¡Alerta! América Latina se encuentra bajo ataque de ransomware

La semana pasada, el gobierno de Costa Rica declaró emergencia nacional por ciberataques dirigidos a los sistemas informáticos de varias instituciones gubernamentales del país. Se informa que los ministerios de Hacienda, Trabajo y Seguridad Social, entre otros, han sido infiltrados y su información ha sido cifrada y expuesta en sitios públicos.

Estos ciberataques están relacionados con el actor cibercriminal conocido como Conti, que opera ransomware o malware como servicio para secuestrar información y extorsionar a sus víctimas para recuperar los datos.

Este grupo también se ha enfocado en entidades de gobierno de Perú y ya ha publicado su  información. La firma de ciberseguridad Kaspersky ha detectado la amenaza y advierte que es de vital importancia que los gobiernos de la región estén preparados ante esta situación.

Debes leer: Estados Unidos ofrece recompensa por ciberatacantes del ransomware Conti

“Las naciones no se hacen vulnerables de la noche a la mañana (…), se convierten en objetivos y deben estar preparadas”, comentó en un seminario Web Eduardo Chavarro Ovalle, Incident Response Specialist GERT de Kaspersky.

Los ataques contra instituciones de Costa Rica y Perú fueron ejecutadas por el afiliado de CONTI Unc1756, un actor que ha dejado en claro que el propósito de estos ataques es ganar dinero y “derrocar al gobierno”.

Pero también es como una prueba para posteriormente ejecutar ataques más serios con un equipo mayor. “Costa Rica sólo es nuestra versión demo”, menciona Conti en el sitio donde expone la información de sus víctimas.

¿Quién o qué es Conti?

Los expertos de Kaspersky describen a Conti como una estructura cibercriminal que opera  ransomware como servicio (RaaS, por sus siglas en inglés). Se trata de una industria completa detrás de esta amenaza que se dedica a alquilar servicios de infraestructura para desplegar malware, estrategias de monetización, de comunicación y una serie de componentes que no están enfocados exclusivamente en el desarrollo de amenazas cibernéticas.

Los primeros ataques de Conti se remontan a 2020, sin embargo, este actor cibercriminal ha operado desde mucho antes bajo otro nombre: Ryuk, un ransomware muy fuerte que apareció en 2018, pero que gracias a la publicación del código fuente del malware ha surgido en nuevos subgrupos.

Conti también está vinculado con otros grupos que operan con botnets, por ejemplo Trickbot, que busca comprometer sistemas sistemas individuales mediante ataques masivos, envío de phishing o malware adjunto, para posteriormente vender ese control a otros grupos cibercriminales.

Lo más preocupante es que Conti funciona bajo un programa de afiliados, al que se puede unir cualquiera con el objetivo de expandir el impacto y alcance de este tipo de amenazas.

Incluso cuenta con todo un equipo de reclutamiento, programas de recompensas, recursos humanos que se encargan de pagar a sus “colaboradores”, sistema de capacitación, soporte 24/7 para sus “clientes” o afiliados. Y hasta cuentan con foros privados o semipúblicos donde subastan la información de acceso a otras organizaciones y se comparten instrucciones.

Z0B7X7rW8xa9Yav5 MSaoGpVlETFN5czALazSgx7cGZhQfjM i7XgZ2szyeSsPFQFRa0E6ePMZDcTd2RVl7BF4r4cL2Captura de pantalla de un chat entre miembros de CONTI donde intercambian información y consejos para comprometer sistemas informáticos. Imagen: Kaspersky. 

Ante la amenaza, el Departamento de Estado de los Estados Unidos ofreció una recompensa de entre 10 y 15 millones de dólares (USD) para obtener detalles de las personas líderes de este grupo, que no sólo han apuntado a gobiernos de América Latina, sino que se han enfocado desde hace varios años en comprometer la seguridad de organizaciones e instituciones en todo el mundo.

