Ransomware

Ransomware inactiva las páginas web de tres hospitales de Granada

2024-08-06T19:35:56+02:00agosto 6, 2024|Seguridad|

De acuerdo con la publicación del sitio web ComputerWorld, un ataque de ransomware ha dejado inactivas las páginas web de tres hospitales de la provincia de Granada y ha vulnerado los datos personales de 50.000 profesionales de la sanidad.

Tras descartar que el ciberataque afectara los datos de pacientes, el Servicio Andaluz de Salud (SAS) confirmó que la información filtrada corresponde a DNI, teléfonos, correos corporativos y claves de sanitarios y personal de los tres principales hospitales de la provincia -el Virgen de las Nieves y el San Cecilio (PTS) en la ciudad de Granada y el Santa Ana en Motril- y del Distrito Sanitario Granada-Metropolitano. Por el momento, las páginas webs de los tres centros se encuentran inactivas.

El SAS detalló que la anomalía se dio a conocer después de que el atacante enviara un correo al webmaster del Hospital Universitario Clínico San Cecilio y a otros destinatarios, “indicando que había detectado una vulnerabilidad en la página mediante la cual podía ejecutar código malicioso y tomar el control de la base de datos si no se abonaba un rescate económico”.

El organismo procedió a aislar los servidores y las páginas web afectadas y avisar a los cuerpos de seguridad, que están investigando el incidente. “Se cuenta tanto con los medios humanos necesarios como con las herramientas para la detección y respuesta ante este tipo de incidentes”, sostuvo el SAS en un comunicado, en el que recomendó a los profesionales de la sanidad a “prestar especial atención ante posibles comunicaciones o requerimientos de datos que les puedan llegar mediante correo electrónico, terminales móviles u otros medios, para evitar eventuales suplantaciones”.

Fuente https://www.computerworld.es/article/3481856/un-ataque-de-ransomware-vulnera-los-datos-de-50-000-profesionales-de-la-sanidad-de-granada.html

Ransomware: paralización del negocio

2024-02-21T00:38:49+01:00febrero 20, 2024|Seguridad|

En 2023 una de cada cinco empresas víctimas de algún ataque (20%) recibieron ransomware, cifra ligeramente superior al 19% del año anterior. El porcentaje que pagó por el rescate cayó de un 66% a un 63%. Así se desprende del Informe de Ciberpreparación 2023 de Hiscox.

¿Fue rentable el pago del rescate?

En muchos casos, no. El porcentaje de víctimas que afirman haber recuperado con éxito todos sus datos tras pagar fue tan solo de un 46%, una cifra inferior con respecto al 59% del año anterior. Alrededor de un tercio (32%) dijeron haber recuperado parte de sus datos, pero en una cuarta parte de los casos, los datos fueron filtrados o la clave de recuperación no funcionó. Además, una de cada cinco empresas (20%) volvió a sufrir otro ataque.

Cuando se trata de ciberseguridad, tener mayor madurez permite recuperarnos del ransomware sin pagar o al menos mitigar el ataque desde el inicio.

La principal vía de entrada de los atacantes fue mediante correos electrónicos de phishing (63% de las víctimas). Por tercer año consecutivo, el phishing ha sido la fuente principal de los ataques de ransomware, y el segundo método más común de entrada sigue siendo el robo de credenciales.

Caso real de un ataque ransomware

Comenzó como un día de trabajo normal en Autobedrijf de Pee, un taller de reparación de vehículos alemán. La persona encargada de la recepción no se  encontraba en la empresa, por lo que el propietario, Arjan de Pee, se estaba encargando de revisar los correos electrónicos. Vio un e-mail de KPN, la empresa de telefonía móvil, con una factura adjunta y lo abrió con la intención de imprimirla. De pronto, todo se volvió negro. “Todos los sistemas fallaron”, cuenta. “Todo lo que se veía era una pantalla negra con texto blanco, como en la época inicial de DOS.”

