El ransomware está experimentando un resurgimiento. En 2018, las detecciones de este tipo de malware caían, mientras otras ciberamenazas como el cryptojacking experimentaron crecimientos importantes. Pero en el primer cuatrimestre de 2019, los ataques de ransomware contra empresas aumentaron un 195%.
Este repunte se vio reflejado en una serie de ataques de ransomware dirigido contra gobiernos locales en Estados Unidos: Baltimore, Lake City, Cartersville, Lynn… Esta nueva tendencia de ransomware dirigido afectó también al mundo empresarial: ataque sufrido por Norsk Hydro llegó a afectar a 22.000 endpoints en 40 países.
Una campaña masiva contra Texas
La mañana del día 16 de agosto, un total de 22 gobiernos locales en Texas fueron víctimas de un ataque coordinado de ransomware. Aunque las autoridades tejanas no revelaron la variante de ransomware utilizado, sí anunciaron que los 22 ataques provinieron de la misma fuente. Los atacantes pedían un rescate de 2,5 millones de dólares.
Un portavoz del Departamento de Recursos Informáticos de Texas (DIR) dijo que, “Todas las pruebas reunidas indican que los ataques vinieron de un único actor. Las investigaciones sobre el origen del ataque están en curso; sin embargo, responder y recuperar la información son las prioridades en estos momentos.”
El equipo que respondió al ataque incluye el DIR, el Centro de Operaciones de Seguridad de Sistemas de la Universidad A&M de Texas, el Departamento de Seguridad Pública y equipos de respuesta a emergencias del ejército. El 23 de agosto, todas las entidades afectadas habían pasado de un estado de asesoramiento a uno de remediación y recuperación.
Ahora, el DIR está programando reuniones de seguimiento con los gobiernos afectados para asegurar los esfuerzos en reconstruir los sistemas. Explica el DIR que ninguna de las entidades ha pagado el rescate que piden los atacantes.
¿Cómo consiguieron atacar a tantas entidades?
Para llevar a cabo un ataque masivo contra tantas entidades gubernamentales, hace falta una técnica avanzada: Island hopping. En island hopping, los cibercriminales se infiltran en las redes de empresas más pequeñas—de marketing o de recursos humanos, por ejemplo— que son generalmente proveedores del objetivo final, y utilizan este acceso para entrar en organizaciones más grandes.
En el caso de Texas, el island hopping fue posible debido a que muchas de las municipalidades comparten el mismo proveedor de software y de sistemas informáticos. Según explica Gary Heinrich, el alcalde de uno de los municipios afectados, los atacantes entraron en los sistemas de este proveedor y utilizaron este acceso para atacar a los gobiernos.
Por lo general, las compañías más pequeñas suelen tener sistemas más vulnerables, lo cual facilita el island hopping. Una vez dentro, los atacantes se aprovechan de la confianza que existe entre empresas para llegar a su verdadero objetivo.
Esta técnica no es nueva, pero es cada vez más común. Según algunas fuentes, hasta el 50% de los ciberataques que se llevan a cabo hoy en día la utilizan. Y los cibercriminales no solo usan el malware para este tipo de ataque: un vector de entrada muy popular son los dispositivos de IoT (Internet de las cosas), ya que suelen carecer de medidas robustas de seguridad.
¿El futuro de los ataques de ransomware?
Algunos investigadores de ciberseguridad creen que ataques coordinados como el ejemplo de Texas podrían ser el futuro de los ataques de ransomware. Es el primer ataque de este tipo, donde los incidentes fueron coordinados, en vez de atacar a las entidades una por una. Normalmente los atacantes escanean las redes de forma masiva, en búsqueda de conexiones RDP abiertas en servidores vulnerables para llevar a cabo los ataques aleatoriamente.
Sin embargo, en este caso, está claro que los atacantes tuvieron un objetivo muy concreto en mente, y que lo atacaron deliberadamente.
Protege tu organización contra el island hopping
Tres semanas después del incidente, el DIR informó que más de la mitad de las organizaciones afectadas habían vuelto a la normalidad. Aunque también quiere decir que hay muchas entidades que siguen sin poder llevar a cabo sus operaciones rutinarias. Para ayudar a prevenir otro incidente, el DIR lanzó una serie de recomendaciones:
- Solo permitir la autenticación para software de acceso remoto desde dentro de la red del proveedor.
- Utilizar autenticación de doble factor en las herramientas de administración remota.
- Bloquear el tráfico de red entrante desde los nodos de salida Tor.
- Bloquear el tráfico de red saliente hacia Pastebin.
La última medida que sugiere el DIR es el uso de soluciones EDR para detectar si PowerShell ejecuta procesos inusuales. Panda Adaptive Defense combina tecnologías EPP y EDR con un servicio de clasificación del 100% de los procesos en ejecución. De este modo, es capaz de detectar cualquier proceso o comportamiento anómalo y pararlo antes de que pueda suponer un problema para tu empresa.
Aunque el ransomware existe desde hace años, y su popularidad varía a lo largo del tiempo, es una amenaza omnipresente. Es más, un caso como éste demuestra que los cibercriminales utilizarán técnicas punteras para llevar a cabo ataques de ransomware. Por eso, no descuides la protección de tu empresa contra esta ciberamenaza.