Los ataques dirigidos contra entidades financieras ya son tendencia

Los analistas de Kaspersky Lab han descubierto una nueva y alarmante tendencia: cada vez más cibercriminales están desviando su atención desde usuarios privados hacia ataques de ransomware contra empresas. Se han identificado al menos ocho grupos involucrados en el desarrollo y distribución de ransomware de cifrado que ha afectado a organizaciones financieras de todo el mundo. Los expertos de Kaspersky Lab han encontrado casos en los que las solicitudes de pago llegaron a ascender a más de 470.000 euros.

Los ocho grupos identificados incluyen a los autores de PetrWrap, que han atacado a organizaciones financieras de todo el mundo, el grupo Mamba y seis grupos más que también se dirigen a usuarios corporativos. Cabe señalar que estos seis grupos han estado involucrados en ataques dirigidos, principalmente a usuarios privados, y usaron modelos de programas de afiliados. Ahora, han reorientado sus esfuerzos hacia las redes corporativas.

Según los analistas de Kaspersky, el motivo de esta tendencia es claro: los ciberdelincuentes consideran que los ataques de ransomware dirigidos contra empresas son potencialmente más rentables que los ataques masivos a usuarios privados. Un ataque de ransomware exitoso contra una empresa puede detener fácilmente sus procesos de negocio durante horas o incluso días, lo que hace más probable que los propietarios de las empresas afectadas paguen el rescate.

En general, las tácticas y procedimientos utilizados por estos grupos son muy similares. Infectan la organización con malware a través de servidores vulnerables o lanzan correos electrónicos de phishing. Luego establecen persistencia en la red de la víctima e identifican los recursos corporativos valiosos para cifrarlos, solicitando posteriormente un rescate a cambio del descifrado. Además de sus similitudes, algunos grupos tienen sus propias características únicas.

Por ejemplo, el grupo Mamba utiliza su propio malware de cifrado, basado en el software de código abierto DiskCryptor. Una vez que los ciberatacantes ganan un punto de apoyo en la red, instalan el cifrador usando un recurso legal para el control remoto de Windows. Este enfoque hace que las acciones sean menos sospechosas para los responsables de ciberseguridad de la empresa seleccionada. Los analistas de Kaspersky Lab han encontrado casos en los que el rescate ascendió a un bitcoin (alrededor de 940.000 euros hasta finales de marzo de 2017) por cada endpoint descifrado.

Otro ejemplo único de herramientas utilizadas en ataques de ransomware dirigidos viene de PetrWrap. Este grupo se dirige principalmente a grandes empresas que cuentan con un gran número de nodos. Los cibercriminales seleccionan cuidadosamente los blancos para cada ataque, que puede durar bastante tiempo: PetrWrap ha conseguido “persistir” en una red hasta 6 meses.

Con el fin de proteger a las organizaciones contra estos ataques, los expertos en seguridad de Kaspersky Lab aconsejan lo siguiente:

• Realiza una copia de seguridad de los datos para que puedan restaurarse los archivos originales después de un incidente de pérdida de datos.
• Utiliza una solución de seguridad con tecnologías de detección basadas en el comportamiento.
• Visita el sitio web "No More Ransom", una iniciativa conjunta con el objetivo de ayudar a las víctimas de ransomware a recuperar sus datos cifrados sin tener que pagar a los criminales.
• Haz una auditoría del software instalado, no solo en los endpoints, sino también en todos los nodos y servidores de la red y mantenlo actualizado.
• Realiza una evaluación de seguridad de la red de control para identificar y eliminar las lagunas de seguridad.
• Revisa las políticas de seguridad de proveedores externos y de terceros en caso de que tengan acceso directo a la red de control.
• Solicita inteligencia externa: la inteligencia de proveedores acreditados ayuda a las organizaciones a predecir futuros ataques a la compañía.
• Capacita a tus empleados, prestando especial atención al personal de operaciones y de ingeniería para que sean conscientes de las recientes amenazas y ataques.
• Proporciona protección dentro y fuera del perímetro. Una estrategia de seguridad adecuada tiene que dedicar recursos significativos a la detección de ataques y a la respuesta con el fin de bloquearlos antes de llegar a objetos de importancia crítica.