Arjan intentó reducir el daño y desconectó el cable de red de inmediato. No surtió efecto, todos los archivos habían sido encriptados de forma permanente. “En cada carpeta había un archivo de texto que decía que todos los documentos estaban bloqueados y que solo se desbloquearían con un pago en Bitcoin”, explica. Arjan llamó a su compañía de TI. Actuaron de inmediato y pudieron reinstalar los programas, por lo que en tan solo una hora el negocio estaba funcionando otra vez.

El coste

El daño económico se limitó a tener que pagar por la ayuda de la compañía informática y a la instalación de algunas medidas de ciberseguridad adicionales. Pero el daño emocional fue considerable. “Nuestra empresa existe desde hace 34 años y he perdido todas las fotos del día de la apertura. Nunca las recuperaré”, declara.

Aprendizajes clave

Todo esto ha hecho llegar un mensaje que Arjan considera importante para otros empresarios:
“Es inteligente tomar medidas extraordinarias para proteger tus pertenencias”, incluidas las digitales.

Ahora, Arjan protege los datos de sus clientes con controles de acceso y se asegura de que la información crítica tenga copia de seguridad y esté guardada por  separado. Los cibercriminales todavía pueden atacar, pero al menos existe otra barrera que protege la información personal de los clientes. “Además, ahora les pido a los clientes que solo proporcionen la información personal necesaria.”

Planifica qué ocurre si fallan todos tus ordenadores. ¿Cómo puedes conseguir que tu negocio vuelva a estar operativo lo más rápido posible? ¿Qué hace falta para ello? ¿Y cómo pueden iniciarse los procesos operativos offline?

Aprende a prevenir un ciberataque y compártelo con todos tus empleados, ofréceles formación en temas cibernéticos. Empieza por cosas pequeñas, como utilizar contraseñas largas y complejas en todos los ordenadores.

Fuente https://www.hiscox.es/informe-de-ciberpreparacion-de-hiscox-2023

Cifras de ransomware en 2023

2024-02-16T18:07:45+01:00febrero 15, 2024|Seguridad|

2023 fue un año histórico para el ransomware, los actores de amenazas no sólo se embolsaron colectivamente una cifra récord de 1.100 millones de dólares de las víctimas, sino que un nuevo informe destaca cómo el alcance y la complejidad de estos ataques son cada vez más preocupantes.

Los pagos de rescate casi se duplicaron en compararción con los 567 millones de dólares de 2022. Los actores del ransomware han ‘intensificado sus operaciones’ dirigidas a grandes instituciones, hospitales, escuelas y agencias gubernamentales, según un informe de Chainalysis, firma líder en análisis de blockchain.

Vale la pena señalar que sus cifras son ‘estimaciones conservadoras’ y están sujetas a cambios a medida que Chainalysis descubra nuevas direcciones de billeteras de criptomonedas utilizadas por grupos de delitos cibernéticos para recibir pagos de rescate. Las cifras tampoco incluyen el impacto económico de la pérdida de productividad y los costos de reparación. Por tanto, las estimaciones podrían ser un orden de magnitud mayor.

Sólo el ataque a MGM le costó más de 100 millones de dólares, incluidos 10 millones de dólares en honorarios por consultoría. Según se informa, el gigante del entretenimiento optó por no pagar el rescate.

La caída de los pagos en 2022 se consideró originalmente como un rayo de esperanza y se creía que era el resultado de mejores herramientas, leyes y prácticas de seguridad. En realidad, el impacto es más geopolítico que cualquier otra cosa.

En 2023, el panorama del ransomware experimentó una importante escalada en la frecuencia, el alcance y el volumen de los ataques, dijo Chainalysis.

La firma de inteligencia sobre amenazas Recorded Future, informó sobre la aparición de 538 nuevas variantes de ransomware en 2023, lo que es una clara indicación de que los sindicatos criminales más grandes ahora se están centrando más en organizaciones de alto valor para exigir pagos de rescate mayores, aumentando así sus ganancias.

Por otro lado, es evidente que veremos un aumento continuo del ransomware como servicio (RaaS) en la medida que la oferta y la demanda se incrementen. Es decir, que los operadores  creen software y los afiliados, personas con menos conocimientos técnicos, paguen para lanzar ataques utilizando herramientas y paquetes prediseñados.

