Home Sociedad Los atacantes de los programas de rescate podrían estar al acecho durante...

Los atacantes de los programas de rescate podrían estar al acecho durante meses

Según el FBI, los atacantes que utilizan el rescate de LockerGoga y MegaCortex han estado atacando a grandes redes corporativas, a veces, durante meses, antes de desplegar malware de bloqueo criptográfico.

El rescate de MegaCortex, identificado por primera vez en mayo de 2019, exhibe indicadores de compromiso (IOC), infraestructura de comando y control (C2) y objetivos similares a los de LockerGoga”, aseguró el FBI.

La alerta flash del FBI confirma lo que los expertos en rescates han estado diciendo durante los últimos dos años: Que una infección de malware de bloqueo criptográfico suele ser sólo la última etapa final, muy ruidosa, de un ataque que puede haber persistido durante semanas o meses.

En primer lugar, los atacantes suelen acceder a los sitios utilizando credenciales de protocolo de escritorio remoto. Estas credenciales pueden ser forzadas por los atacantes o compradas en los sitios de crímenes cibernéticos, ya sea en la oscuridad o en otro lugar, a menudo por tan sólo 5 dólares por sitio.

A continuación, los criminales más avanzados mapearán cuidadosamente la red de destino, buscando cualquier propiedad intelectual confidencial, detalles de clientes o información de tarjetas de pago que puedan exfiltrar y vender en los mercados del crimen cibernético.

En la etapa final de su ataque, los delincuentes pueden dejar el software de rescate para intentar obtener un poco más de beneficio criminal por sus esfuerzos de piratería.

O en el caso de operaciones de hacking en estados nacionales, los atacantes pueden desplegar software de rescate para hacer que la intrusión parezca una empresa criminal, mientras limpian de forma útil sus huellas forenses digitales

Las alertas rápidas del FBI que se refieren a asuntos de ciberseguridad generalmente no incluyen información confidencial o no publicada previamente. Más bien, son una destilación de hechos de ataque y defensas esenciales destinadas a estimular a las organizaciones a tomar medidas, incluso si, posiblemente, sus equipos de seguridad cibernética ya deberían haberlo hecho.

Si el FBI, la Agencia de Seguridad Nacional de Estados Unidos ó el Centro Nacional de Seguridad Cibernética de Gran Bretaña, que forma parte de la agencia de inteligencia GCHQ, emiten una alerta, es porque están viendo que un gran número de organizaciones siguen siendo víctimas de ataques que se pueden evitar, incluso si los detalles de estos ataques ya son públicos y ampliamente conocidos.

“El tiempo de permanencia se calcula como el número de días que un atacante está presente en una red de víctimas, desde la primera evidencia de compromiso hasta la detección. La mediana representa un valor en el punto medio de un conjunto de datos clasificados”.

Además, los atacantes que exigen rescate no son los únicos que acampan en la red de una organización, sin ser detectados durante largos períodos de tiempo. Según Mandiant de FireEye, cuando una organización descubre que ha sido violada – gracias a un aviso de un

Para defenderse de los delincuentes que manejan el rescate, los fundamentos siguen siendo los mismos. Para empezar, las organizaciones necesitan asegurarse de que tienen copias de seguridad actualizadas, almacenadas fuera de línea. De esta manera, si son atacados, pueden borrar todos los sistemas y restaurar desde las copias de seguridad. Las víctimas siguen enfrentándose a la amenaza del tiempo de inactividad y la pérdida de negocio, pero para cubrir esas pérdidas potenciales, muchos han estado investigando las pólizas de seguros cibernéticos .

Desafortunadamente, como demuestra la aparentemente interminable avalancha de ataques de rescate, no hay suficientes organizaciones (municipios, proveedores de servicios sanitarios, grandes empresas y otros) que hayan mantenido las defensas adecuadas .

Desde su aparición en enero, por ejemplo, MegaCortex ha estado ligado a la caída de grandes empresas, incluido el proveedor de alojamiento en la nube online iNSYNQ en julio. Después de que el gigante del software de contabilidad Wolters Kluwer fuera atacado por malware en mayo, los empleados en un tablón de anuncios dijeron que MegaCortex era el culpable. Aunque esto aún no se ha confirmado oficialmente, Sophos informó de que había visto un pico en los ataques de MegaCortex ese mes.

Mientras tanto, LockerGoga golpeó al gigante de aluminio Norsk Hydro en marzo. Desde entonces, se ha vinculado a muchas más infecciones.

Según los expertos, la adquisición o el alquiler de software de rescate sigue siendo barata, por ejemplo, a través de la operación de rescate Sodinokibi como servicio, y la automatización permite a los atacantes atacar a muchas víctimas potenciales a la vez.

“Como ocurre con la mayoría de los ataques activos y automatizados, las organizaciones deben permanecer vigilantes”, afirma Andrew Brandt, investigador de seguridad de Sophos. “Refuerce las políticas de contraseñas para incluir la autenticación multifactorial para, al menos, cuentas de administrador; ponga servidores RDP detrás de una VPN; inspeccione su red en busca de servicios vulnerables expuestos a Internet; parchee todo; y apague todo lo que no tenga que estar metiendo las narices a través del cortafuegos”.

Las noches y los fines de semana siguen siendo las horas de mayor actividad para que los atacantes ataquen. “Antes de cerrar la sesión para un descanso prolongado, sería prudente apagar su estación de trabajo, y tal vez incluso tirar del cable de alimentación”, manifestó Brandt.

Tal y como deja claro la alerta del FBI, todas las organizaciones pueden convertirse en víctimas de malware de bloqueo criptográfico, por lo que deben poner las defensas adecuadas. De lo contrario, pueden esperar que los atacantes – de todos los tipos – acampen en su red durante meses, dejando el software de rescate como un golpe de gracia final cuando hayan terminado.