Lecciones aprendidas de más de 100 casos de ransomware

08/06/2023

Lecciones aprendidas de más de 100 casos de ransomware
Diseñado por Freepik

Por Imelda FloresHead of SCILabs, Scitum

Los países de América Latina y el Caribe son el laboratorio perfecto para los atacantes de ransomware, señaló Imelda Flores durante su presentación en LACNIC 39. Esto se debe a  que la región cuenta con muchos equipos legados o viejos, lo que la convierte en  el lugar ideal para los ataques, ya que los hackers saben que en caso de un ataque no habrá una respuesta contundente. La fragilidad de la región en ese aspecto ha permitido que sea objeto de técnicas de ataques que se prueban por primera vez en el mundo para hacer más dolorosos los ataques de ransomware, informó Flores.

Imelda Flores dirige el equipo de SCILabs en Scitum-Telmex, donde atienden incidentes de seguridad globalmente, automatizan operaciones de seguridad complejas, realizan tareas de ciberinteligencia y coordinan las investigaciones sobre malware avanzado y campañas que afectan a la región.

Durante el Foro Técnico de LACNIC, la experta habló sobre la respuesta a más de 100 incidentes de ransomware en la Latinoamérica que el equipo de SCILabs  ha respondido.

JOYA DE LA CORONA. La especialista en seguridad alertó que los atacantes de ransomware aman el uso de cuentas válidas para acceder a las organizaciones, ya sea que las usen en escritorios remotos expuestos a internet, en VPNs sin MFA (Múltiple factor de autenticación), en aquellos Citrix que no están detrás de un Firewall, pero también en otras ocasiones abusan de equipos vulnerables en Internet. Una vez en el interior de la organización, los atacantes buscan escalar privilegios y llegar al directorio activo. “Hoy la joya de la corona de las organizaciones es el directorio activo”, señaló Flores. Los atacantes encontraron que es el punto neurálgico de toda organización, y que en el momento en que se cae el directorio activo, se cae prácticamente cualquier operación.De ahí se pueden mover al storage, a la base de datos, a otros directorios activos, o hacia donde quieran”, relató.

Una vez que llegan a una base de datos o a un lugar donde tienden a extraer información, y posteriormente cifran todos los equipos críticos de la organización. Ante esto son muchas las organizaciones que pagan, pero no para que les devuelvan la llave de cifrado, sino para que la información robada no se haga pública.

EN SIMULTÁNEO. “Hemos detectado que pasa entre una y dos semanas desde que entran los atacantes a un sistema y ejecutan un ataque de ransomware”, señaló Flores. Puede haber un atacante interesado en ransomware en una organización y al mismo tiempo existir otras amenazas. Hay ocasiones en la que hemos visto dos o tres tipos de atacantes en el mismo lugar, en el mismo servidor, al mismo tiempo, pero con objetivos diferentes” agregó.

Al lanzar el ramsonware los atacantes procuran hacer simultáneamente una limpieza ¿Por qué? Para dificultar el trabajo de quienes se dedican a investigar este tipo de ataques. Encontrar el artefacto que hizo el cifrado es muy importante para entender cómo se da el ataque, desde donde se distribuye el ransomware y que otros equipos están comprometidos.

PAÍSES AFECTADOS. Según los datos del informe publicado por SCILabs de Scitum-Telmex, Brasil, México y Argentina lideraron el ranking de ataques con ransomware durante el último semestre de 2022 .

En relación al tipo de ransomware utilizado por los atacantes en la región, el estudio detectó varias familias muy activas: Lockbit 3.0 (50%de los ataques), Blackbit (7%) y Blackcat (7%).

Flores admitió que varias familias de ransomware se disputan el territorio de alcance de LACNIC. También comentó que existen quiénes desarrollan manuales de cómo entrar a una organización y otros que pueden trabajar con dos o más ransomware al mismo tiempo, a estos últimos se les llama afiliados. “Lo más común -agregó- es que el 25% de lo obtenido del pago de rescate se lo lleve el desarrollador y el 75% el que ejecutó el ataque”.

NO POR DEPORTE. La industria de servicios, los gobiernos, el sector financiero, la hotelería y mucha industria de manufactura son las organizaciones preferidas por los atacantes de ransomware, según lo observado por SCILabs en Scitum-TELMEX (ver gráfica). El ransomware va a dónde pueda causar suficiente dolor para que la organización pague el rescate. “No atacan por deporte”, destacó Flores.

LECCIONES APRENDIDAS. Flores detalló una serie de lecciones aprendidas en la carrera contra los atacantes.

  1. En primer lugar señaló que la reacción inicial no debe tratarse al evento como un sprint. “Es una maratón. Solo la investigación lleva entre cuatro y seis semanas. La recuperación va a llevar varios días, semanas y hasta meses. Por eso les decimos que envíen a una parte del personal a dormir porque la recuperación será larga. En dos días no se van a tener respuestas aún de cómo se dio todo el ataque”, afirmó la experta.
  2. En segundo lugar afirmó que las organizaciones no priorizan la investigación del origen del ataque. Hay varios caminos a la hora de enfrentar un ransomware. Uno tiene que ver con la investigación, y ahí la carrera es encontrar los artefactos maliciosos, que dan idea de cómo actuó el atacante. Otro camino es la recuperación, que puede llevar desde días hasta meses.
  3. Un tercer punto importante es la comunicación. Flores afirmó que en América Latina a las organizaciones atacadas actuan como si nada hubiera pasado, sin embargo, dijo que se debe actuar en contrario y la transparencia hacia los empleados y hacia afuera es muy importante. “Uno de los clientes que atendimos nos pidió de manera específica un documento que explicara el vector de ataque que experimentó, los indicadores de compromiso y poner recomendaciones. Se acercó a sus clientes más importantes y les explicó que fue comprometido y mostró cómo sucedió. Este cliente ganó muchos más negocios por la confianza”, ejemplificó.

Siempre hay filtración de información aunque no haya evidencia de que se exfiltró. La experiencia en todos los casos de ransomware estudiados por el equipo de SCILabs es que el atacante extrae información. “Aunque no haya evidencia, lo más probable es que haya habido exfiltración”. Los ataques más destructivos suceden fines de semana y los días festivos justamente cuándo las organizaciones tienen la guardia más baja.

Enfatizó en que la preparación es clave y es muy factible minimizar el riesgo. “No quiere decir que no va a suceder, pero practicar qué hacer durante un caso de ransomware puede ayudar a estar mejor preparados a una situación de este estilo”, culminó.

Puedes ver la presentación completa aquí:

Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.

Subscribe
Notify of

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments