Las autoridades de ciberseguridad de Australia, el Reino Unido y los EE.UU publicaron una advertencia conjunta sobre un aumento en los ataques de ransomware sofisticados y de alto impacto dirigidos a organizaciones de infraestructura crítica en todo el mundo en 2021.
Los incidentes destacaron una amplia gama de sectores, que incluyen defensa, servicios de emergencia, agricultura, instalaciones gubernamentales, TI, atención médica, servicios financieros, educación, energía, organizaciones benéficas, instituciones legales y servicios públicos.
«Las tácticas y técnicas de ransomware continuaron evolucionando en 2021, lo que demuestra la creciente sofisticación tecnológica de los actores de amenazas de ransomware y una mayor amenaza de ransomware para las organizaciones a nivel mundial«, dijeron las agencias en el boletín conjunto.
Las credenciales de protocolo de escritorio remoto (RDP) robadas o forzadas por fuerza bruta y la explotación de vulnerabilidades surgieron como los tres principales vectores de infección iniciales que se utilizaron para implementar ransomware en las redes comprometidas, incluso cuando el modelo comercial criminal se transformó en un «mercado profesional», dominado por diferentes grupos de actores de amenazas para obtener acceso inicial, negociar pagos y resolver disputas de pago.
Pero en un cambio notable a raíz de los ataques muy publicitados en Colonial Pipeline , JBS y Kaseya el año pasado, los grupos de ransomware se alejaron de la caza mayor en los EE.UU en la segunda mitad de 2021, para centrarse en los sectores y organizaciones medianos.
Según un nuevo informe publicado por la empresa Syhunt, los bandas de ransomware robaron más de 150 terabytes de datos de las organizaciones víctimas desde enero de 2019 hasta enero de 2022, y solo REvil representa 44,1 TB de la información robada total que el grupo extrajo de 282 víctimas.

Los país con más incidentes informáticos por las bandas de Ransomwares son los siguientes:

En Latinoamérica, se encuentra en primer lugar Brasil, con un total registrado de 36 incidentes informáticos, luego seguido de Chile con 10 incidentes. Y finalmente, seguido por Colombia, Perú y Argentina con casos que no superan los 10 incidentes por país.

Desde el arresto de los miembros de la banda de Ransomware REvil el pasado mes de enero, se respira un poco más del calma en el ciberespacio. Pero solo por un lapso de tiempo muy corto. Ya en pleno año 2022, los actores de amenazas entienden que el mercado de RaaS (Ransomware-as-a-Services) es muy lucrativo y el riesgo de ser arrestado pueda que valga la pena. Así que no sería ninguna sorpresa el ver surgir a nuevas bandas de Ransomwares, o que una de las pandillas tome dentro de poco, su posición.
Para evitar algún incidente informático, recomendamos seguir las siguientes recomendaciones:
- Mantener todos los sistemas operativos y software actualizados.
- Limite el acceso a los recursos a través de redes internas, especialmente mediante la restricción de RDP y el uso de infraestructura de escritorio virtual.
- Sensibilizar a los usuarios sobre los riesgos del phishing y la Ingeniería Social.
- Utilizar contraseñas robustas y únicas y habilitar el segundo factor de autentificación para proteger las cuentas.
- Cifrar los datos en la nube.
- Implementar la segmentación de la red.
- Deshabilite las utilidades de línea de comandos innecesarias y restrinja las actividades y permisos de secuencias de comandos.
- Hacer cumplir el acceso basado en el tiempo para las cuentas con privilegios.
- Mantener copias de seguridad de datos fuera de línea (es decir, desconectados físicamente).
Más información
https://www.ncsc.gov.uk/news/joint-advisory-highlights-increased-globalised-threat-of-ransomware
https://www.cisa.gov/uscert/ncas/alerts/aa22-040a
https://www.syhunt.com/en/?n=Articles.RansomwareThreat2022

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.