jueves, 13 de septiembre de 2018

Negocios vulnerables pueden paralizarse al ser víctimas de ransomware dirigido



Sophos, firma especializada en ciberseguridad, señala que los cibercriminales han perfeccionado sus ataques y logrado hacerlos más sofisticados a través de una modalidad llamada ransomware dirigido: asaltos que son individualmente más lucrativos que la suma de todos los rescates de WannaCry, más difíciles de detener y más devastadores para sus víctimas que los robos que se basan en el correo electrónico o las trampas para difundirlos.


Los ataques dirigidos pueden bloquear los sistemas críticos de las pequeñas empresas y paralizar a organizaciones completas, tal como lo demostró un reciente ataque SamSam contra la ciudad de Atlanta. SamSam apareció por primera vez en diciembre de 2015 y desde entonces a recaudado más de 6 millones de dólares.


La reciente investigación de Sophos titulada “SamSam: el ransomware de (casi) seis millones de dólares” reveló que la aparente preferencia de SamSam por los sectores sanitario y gubernamental era una ilusión. La mayoría de las víctimas descubiertas en la investigación se encontraban realmente en el sector privado, pero ninguna de ellas se había hecho pública, mientras que algunas de las víctimas del gobierno y la asistencia sanitaria sí.


Así funciona el ransomware dirigido


A través de ataques dirigidos, el criminal ingresa en la red de la víctima y maximiza las posibilidades de que el ransomware tenga éxito, ya que puede bloquear a las pequeñas empresas fuera de los sistemas críticos o detener a organizaciones enteras, tal como sucedió con el malware SamSam.


Los detalles de los ataques dirigidos evolucionan con el tiempo, varían según las preferencias de los criminales y se pueden adaptar a cada objetivo individual. A pesar de eso, muestran una notable similitud en su estructura general:


1.- Obtiene la entrada a través de una contraseña RDP (Protocolo de escritorio remoto) débil.

2.- Aumenta sus privilegios hasta que sean administradores.

3.- Utiliza sus los derechos de acceso para superar el software de seguridad.

4.- Extiende y ejecuta ransomware que encripta los archivos de una víctima.

5.- Deja una nota exigiendo el pago a cambio de descifrar los archivos.

6.- Espera a que la víctima se comunique con ellos por correo electrónico o un sitio de la dark web.


Tres tipos de ransomware dirigido que destacan


De acuerdo a Sophos, Dharma, SamSam y BitPaymer, son tres tips de ransomware dirigido que se consideran enfocados a pequeñas, medianas y grandes empresas respectivamente:


- Dharma


Los ataques de Dharma (también conocido como Crysis) parecen simples, pero muestran más variabilidad y ocurren a una frecuencia mucho mayor que los ataques de SamSam o BitPaymer, lo que puede indicar que el Dharma es utilizado por múltiples grupos.


Una vez que el atacante está dentro de la red de la víctima, colocan el ransomware en uno o más de los servidores de la víctima manualmente. En consecuencia, los ataques a menudo tienen un alcance limitado, afectando sólo a unos pocos servidores.


La mayoría de los ataques de Dharma parece haber afectado a pequeñas empresas de hasta 150 usuarios, aunque no se sabe si esto se debe a una orientación deliberada o simplemente a un efecto secundario de otra cosa.


Los rescates se solicitan por correo electrónico, utilizando una dirección especificada en la nota de rescate, lejos de miradas indiscretas.


- Sam Sam


El patrón de ataques y la evolución del malware SamSam sugieren que es obra de una persona o un grupo pequeño. Los ataques no son frecuentes (alrededor de uno por día) en comparación con otros tipos de ransomware, pero son devastadores.


El criminal parece esperar hasta que las víctimas se duermen antes de desatar el malware en cada máquina infectada al mismo tiempo, dando a la víctima poco tiempo para reaccionar o priorizar y potencialmente paralizando su red.


Una nota de rescate exige el pago de unos 50 mil en bitcoins y dirige a las víctimas a un sitio de la dark web. Cada víctima tiene su propia página en el sitio donde puede hacer preguntas al atacante y recibir instrucciones sobre cómo descifrar sus archivos.




- BitPaymer


El malware más misterioso y sofisticado de la lista de Sophos es BitPaymer. Poco se sabe sobre este elusivo malware o cómo se implementa. Lo que parece cierto es que este ransomware 'high-end' ha recaudado una gran cantidad de dinero para sus creadores. Se han informado demandas de rescate de seis cifras de hasta 500 mil dólares y el análisis de las direcciones conocidas de Bitcoin muestra que se ha recaudado al menos un millón de dólares en el último mes.


Las notas de rescate contienen direcciones de correo electrónico en proveedores de correo electrónico seguros, pero el método para acordar el pago varía: algunos simplemente incluyen la dirección de Bitcoin, mientras que otros ofrecen una URL en la dark web, como SamSam. En algunos casos, las víctimas también han sido amenazadas con doxing (publicación online de información privada o identifican de un individuo u organización).




¿Qué hacer?


Los ataques dirigidos pueden ser relativamente sofisticados, pero los delincuentes que los respaldan no buscan un desafío, están buscando organizaciones vulnerables. La mejor forma de salir de la lista de un atacante es cumplir con reglas básicas: bloquear RDP y seguir un protocolo de parches estricto para los sistemas operativos y las aplicaciones que se ejecutan en ellos.


Si un atacante ingresa a la red, es necesario asegurarse de que se encuentre con capas de defensas superpuestas, una red bien segmentada, derechos de usuario asignados según las necesidades y mantener copias de seguridad fuera de línea y de su alcance.

No hay comentarios.:

Publicar un comentario