Fuente https://9to5mac.com/2024/02/11/ransomware-payments-hit-record-high-2023/

Filtración de datos en Cisco Talos

2022-08-18T12:39:10+02:00agosto 18, 2022|Seguridad|

Cisco Talos informó que un actor de ransomware vulneró su red en mayo de 2022, aunque no confirma la extracción de datos desde sus servidores.

Talos, la división de seguridad de Cisco, indicó que tuvo conocimiento de la brecha por primera vez el 24 de mayo y que ha estado trabajando para corregir la situación desde entonces.

El atacante pudo sustraer las credenciales de un empleado de Talos utilizando técnicas de Ingeniería Social. Con una serie de mensajes de phishing de voz de organizaciones aparentemente legítimas, se hizo con el control de la cuenta personal de Google del empleado, donde se sincronizaban sus credenciales de Talos.

Los atacantes acabaron convenciendo al empleado para que aceptara un aviso de autenticación multifactor (MFA), lo que les concedió el control total de la cuenta y el acceso a la VPN de la empresa.

Los avisos MFA han sido criticados anteriormente por ser vulnerables. Un procedimiento reiterado implica que un atacante bombardee el smartphone de un empleado de seguridad con notificaciones push de autorización MFA, a menudo en horas de sueño, esperando que sean aceptadas inadvertidamente, por exasperación o somnolencia.

Una vez dentro de los sistemas de Talos, el atacante utilizó tácticas para mantener su presencia y destruir las pruebas de sus actividades.

Talos expulsó a los atacantes y confirmó que los repetidos intentos de volver a entrar en el entorno a través de los métodos de persistencia desplegados fracasaron.

«El CSIRT y Talos están respondiendo al evento, y no hemos encontrado ninguna evidencia de que el atacante obtuviera acceso a los sistemas internos críticos, como los relacionados con el desarrollo de productos, la firma de código, etc.», señala la compañía en su blog.

Talos atribuyó el ataque a un agente de acceso inicial (IAB) asociado a LAPSUS$ y a la banda de ransomware Yanluowang, aunque sin comentar los supuestos datos publicados en el sitio de filtraciones de la web profunda de este último grupo esta semana.

El miércoles por la noche, Yanluowang publicó un archivo de texto en su sitio de filtraciones en línea, en el que afirmaba tener al menos 82 GB de datos. Estos incluían una amplia gama de acuerdos de no divulgación (NDA) aprobados, algunos de los cuales parecían implicar a empleados de Cisco con años de antigüedad.

Yanluowang contactó inicialmente a BleepingComputer con los archivos que decía haber robado la semana pasada.

En los chats compartidos con el editor, Yanluowang afirmó haber ofrecido a Talos «un muy buen trato» y que si Talos accedía a pagar el rescate, «nadie se enteraría del incidente y de la pérdida de datos».

Sin embargo, la filtración de datos por parte de Yanluowang y la publicación de la entrada del blog de Talos han llevado a los expertos a afirmar que los actores de la amenaza «forzaron a Talos» a revelar la información.

Dado que Talos tiene su sede en Estados Unidos, no está obligada a revelar las filtraciones de datos en un plazo determinado, a diferencia de las empresas sujetas a normativas de protección de datos como el GDPR europeo.

Según Symantec, Yanluowang saltó a la fama en 2021 tras una serie de ataques de ransomware dirigidos a empresas del sector financiero, así como de servicios de TI, consultoría e ingeniería.

Fuente https://diarioti.com/cisco-talos-confirma-filtracion-de-datos/120507

Gobiernos de América latina expuestos a ransomware por falta de recursos

2022-06-28T13:51:30+02:00junio 28, 2022|Seguridad|

Algunos países de América Latina pueden ser objetivos fáciles para los ataques de ransomware debido a la falta de recursos de TI, particularmente en educación, higiene e infraestructura general, según el informe publicado por Grupo Inskit de Recorded Future.

Los investigadores indican que la situación en muchos de estos países es tal que los ataques de ransomware a entidades gubernamentales locales, provinciales o federales podrían constituir un riesgo de seguridad nacional y geopolítico creíble.

No se pudo determinar un vector de ataque definitivo para cada caso, pero la vía ‘más probable’ fue una combinación de credenciales y cookies de sesión comprometidas. Obtenidas de algún robo de información exitoso y que fueron vendidas en foros de la dark web.

El análisis señala las recientes acciones tomadas por el gobierno de Costa Rica después de que Conti, atacara el país a partir del 17 de abril. Primero se exigió $10 millones, luego el rescate se duplicó a $20 millones. Posteriormente Conti publicó comentarios instando a los costarricenses a marchar en las calles, derrocar al gobierno y exigir el pago del rescate.

A raíz del ataque el Departamento de Estado de EE.UU. anunció una recompensa de $10 millones por información sobre las figuras de liderazgo de Conti. Costa Rica hizo historia al convertirse en el primer país en declarar emergencia nacional como resultado de un ataque de ransomware.

Los mismos atacantes anunciaron poco después que también habían comprometido a la agencia de inteligencia de Perú. «¡Que tengas un lindo día!» decía el anuncio del 7 de mayo, que incluía 9.41 gigabytes de datos.

Entre enero y mayo de 2022 también se registraron ataques en México, Ecuador, Brasil y Argentina. Estos son parte de una serie de ataques registrados desde 2021, año en el que América Latina vio un gran incremento en el número de ataques por ransomware.

El informe concluye que América Latina es una “región cuya postura de seguridad no es tan sofisticada o desarrollada como otras regiones por varias razones (circunstancias geopolíticas e infraestructura en desarrollo, entre otras)” por tanto, “los actores de amenazas pueden ver entidades como objetivos fáciles para recolectar cuentas sensibles y financieramente lucrativas”.

Fuente https://www.cyberscoop.com/latin-america-ransomware-recorded-future/

Informe https://www.recordedfuture.com/latin-american-governments-targeted-by-ransomware

Ransomware en las organizaciones en 2022

2022-06-21T15:59:09+02:00junio 21, 2022|Seguridad|

Ransomware es el malware que cifra los datos esenciales de las empresas y exige un rescate a cambio.

Una encuesta realizada en enero de 2022 a 1000 líderes de TI de más de 16 países en APJ, EMEA y América, con la condición de que todos los encuestados experimentaron al menos un ciberataque en 2021, arroja resultados decepcionantes, pese a todo lo que expertos en seguridad TI y organizaciones conocen sobre cómo enfrentarse al ransomware. El 73% de las organizaciones sufrieron dos o más ataques en los últimos 12 meses. La mayoría, el 44% de las infecciones de ransomware, entraron a través de correos electrónicos, enlaces y sitios web de phishing.

Otros puntos de entrada comunes para el ransomware son los tradicionales; parches o paquetes de software infectados (41%), credenciales comprometidas (35%), amenazas internas (32%) y vulnerabilidades de día cero o «críticas» (26%). Algunas de las empresas (1%) no han podido identificar el punto de entrada de los ataques.

Del 73% de afectados, el 35% experimentó dos ataques de ransomware, casi una cuarta parte (24%) enfrentó tres, cerca de una quinta parte (9%) tuvo cuatro y el 4% pasó por cinco. De manera extrema, el 1% de las organizaciones sufrió seis o más ataques de ransomware en los últimos 12 meses. El 27% restante de las organizaciones se enfrentó a un solo ataque de ransomware.

Pagar el rescate no garantiza la recuperación de los datos

El 76% de las organizaciones afectadas por el ransomware en el último año pagaron el rescate. Pero no fue la solución para casi una de cada cuatro (24%) de las empresas, porque no pudieron recuperar sus datos después.

No obstante, hay un dato “positivo”; casi una quinta parte (19%) de las empresas víctimas de ransomware el último año pudieron recuperar sus datos sin pagar el rescate.