Kaspersky ha identificado el método general de ataque de Conti:

  1. Intrusión: encuentran una vulnerabilidad como punto de acceso a las infraestructuras, se camuflan actuando o pareciendo usuarios del sistema. 
  2. Exfiltración: empiezan a recolectar y extraer información que les pueda servir para solicitar un pago, además de revisar si pueden extender el daño a más sistemas e incluso a otras empresas.
  3. Cifrado/secuestro: encriptan la información y dejan una nota donde piden a la víctima comunicarse para volver a tener acceso a sus datos.
  4. Exposición: presionan con exponer públicamente la información que acaban de secuestrar, haciendo ver a otras organizaciones que esto no es un juego, porque para ellos es como “su trabajo”.

Conti también opera comprando accesos para compartirlos en sus foros en donde los afiliados del grupo adquieren el acceso, y posteriormente ejecutan los ataques. Además, identifican vulnerabilidades o ausencias en la configuración, aprovechándose de un mal diseño de producto o de un error propio de implementación.

Los principales vectores de entrada que son explotados por estos cibercriminales son escritorios de acceso remoto de frente a Internet y servicios VPN débiles que permiten ejecutar ataques de phishing para la obtención de credenciales.

¿Cómo defenderse?

Los expertos de Kaspersky recomiendan que lo primero es hacer un inventario de los activos digitales que posee una organización, para saber qué se puede defender. Es importante conocer los servicios que puedan estar expuestos, la gestión de vulnerabilidades y por último revisar los elementos de integración como la Nube y el acceso a terceros.

Cuidar la Nube es muy importante porque estos servicios son inseguros por defecto y en los últimos ataques los cibercriminales han sabido aprovechar esta vulnerabilidad, para obtener un acceso completo y descontrolado hacia la infraestructura total. Entonces la estrategia de ciberseguridad también debe enfocarse en la Nube.

Otra forma de reducir el riesgo es la segmentación que permite aislar espacios de la red, para que en el caso de que sea comprometido un segmento se pueda solucionar por aparte evitando que salte a otras áreas.

Con la llegada del trabajo remoto también se ha vuelto importante habilitar controles de gestión de usuarios y múltiples factores de autenticación, así como la habilitación de  alertas sobre accesos sospechosos para identificar cuándo estamos siendo blanco de ataques de fuerza bruta.

Asimismo, es relevante los temas de inteligencia de amenazas, para conocer a los atacantes y tener la mayor cantidad de información posible sobre cómo operan y así poder enfrentarlos.

Te puede interesar: Covid-19 provocó que aumentaran los ciberataques: Kaspersky

Estadísticas de ransomware en América Latina

Además de Conti, Kaspersky ha identificado otro grupo con la misma estructura de ransomware como servicio que opera en la región, conocido como BlackCat. Este grupo ya cuenta con al menos 104 víctimas, entre ellas organizaciones de gobierno de Ecuador, Colombia y Chile.

Un elemento que destaca en la operación de BlackCat es que se han especializado en la exfiltración automatizada de información, en donde ellos ingresan a la infraestructura y empiezan a automatizar el robo de información.

En total, Kaspersky ha identificado al menos 50 grupos diferentes de ransomware que operan en diferentes partes del mundo:

Si bien en 2021 se identificó un decrecimiento en las detecciones de ataques de ransomware en América Latina, en comparación con 2020, aún así hubo 150 mil detecciones, lo que sigue siendo un número bastante preocupante al que hay que prestarle atención.

En países como Guatemala se ha visto un incremento de hasta un 963 por ciento, seguido por República Dominicana y Colombia. En los últimos tres años se han registrado más de cinco mil incidentes y tan sólo en el último mes 192 incidentes de ransomware. Sin embargo, hay que tener en cuenta que estos números deben ser mucho mayores porque no muchas empresas reportan sus casos.

93Zwk1SG t4skv19nIWTL k1zg75qu5TdqK1bvS5dbIn5MWQ Ql6dl2AUTEH6lsxNuh8NV9NJfjzZiglkQ XL0SneIAlJFgLZ44NX1pVqRnulXCiaJeNQOXAEz
Gráfico: Kaspersky

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies