La escalada de ataques mediante ransomware. Cmo defendernos de esta grave amenaza 134x3n

Durante los ltimos meses hemos visto como en todo el mundo istraciones pblicas de todo tipo y empresas, incluso grandes, se han visto seriamente afectadas por ciberataques cuyo efecto final ha sido el secuestro de los datos y la peticin de una cantidad, normalmente en bitcoins, con la promesa no siempre cumplida, de si se paga, se recuperarn los datos secuestrados y que no se publicarn, cuando adems, han sido robados previamente.

Como ocurre con otros tipos de ciberataques, los ciberdelincuentes intentan ir mejorando sus tcticas, tcnicas y procedimientos, con la finalidad de hacer ms dao y maximizar sus beneficios. De esta forma, uno de los ataques que se est poniendo de moda es el que se est llevando a cabo mediante una terna de malware denominada EMOTET, TRICKBOT y RYUK, que adems est evolucionando para hacer ms dao.

Lo ms disruptivo de los nuevos ataques por ransomware, como hemos comentado, es que adems de secuestrar la informacin, el atacante tambin roba todos los datos en previsin de que la vctima decida no pagar, ya sea por disponer de copias de seguridad de los datos secuestrados, o simplemente, por no querer pagar el rescate, que es lo que se recomienda hacer en estos casos. De esta forma, si el no paga el rescate, el atacante publicar dichos datos en Internet, con todo lo que ello implica, si se trata de informacin sensible, datos personales, informacin de I+D+i, etc.

Tras la intensificacin en los ltimos meses de los ataques de ransomware que tienen su origen en el troyano EMOTET, el CCN-CERT public una alerta el pasado da 20 de enero sobre la intensificacin de la campaa(1).Asimismo, la CISA (Cybersecurity & Infrastructure Security Agency) de los EEUU, alert del mismo problema el pasado 22 de enero mediante otra alerta (2)demostrando la peligrosidad y la naturaleza global de esta amenaza.

(1)https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/9403-ccn-cert-al-02-20-repunte-de-la-campana-de-emotet.html

(2)https://www.us-cert.gov/ncas/current-activity/2020/01/22/increased-emotet-malware-activity

Estos ataques comienzan normalmente mediante la recepcin de un correo electrnico con un enlace o un archivo malicioso que infecta el equipo con el troyano EMOTET. Es decir, que se trata de ataques especialmente dirigidos a una determinada organizacin que el atacante considera rentable o interesante atacar. El atacante siempre aplica tcnicas de ingeniera social en sus correos maliciosos, en los que suele apelar a sentimientos de miedo, urgencia, enfado, curiosidad, morbo o compasin, con la intencin de engaar al para que haga click en un enlace, o que abra o ejecute un archivo que infecta el equipo. Por ejemplo, en ataques recientes realizadosen Japn, se ha usado el miedo al coronavirus para engaar a los s e infectar sus equipos con ransomware(3).

(3)https://defensa.noticiascatarinenses.com/omicrono/20200131/coronavirus-informatico-hackers-aprovechan-epidemiainfectardispositivos/463953911_0.html

Como tambin hemos comentado antes, el malware est evolucionando para hacer ms dao a los s. Dado que en ocasiones el malware inicia el secuestro de los datos (cifrado de datos) fuera del horario del trabajo con la intencin de que el no pueda hacer nada para evitarlo, entre las recomendaciones contra el ransomware se suele encontrar la de apagar los equipos fuera del horario de trabajo. Sin embargo, el malware Ryuk ha evolucionado para hacer uso una funcionalidad denominada wake on lan, que, si se encuentra activada en la BIOS, permite arrancar los equipos conectados a la red de la empresa mediante una seal que reciben a travs de la misma(4). Es decir, que un equipo infectado y encendido, puede arrancar el resto de los equipos conectados a la red de la empresa para iniciar el cifrado de la informacin de dichos equipos fuera del horario de trabajo.

(4)https://www.bleepingcomputer.com/news/security/ryuk-ransomware-uses-wake-on-lan-to-encrypt-offline-devices/

De qu cifras estamos hablando?

Un informe reciente de Panda antivirus muestra que el 71% de los ataques por ransomware se dirigen a PYMES(5). Hay estudios muy prudentes, que cifran en unos 30.000 euros el coste medio de un ciberataque a una PYME(6). Lo cierto es que hay un elevado nmero de PYMES no sobreviven a un ciberataque por los daos reputacionales y econmicos derivados del mismo. Hay informes que estiman que el 60% de las PYMES cerrarn en los 6 meses posteriores a un ciberataque(7).

(5)https://www.pandasecurity.com/spain/mediacenter/empresas/ciberseguridad-pymes-ransomware/

(6)https://cincodias.defensa.noticiascatarinenses.com/cincodias/2020/01/27/pyme/1580162141_324399.html

(7)https://futurelatam.inese.es/el-60-de-las-pymes-afectadas-por-un-ciberataque-cierra-en-6-meses/

Cmo nos podemos defender de esta grave amenaza?

Con estos datos, es mejor prevenir que curar. Ya no basta con disponer de copias de seguridad fiables y actualizadas para solventar el problema sin tener que pagar, Ahora existe el riesgo de una brecha de datos, que hay que mitigar y valorar.

Para defendernos de un ciberataque mediante un ransomware moderno debemos hacer lo siguiente como mnimo:

1. Mantener todos los sistemas, navegadores, aplicaciones y sistemas de seguridad con soporte de los fabricantes y actualizados en todo momento.
2. Aplicar unas configuraciones de seguridad adecuadas a todos los sistemas (plantillas de seguridad del Esquema Nacional de Seguridad(8), desactivar funcionalidades que no se usan o que son peligrosas, activar protecciones del sistema operativo(9), tener una buena poltica de contraseas, segmentar la red, etc).
3. Usar sistemas antispam en el correo de la organizacin.
4. Bloquear Javascript en el navegador.
5. No activar las macros en las suites ofimticas como MS Office con archivos descargados de Internet o recibidos por correo electrnico.
6. Mostrar siempre la extensin para los tipos de ficheros conocidos.
7. No usar nunca los sistemas como .
8. Fomentar una cultura de ciberseguridad en la organizacin, formando y concienciando al personal de la organizacin en ciberseguridad y actualizar dicha formacin, con los cambios en las amenazas y en las tcticas, tcnicas y procedimientos usados por los atacantes.
9. Usar unos sistemas de seguridad adecuados a las amenazas (cortafuegos, antimalware con capacidad de deteccin de amenazas no conocidas, etc).
10. Realizar copias de seguridad frecuentes, no mantenerlas conectadas a los sistemas permanentemente y probar que funcionan adecuadamente.
11. Disponer de Plan de Continuidad de Negocio.(10)
12. Contratar un seguro de ciber riesgos que garantice la supervivencia de la organizacin.

(8)https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-nacional-de-seguridad.html