Tres normas básicas para proteger la empresa u organización:

  • No abrir enlaces ni archivos adjuntos sospechosos: los ciberdelincuentes emplean varios métodos de ingeniería social para que las víctimas hagan clic en enlaces maliciosos, o abran un archivo adjunto de correo electrónico con malware que infectará el dispositivo. Es importante inspeccionar los enlaces, correos electrónicos u otros mensajes que se reciben y asegurarse de que provengan de una fuente confiable antes de interactuar con cualquiera de sus contenidos.
  • Mantener el software actualizado: actualizar periódicamente para contar con los parches de seguridad más recientes dificulta que los ciberdelincuentes aprovechen las vulnerabilidades de sus programas.
  • Hacer una copia de seguridad de los datos: Mantener los datos de una organización respaldados, incluso con una copia fuera de línea. De esta manera, si se experimenta un ataque de ransomware y se cifran los datos, no será necesario pagar para recuperarlos.

Parecen recomendaciones lógicas y sencillas de llevar a cabo, pero todavía muchas organizaciones y sus empleados no las tienen interiorizadas.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar a su empresa con NAKIVO Backup & Replication, herramienta para la recuperación y protección contra ransomware en entornos físicos, virtuales, SaaS y en la Nube.

Fuente https://cso.computerworld.es/cibercrimen/el-73-de-las-organizaciones-atacadas-con-ransomware-mas-de-dos-veces-en-un-ano

Ransomware ataca fábrica de Foxconn en México

2022-06-03T11:35:26+02:00junio 3, 2022|Seguridad|

Un grupo cibercriminal afirma haber comprometido los sistemas informáticos de Foxconn, una importante firma dedicada a la fabricación de electrónica de consumo y socio de gigantes tecnológicos como Apple.

Foxconn confirmó que un ataque de ransomware, sucedido a finales de mayo, interrumpió las operaciones en una de sus plantas de producción en Baja California, México, y desde entonces han estado trabajando para recuperar las operaciones de forma gradual, según un vocero de la compañía.

La compañía no proporcionó detalles acerca de la información a la que tuvieron acceso los ciberdelincuentes o quién fue el responsable, pero los operadores de LockBit se adjudicaron la ofensiva el 31 de mayo y amenazaron con filtrar los datos robados a menos que la empresa pague por su rescate antes del 11 de junio.

Según datos de Kaspersky, los primeros ataques con LockBit datan de septiembre del 2019 y entre los objetivos de este ransomware se encuentran importantes organizaciones de Estados Unidos, China, India, Francia, Reino Unido y Alemania.

Entre las características más destacadas de este ransomware se encuentran que tiene la capacidad de distribuirse por toda la organización sin requerir una administración manual y también tienen un objetivo concreto, por lo que no es parte de una ofensiva masiva.

Este tipo de ataques forman parte de la quinta generación del ransomware, la cual se caracteriza por ser más agresiva, proveniente de múltiples vectores y generan consecuencias como la suspensión de operaciones.

Cabe mencionar que esta no es la primera ocasión en que una fábrica de Foxconn sufre de un ataque ransomware en México. El caso más reciente había sucedido en noviembre de 2020, cuando vulneraron su sistema para obtener y encriptar archivos, así como eliminar servidores. En esa ocasión, el grupo que se adjudicó la ofensiva pidió un rescate de 34 millones de dólares en Bitcoin.

Si bien Foxconn es una de las empresas más importantes de fabricación a nivel mundial, en México no puede apartarse del contexto desfavorable que vive el país respecto a ciberseguridad.

De acuerdo con el estudio El estado del ransomware 2022 , elaborado por Sophos, en 2021 el 74% de las empresas fueron víctimas de un ransomware y en la mitad de los casos los ciberdelincuentes lograron cifrar información.

No se puede evitar en su totalidad un ciberataque, pero existen formas de reducir los riesgos y estar preparados en caso de enfrentar uno. Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y otras herramientas corporativas.

