Dependencias de gobierno y organizaciones están expuestas a nuevos ataques de ransomware provocados por LockBit y sus afiliados
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
La unidad de investigación de SILIKN ha emitido una alerta a los usuarios de TeamViewer por la detección de diversos casos de implementación de ransomware a través de esta herramienta.
TeamViewer es una aplicación de software que permite la conexión remota entre computadoras, facilitando la asistencia técnica, el soporte y la colaboración a distancia. Con TeamViewer, un usuario puede controlar de forma remota la computadora de otro usuario como si estuviera sentado frente a ella. Esta herramienta es ampliamente utilizada para resolver problemas técnicos, brindar soporte técnico, realizar presentaciones remotas, colaborar en proyectos a distancia y realizar otras tareas que requieran acceso remoto a una computadora.
En este sentido, se identificado que los grupos atacantes forman parte de los asociados de LockBit, grupo cibercriminal que opera bajo el formato de ransomware como servicio (RaaS), un modelo de negocio en el que el grupo desarrolla el ransomware y luego lo vende o alquila a otros ciberdelincuentes, que son los que realizan los ataques. Es así como LockBit y sus afiliados están haciendo uso de TeamViewer para desplegar ransomware, al mismo tiempo que utilizan el acceso conseguido para realizar actividades de reconocimiento más allá de los sistemas afectados y para moverse lateralmente a otros dispositivos dentro de la infraestructura.
LockBit se originó en noviembre de 2019 y rápidamente se ha convertido en uno de los grupos de ransomware más prolíficos del mundo. El grupo ha atacado a una amplia gama de objetivos, incluidas empresas, organizaciones gubernamentales y hospitales. En México ha vulnerado organizaciones como: Colchones Wendy, Consultores e Investigadores en Administración, Transportes Castores, Altezze, Ragasa Industries, Grupo Saenz, Gobierno Municipal de Macuspana Tabasco, Siegfried Rhein México, TEC Electrónica, Vuteq Industries México, ITS Customs Services, Ayuntamiento de Juárez Chihuahua, Financiera Reyes, Aeropuerto Intercontinental de Querétaro, Asociación de Normalización y Certificación ANCE, Avante Textil, SGS Seamless Global Solutions, IGSA, Dalkia, Veolus, Grupo Carone y Cydsa, entre otras.
Los ataques de LockBit suelen seguir un patrón similar. El grupo primero obtiene acceso a la red de la víctima a través de una vulnerabilidad de seguridad o un error humano. Una vez que tienen acceso, instalan el ransomware en los sistemas de la víctima. El ransomware luego cifra los archivos de la víctima y muestra una nota de rescate exigiendo un pago en criptomonedas a cambio de una clave de descifrado.
En 2022, LockBit fue responsable de más de 200 ataques, lo que le valió el título de grupo de ransomware más activo del año. El grupo también fue responsable de algunos de los ataques de ransomware más costosos de la historia, incluido un ataque a un proveedor de servicios de TI estadounidense que costó a la víctima más de 10 millones de dólares.
El grupo LockBit es muy difícil de rastrear. Los investigadores creen que el grupo está dirigido por un equipo de ciberdelincuentes con experiencia que operan desde Rusia. Sin embargo, el grupo también tiene afiliados en otros países, incluidos Estados Unidos, Europa y Asia.
Por lo anterior, algunas de las dependencias de gobierno que están expuestas a este tipo de ataque y a las cuales se les invita a establecer medidas de prevención, son:
Instituto Estatal de la Educación para los Adultos de Campeche.
Casa de Moneda de México.
Servicios de Educación Pública del Estado de Nayarit.
Tribunal de Justicia Administrativa del Estado de Sinaloa.
Secretaría de Salud del Estado de Sonora.
Pensiones Civiles del Estado de Chihuahua.
Transparencia del Gobierno Municipal de Guadalajara.
Instituto Mexicano de la Propiedad Industrial.
Secretaría de Salud de Baja California Sur.
Gobierno del Estado de Jalisco.
Dirección de Catastro de la Secretaría de Finanzas de Tabasco.
Plaza Pública del Gobierno de la Ciudad de México.
Gobierno Abierto del Ayuntamiento de la Ciudad y Puerto de Veracruz.
Instituto para el Desarrollo Técnico de las Haciendas Públicas, Guadalajara, Jalisco.
Para más información, visite: https://www.silikn.com/