.

Apuntaron a varias industrias, al sector de la salud y a organismos gubernamentales a nivel global.

Llevaron adelante ataques en los que secuestraron mediante cifrado los archivos en los equipos comprometidos, con nuevas estrategias para demandar el pago de un rescate.

En qué consistieron los ataques de ransomware

El robo de información previo al cifrado de los archivos y la posterior extorsión bajo la amenaza de publicar, vender o subastar los datos confidenciales robados fue una metodología observada por primera vez a fines de 2019 y que se consolidó en 2020.

El objetivo es agregar un plan B a la estrategia de solo cifrar los archivos y demandar el pago de un rescate para devolver el acceso.

Con este nuevo método, adoptado por varias familias de ransomware, los criminales aumentan la posibilidad de monetizar los ataques al contar con otro instrumento para presionar a las víctimas y que se decidan a pagar.

Supuestamente de esta manera evitarán la divulgación de la información robada y recuperarán el acceso a los datos.

“Esta técnica requiere que el atacante invierta bastante tiempo, ya que necesita acceso a la red, desplazarse sin ser detectados hasta identificar los datos confidenciales y extraer una copia de información para guardar en su propio entorno”, explicó Tony Anscombe de ESET.

Hay un trabajo de persistencia de los atacantes una vez que están dentro de la red con la intención de recolectar información y también credenciales adicionales para asegurarse el acceso a la red.

Ransomware en la red de teletrabajo

Muchos grupos de ransomware dedican tiempo para realizar un trabajo de inteligencia en busca de comprender qué datos son valiosos e identificar información sensible.

En caso de que filtre o comprometa esta información provocarán daños a la empresa u organización, agregó el especialista.

El aumento de los ataques dirigidos de ransomware también se explica en el modelo de negocio del ransomware as-a-service (RaaS).

En el RaaS, algunos actores desarrollan estos códigos maliciosos y los ofrecen en la dark web para asociarse con afiliados que se encargará de la distribución del ransomware y luego dividirán las ganancias.

Estas familias de ransomware muchas veces operan durante algún tiempo y cesan sus actividades, dando lugar a la creación de otros grupos de ransomware que adquieren el código fuente y le añaden en algunos casos variaciones.

Egregor, por ejemplo, es un ransomware que surgió en septiembre de 2020 y que opera bajo este modelo de negocio.

Advertencias por los ataques de Ransomware

Recientemente el FBI publicó un comunicado en el que advierte a compañías de todo el mundo sobre los ataques de este ransomware y su creciente actividad.

Egregor comenzó a operar poco después de que el ransomware Maze anunciara el cese de sus actividades.

Según dijeron actores de amenazas a BleepingComputer, esto provocó que muchos afiliados a Maze pasarán a trabajar con Egregor como RaaS.

La aceleración de la transformación digital provocada por la pandemia obligó a muchas empresas y organizaciones al teletrabajo en 2020.

Esto dejó a las oficinas que están preparadas con los mecanismos de seguridad necesarios para proteger el perímetro de una organización, sin capacitar a las personas acerca de las buenas prácticas de seguridad.

Tampoco se brindó en muchos casos la infraestructura necesaria para trabajar de manera segura.

Según una encuesta realizada por ESET en plena pandemia, solo el 24% de los usuarios dijo que su empleador le brindó las herramientas de seguridad necesarias para trabajar remotamente.

Mientras que el 42% de los participantes aseguró que su empleador no estaba preparado para hacer frente al teletrabajo.

Muchas personas teletrabajando equivale a muchos dispositivos, distintas redes, en distintas ubicaciones, y con profesionales —e incluso empresas—.

Estas, en el apuro o por desconocimiento no lograron implementar un plan para trabajar remotamente de manera segura.

Este escenario provocó un aumento en la superficie de ataque.

Ransomware ataca al teletrabajo

Según datos de una encuesta realizada por ESET en diciembre pasado, el 87.67% de los participantes opinó que los cibercriminales han visto una oportunidad en el incremento del teletrabajo en el 2020.

Consultados si creen que las empresas y las entidades gubernamentales están preparadas para lidiar con ataques de ransomware a sus terminales en teletrabajo en 2020, el 67.76% opinó que apenas unas pocas empresas lo están.

El 50.96% considera que solo unas pocas entidades gubernamentales cuentan con las capacidades.

Si un usuario abre un correo de phishing dirigido y hace clic en un enlace o abre un archivo adjunto, su equipo será comprometido con un malware que puede descargar otro código malicioso como un ransomware.

Si luego accede a la red corporativa conectándose al servicio VPN que la empresa o la entidad gubernamental le brinda, el atacante tendrá acceso a la red y podrá moverse lateralmente para recolectar información.

También va a buscar otras credenciales de acceso que le den permiso de administrador para distribuir el ransomware dentro de la red.

El uso del protocolo de escritorio remoto (RDP) ha sido uno de los mecanismos más utilizados para lanzar ataques de ransomware aprovechando también el uso de contraseñas débiles.

Si bien los distintos grupos de ransomware utilizan diferentes vectores de ataque para distribuir la amenaza, varios reportes coinciden en decir que el RDP ha sido el vector de intrusión más utilizado por ataques de ransomware durante 2020.

La advertencia de ESET contra el Ransomware

En el primer trimestre del 2020 ESET reportó el aumento de los intentos de ataque al RDP mediante fuerza bruta a nivel global; un aumento que en América Latina para el mes de noviembre había sido del 141%.

Los picos del ataque llegaron hasta los 12 mil intentos de ataque diarios al protocolo.

Una vez que el atacante logra comprometer la seguridad mediante el RDP puede realizar distintos tipos de actividades maliciosas dentro de los sistemas.

ESET mencionan que esto no impide a las organizaciones a operar de manera remota, sino que deberán dedicar tiempo y recursos para capacitar a los usuarios de manera que cuenten con más herramientas.

Los colaboradores en teletrabajo durante el 2020 estarán mejor preparados para lidiar con las distintas amenazas y riesgos en Internet.

Recomiendan como pasos básicos el acompañar la educación de los usuarios con la adecuada tecnología, el uso de una VPN, la realización de backups de forma periódica.

ESET recomienda una política de actualizaciones para corregir vulnerabilidades, la implementación de la autenticación multifactor y de estrategias de seguridad como el principio del menor privilegio y de la mínima exposición.

Por otra parte, es recomendable que las organizaciones evalúen los mecanismos de accesibilidad a la información y cuáles son las formas que puede tener un atacante para llegar a estos datos.

“Pagar el rescate no es la opción recomendada. Por un lado, porque nada asegura que la víctima recuperará los archivos cifrados y tampoco que los criminales no divulgarán los datos robados.

Además, de esta manera se está financiando el ciberdelito y colaborando para que continúen los ataques”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Para más información, ESET acerca la guía de ransomware; un documento que explica todo sobre este tipo de código malicioso.

Además, comparte el kit Anti-Ransomware con información sobre la amenaza y medidas de prevención: https://www.eset-la.com/kit-Antiransomware