Fuente https://expansion.mx/tecnologia/2022/06/03/fabrica-de-foxconn-en-tijuana-fue-hackeada-y-paralizo-su-produccion

Ransomware, ataque más común en 2021

2022-02-24T17:06:29+01:00febrero 24, 2022|Seguridad|

Este año el informe de IBM Security, X-Force Threat Intelligence Index 2022, indica que el ransomware, los e-mails corporativos comprometidos y el robo de credenciales fueron las principales amenazas para las empresas en Latinoamérica.

Algunos de los principales hallazgos en el reporte:

Manufactura, es la industria más afectada (22%), ya que por primera vez en cinco años superó al sector financiero y de seguros en el número de ataques, ampliando los problemas de la cadena de suministro global. Los ciberdelincuentes encontraron un punto de influencia en el papel crítico que las organizaciones manufactureras juegan en las cadenas de suministro mundiales para presionar a las víctimas a pagar un rescate.

Ransomware, persiste como el principal método de ataque observado en 2021, tanto globalmente como en Latinoamérica. Según el informe de 2022, el promedio de vida de una banda antes de cerrar o cambiar su marca es de 17 meses. REvil fue el tipo de ransomware más común, representando el 50% de los ataques que X-Force remedió.

Ataques de e-mail corporativo comprometido (BEC) contra América Latina es mayor que para cualquier otro lugar en el mundo, con un fuerte incremento del 0% en 2019 a 21% en 2021, fue el segundo ataque más común en la región.

Incremento de vulnerabilidades, destaca el número récord de vulnerabilidades reveladas en 2021. Para las empresas de la región, las vulnerabilidades no corregidas o “parchadas” causaron aproximadamente el 18% de los ataques en 2021, exponiendo la mayor dificultad de las empresas: corregir las vulnerabilidades.

Phishing, fue la causa más común de los ciberataques en el 2021 globalmente, el 47% de los ataques X-Force remedió en América Latina. En las pruebas, la tasa de clics de las campañas de phishing se triplicó cuando se combinó con llamadas telefónicas posteriores a sus víctimas.

Fuente https://diarioti.com/el-ransomware-persistio-como-el-tipo-mas-comun-de-ataque-en-america-latina-en-2021/118993

¿Qué es el ransomware?

2021-12-07T12:25:35+01:00diciembre 7, 2021|Internet, Seguridad|

De acuerdo con información publicada por Kaspersky Lab, el ransomware es un mecanismo digital de extorsión, siendo el escenario más común el cifrado de la información del equipo de la víctima. El malware moderno utiliza esquemas de cifrado que, hoy día, parecen ser impenetrables, por lo que las víctimas se enfrentan a la opción de pagar o perder sus archivos para siempre.

Ya que los cibercriminales se han dado cuenta de que las víctimas suelen estar dispuestas a pagar por la liberación de sus valiosos archivos, la frecuencia de ransomware y sus variaciones va en aumento.

Un escenario común: la víctima recibe un email de un “amigo” con un archivo adjunto ejecutable. Disfrazado como un documento inofensivo, abre el archivo, el cual ejecuta una descarga inmediata de malware, y los archivos de la víctima se cifran.

De acuerdo a una entrevista dirigida por el Centro Interdisciplinario de Investigación en Seguridad Cibernética de la Universidad de Kent más del 40% de las víctimas de CryptoLocker aceptaron pagar el rescate. Así mismo, un informe de Dell SecureWorks, muestra que el mismo malware sustrae hasta 30 millones de dólares cada 100 días.

Los métodos criminales se vuelven más sofisticados año tras año. El primer crypto-malware utilizó un algoritmo de clave simétrica, utilizando la misma clave para cifrar y descifrar. Generalmente, con algo de ayuda de los fabricantes anti-malware, la información corrompida podía descifrarse con éxito. Después, los cibercriminales comenzaron a implementar algoritmos de clave pública que utilizan dos claves por separado – la pública para cifrar archivos, y la privada para descifrar. En 2008, los expertos de Kaspersky Lab consiguieron crackear una clave RSA de 660-bits utilizada por el troyano GPCode, pero sus autores actualizaron rápidamente la clave a 1,024 bits, haciéndolo prácticamente imposible de descifrar.

