Durante los últimos meses se han activado varias oleadas de ataques con Ransomware que han fijado su objetivo en diferentes países y sectores empresariales.
Hoy, tras haber sido testigos de varios casos en diferentes países durante la segunda mitad del año, se ha desplegado un ataque masivo en España.
Ejemplos como el ransomware LockerGoga, que se utilizó para extorsionar a empresas en Francia, Noruega y Estados Unidos, o grandes ciudades estadounidenses como Atlanta, San Antonio y Baltimore que vieron comprometidos sus servicios públicos digitalizados, constantan que en 2019 el ransomware continúa siendo una de las técnicas tradicionales de ataque más fructíferas.
El peligro del ransomware: objetivo y vías de entrada
El objetivo principal de los atacantes con este tipo de actividad maliciosa sigue siendo el endpoint. Ahí es donde encuentran la información más sensible y donde pueden comprometer las credenciales que les permiten realizar movimientos laterales para alcanzar otras redes y sistemas.
Hasta ahora se barajan varias hipótesis sobre los vectores de entrada del ataque, pero la que toma más peso sería hipótesis basada en una campaña de Spam:
- Campaña de Spam. Panda ha tenido acceso a la nota de rescate recibida por los clientes externos afectados, y hemos comprobado que tiene un alto grado de similitud con la usada por el Ransomware BitPaymer.
Desde PandaLabs explican: “Según nuestras primeras investigaciones, sin confirmación definitiva aún, una de las hipótesis que toma más fuerza es el hecho de que las víctimas podrían ser empresas que se vieron afectadas por algunas de las campañas de SPAM que se lanzaron las semanas previas, cuyo objetivo era infectar las máquinas con el malware EMOTET. De ser así, el malware se habría mantenido latente hasta ahora, que desde su C&C le han servido un BitPaymer para iniciar el ataque actual.”
Otras opciones mencionadas que podrían estar relacionadas con esta infección, aunque tampoco están confirmadas, serían:
- Vulnerabilidad BlueKeep, que es aprovechada para desplegar el ataque.
- Vulnerabilidad Microsoft Teams, que usa el proceso para descargar y ejecutar un malware. No obstante, esta hipótesis ha quedado reprobada por las últimas investigaciones de Microsoft al respecto. Según las comprobaciones de Microsoft, este ataque de Ransomware no ha aprovechado una vulnerabilidad en Microsoft Teams, certificando así que éste no ha sido el vector de entrada del ataque.
A pesar de la intensidad de estos ataques y al igual que en ocasiones anteriores, ningún cliente de Panda Security se ha visto afectado por esta oleada de Ransomware y podemos afirmar que todos estos supuestos están totalmente cubiertos por Panda Adaptive Defense.
De hecho, gracias al modelo de Confianza Cero, Panda Adaptive Defense registra y valida el 100% de los procesos antes de que se ejecuten. Esos niveles de visibilidad y control potencian nuestras capacidades de prevención, detección y respuesta, protegiendo a todos nuestros clientes de ataques de nueva generación.
En Panda seguimos trabajando para asegurar la protección de nuestros clientes, y seguiremos informando sobre cualquier detalle y ofreciendo recomendaciones al respecto.