[Octubre Ciberseguridad] Tendencias de Ransomware de este 2020

Por lejos, la amenaza de delito cibernético más disruptiva de este último tiempo han sido las bandas de ransomware. Acá analizamos la mecánica del ataque.

Microsoft indicó que las infecciones de ransomware habían sido la razón más común detrás de los compromisos de respuesta a incidentes (IR) de la compañía desde octubre de 2019 hasta julio de 2020.

Y de todas las bandas de ransomware, son los grupos conocidos como «cazadores de caza mayor» y «ransomware operado por humanos» los que le han dado a Microsoft más dolores de cabeza. Estos son grupos que se dirigen específicamente a redes seleccionadas que pertenecen a grandes corporaciones u organizaciones gubernamentales, sabiendo que pueden recibir pagos de rescate más cuantiosos.

La mayoría de estos grupos operan mediante el uso de la infraestructura de malware, proporcionada por otros grupos de delitos cibernéticos, o mediante el escaneo masivo de Internet en busca de vulnerabilidades recientemente reveladas. Algunas bandas, para asegurarse de que la víctima pague el rescate, o sufra en caso de no hacerlo, han implementado la estrategia de la doble extorsión, esto significa que en caso de no pagar se expone la información privada en un sitio de internet, de este modo la marca sufre una »humillación pública» [descubre más sobre esta técnica en este artículo].

[Relacionado] Evolución del Ransomware al As-a-Service

Imagen: Microsoft

En la mayoría de los casos, los grupos obtienen acceso a un sistema y se mantienen firmes hasta que estén listos para lanzar sus ataques. Sin embargo, Microsoft dice que este año, estas bandas de ransomware han estado particularmente activas y han reducido el tiempo que necesitan para lanzar ataques, y especialmente durante la pandemia de COVID-19.

«Los atacantes se han aprovechado de la crisis de COVID-19 para reducir su tiempo de permanencia dentro del sistema de la víctima – comprometiendo, exfiltrando datos y, en algunos casos, rescatando rápidamente – aparentemente creyendo que habría una mayor disposición a pagar como resultado del brote», anunció la compañía tecnológica.

«En algunos casos, los ciberdelincuentes pasaron de la entrada inicial al rescate de toda la red en menos de 45 minutos».

¿Los ataques de ransomware se pueden detener antes de que comiencen?

En otra arista, una investigación de FireEye mostró que en más de las tres cuartas partes (76%) de los incidentes, los atacantes implementaron el ransomware en una red de víctimas fuera del horario normal de oficina. El veintisiete por ciento de los ataques que estudió el proveedor de seguridad ocurrieron los fines de semana. Aproximadamente la mitad (49%) ocurrió antes de las 8 am o después de las 6 pm los días de semana. Menos de una cuarta parte (24%) tuvo lugar en horario de oficina.

Los atacantes parecen estar favoreciendo las horas de descanso bajo el supuesto de que la respuesta y la reparación serían más lentas. «Cuando el ransomware se ejecuta durante el horario laboral, es más probable que los defensores de la red puedan responder rápidamente, deteniendo potencialmente la propagación del ransomware en una red o previniendo ejecuciones adicionales», dice Vanderlee, gerente de análisis de inteligencia de FireEye.

Ahora bien, sin duda podemos tener en consideración las horas y días de ataque para establecer una serie de parámetros, pero también debemos tener claro que las cepas de ransomware van mutando constantemente dejando un tanto obsoleto cualquier métrica y estandarización que podamos realizar.

Un ejemplo es el ransomware Ryuk. Una investigación reciente arrojó resultados que determinaron que esta cepa es capaz de utilizar una función de hardware para encender dispositivos apagados y así encriptarlos.

En esta nota lo explicamos mejor: Ransomware Ryuk enciende computadores apagados para encriptarlos.

La mayoría de las implementaciones de ransomware tienen lugar tres o más días después de la infección inicial

El número de días transcurridos entre la primera evidencia de actividad maliciosa y la implementación del ransomware osciló entre cero y 299 días (Figura 2). Es decir, los tiempos de permanencia varían bastante y, en la mayoría de los casos, hubo un intervalo de tiempo entre el primer acceso y la implementación del ransomware. Para el 75 por ciento de los incidentes, pasaron al menos tres días entre la primera evidencia de actividad maliciosa y la implementación del ransomware.

Este patrón sugiere que para muchas organizaciones, si las infecciones iniciales se detectan, contienen y solucionan rápidamente, se podrían evitar los daños y costos significativos asociados con una infección de ransomware.

Ciberataques recientes que terminaron en casos mediáticos recientes son:

  • Garmin, empresa que fue víctima del ransomware Wasterlock y que terminaron pagando por el rescate de los archivos. [Ver nota]
  • Hospital alemán: Paciente muere luego que de un ataque de ransomware paralizara los servicios. [Ver nota]
  • Ciberataque a Migraciones Argentinas: Se venció el plazo y se publicó la información robada por un ransomware. [Ver nota]
  • Pandilla de ransomware exige US$7,5 millones a ISP argentino. [Ver nota]
  • Ciberataque de ransomware a Banco Estado en Chile. [Ver nota]