Es imposible descifrar archivos cifrados por un crypto-malware moderno, por lo tanto, una medida de precaución para mantener los datos del usuario seguros es hacer una copia de seguridad; es un buen punto de partida pero podría no ser suficiente, ya que dejan desprotegidos a los archivos que han tenido cambios recientemente. Además, algunas variantes de ransomware incluso logran cifrar cada copia de seguridad que sean capaces de encontrar, incluyendo aquellas localizadas en redes compartidas.

Es por ello que Kaspersky Lab ha desarrollado alternativas para la protección de sus usuarios mediante la herramienta System Watcher, integrada en las soluciones Kaspersky. También se incluye Kaspersky Security Network (KSN) que cuenta con más de 60 millones de voluntarios alrededor del mundo. Este sistema de seguridad basado en la Nube procesa más de 600,000 solicitudes por segundo. De esta manera los usuarios proveen información en tiempo real sobre amenazas detectadas y eliminadas. Estos datos y otras investigaciones se analizan por un grupo de expertos en seguridad, cuyo objetivo es el descubrimiento y análisis de nuevas armas cibernéticas. Todo ello con la finalidad de ofrecer mayor seguridad ante las nuevas amenazas.

De hecho, el año pasado Kaspersky Lab participó en 93 pruebas independientes junto con otras otras compañías del sector, obteniendo los mejores resultados. Kaspersky Lab ha sido mencionado 66 veces dentro del top 3 y ha obtenido el primer lugar 51 veces.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y las herramientas corporativas de Kaspersky Lab.

Nueva tendencia Ransomware

2020-02-24T16:41:58+01:00febrero 24, 2020|Internet, Seguridad|

Los creadores de ransomware parecen seguir una nueva tendencia: publicar los datos que las empresas se niegan a pagar el rescate.

La creación de copias de seguridad ha sido una de las medidas de protección más efectivas y arduas que se tienen contra el ransomware de cifrado. Ahora, los cibercriminales parecen haberse fijado en aquellos que confían en las copias de seguridad. Los cibercriminales responsables de crear varios programas de ransomware, ante la negativa de pago de un rescate, han optado por filtrar en línea los datos confidenciales de sus víctimas.

La publicación de datos confidenciales en línea es una forma de cumplir una amenaza

Las amenazas de divulgación de información confidencial no son asunto nuevo. Por ejemplo, en 2016, el grupo detrás del cryptoware que infectó el sistema Ferroviario Municipal de San Francisco intentó valerse de ese truco. Pero jamás cumplieron sus amenazas.

Maze fue el primero

A diferencia de sus antecesores, el grupo cibercriminal responsable del ransomware Maze sí cumplió sus amenazas a finales de 2019, y en más de una ocasión. En noviembre, cuando Allied Universal se rehusó a pagar un rescate, los cibercriminales filtraron en línea 700 MB de datos, incluyendo contratos, convenios de terminación, certificados digitales, entre otros. Los chantajistas dijeron que habían publicado solamente el 10% de lo que había robado y amenazaron con publicar el resto de la información confidencial si la víctima no cooperaba.

En diciembre, los cibercriminales a cargo de Maze crearon un sitio web que usaron para publicar los nombres de las empresas atacadas, las fechas de infección, las cantidades robadas, las direcciones IP y nombres de los servidores infectados. También cargaron allí algunos documentos confidenciales. A fines de ese mes, se publicaron online 2 GB de archivos, que al parecer habían sido robados de la ciudad de Pensacola, Florida. Los chantajistas afirmaron que habían publicado la información para probar que no estaban alardeando.

En enero, los cibercriminales responsables de Maze subieron 9.5 GB de datos robados de Medical Diagnostic Laboratories y 14.1 GB de documentos del fabricante de cables Southwire, quienes anteriormente habían demandado a los chantajistas por la filtración de información confidencial. La demanda hizo que el sitio web de Maze cerrara, pero no tardará en volver.

Y ahora vienen Sodinokibi, Nemty, BitPyLock

Después aparecieron otros cibercriminales. El grupo detrás del ransomware Sodinokibi, usado para atacar la empresa financiera internacional Travelex en vísperas de Año Nuevo, señaló que su intención era publicar los datos confidenciales pertenecientes a los clientes de la empresa a inicios de enero. Los cibercriminales dijeron tener más de 5 GB de información privada, incluyendo fechas de nacimiento, números de seguridad social e información sobre tarjetas bancarias.

En cuanto a Travelex, la empresa asegura que no ha visto pruebas de dicha filtración de datos online y por ello se niega a pagar un rescate. Por su parte, los cibercriminales señalan que la empresa ha accedido a negociar a fin de evitar la filtración de datos confidenciales.

El 11 de enero, el mismo grupo subió enlaces para aproximadamente 337 MB de datos confidenciales a un foro de mensajes para hackers, y señalaron que los datos pertenecían a la empresa Artech Information Systems, la cual se había rehusado a pagar el rescate. Los cibercriminales dijeron que los datos confidenciales filtrados únicamente representaban una fracción de lo que habían robado. Dijeron que su cometido era vender el resto, no publicarlo, a menos que las víctimas cumplieran con el pago de un rescate.

Los creadores del malware Nemty serían los siguientes en comunicar sus planes para publicar los datos confidenciales de quienes no pagaron. Dijeron que su cometido era crear un blog donde publicarían por partes los documentos internos de las víctimas que se hayan negado a cumplir con sus exigencias.

Los operadores del ransomware BitPyLock  su sumaron a la tendencia cibercriminal al añadir en la nota de rescate la promesa de que divulgarían los datos confidenciales de sus víctimas. Pese a que no lo han hecho aún, también cabe la posibilidad de que BitPyLock haya robado información confidencial.

No se trata de un simple ransomware

No son ninguna novedad las funciones avanzadas añadidas a los programas de ransomware. Por ejemplo, en 2016, el troyano Shade instalaba herramientas de administración remota, en lugar de cifrar los archivos, si descubría que se había topado con una máquina dedicada a llevar la contabilidad. CryptXXX cifró archivos, robó Bitcoins y las credenciales de inicio de sesión de las víctimas. El grupo responsable de RAA equipó algunas versiones del malware con el troyano Pony, cuyo objetivo era robar las credenciales de inicio de sesión.  La capacidad de robo de datos del ransomware  no debería sorprendernos, especialmente porque ahora las empresas reconocen la necesidad de crear copias de seguridad de su información.

Es preocupante que las copias de seguridad ya no ofrezcen una defensa contra estos ciberataques. Si tus máquinas se infectan, no existe modo de evitar las pérdidas, que no se limitarán necesariamente al pago de un rescate, pues los chantajistas no ofrecen ninguna garantía. La única manera de protegerse es impedir que el malware penetre en tus sistemas informáticos.

Cómo protegerse del ransomware

Aún queda por ver si esta nueva tendencia en el ransomware es efectiva o se abandonará. Estos ataques apenas están ganando impulso, así que es necesario mantenerse protegido contra las ciberamenazas. Eso no solo significa evitar el daño en la reputación y la divulgación no autorizada de los secretos comerciales, ya que si se permite el robo de datos personales de algún cliente, podrían aplicarse elevadas multas. A continuación algunos consejos de ciberseguridad publicados por Kaspersky:

  • Fomentar una mejor concientización sobre la seguridad de la información entre empleados. Mientras más informado esté el personal en materia de ciberseguridad, menor es la probabilidad de que ellos sean víctimas del phishing y otras técnicas de ingeniería social.
  • Actualizar cuanto antes sistemas operativos y el software, especialmente en aquellos que se hayan identificado vulnerabilidades que permitan el acceso y el control no autorizados de tu sistema.
  • Utilizar una solución de protección especializada contra el ransomware. Por ejemplo, se puede descargar el Kaspersky Anti-Ransomware Tool sin costo alguno.

Fuente https://latam.kaspersky.com/blog/ransomware-data-disclosure/17077/

Ir a Arriba