El año pasado fue el año del cryptojacking. En el primer cuatrimestre de 2018 hubo un aumento del 4000% en el número de ataques de este tipo, mientras que en el mismo periodo, las detecciones de ransomware cayeron un 2%. Sin embargo, en 2019, parece que el ransomware está volviendo a tener gran protagonismo, pero esta vez, con objetivos más específicos, en vez de campañas masivas.
Las últimas víctimas son dos ciudades en Florida, Estados Unidos. El día 29 de mayo, un empleado del departamento de policía de Rivera Beach abrió un email que desencadenó un ransomware en la red de toda la ciudad. El ransomware cifró los archivos del ayuntamiento y paralizó todos los servicios de la ciudad, menos los servicios de emergencia 911, aunque de todos modos fueron afectados en menor grado.
Un mes después, la polémica fue desatada con el anuncio de que la ciudad pagaría el rescate de 65 bitcoins (más de 600.000€) para recuperar sus archivos. Apenas una semana después Lake City, otra ciudad de Florida, pagó un rescate de 42 bitcoins (420.000€) para recuperar sus archivos tras un ataque de ransomware bautizado como “Triple Threat”, que había secuestrado sus archivos el día 10 de ese mismo mes. Es más, a finales de junio, el ayuntamiento despidió a su director de sistemas informáticos en relación con este ataque. En menos de una semana, el cibercrimen había recaudado más de un millón de euros.
Ransomware dirigido
Estos dos incidentes son solo los últimos en una serie de ataques que van dirigidos específicamente contra gobiernos locales en Estados Unidos. Este año también se han visto afectados Jackson County, Baltimore, Cartersville y Lynn. Y la semana pasada, una tercera ciudad en Florida fue víctima de un ataque de ransomware. Los ataques de ransomware a estas localidades son parte de una tendencia más generalizada: el ransomware dirigido.
Los cibercriminales, en sus esfuerzos por evolucionar, recurren cada vez más a ataques dirigidos de ransomware en vez de a campañas indiscriminadas. El motivo principal que ha propiciado este cambio es conseguir más dinero: un ataque perpetrado con éxito contra una empresa en particular puede ser mucho más lucrativo que una campaña generalizada.
Una prueba de esto es el beneficio económico que consiguieron los atacantes de WannaCry. Según algunos cálculos, este ataque que afectaron a unos 200.000 equipos en todo el mundo generaron alrededor de 120.000€ para los atacantes. Comparando esta recompensa con los 600.000€ del ataque a Rivera Beach, es fácil ver por qué el ransomware dirigido gana popularidad.
Norsk Hydro sufre las consecuencias de un ataque dirigido
En marzo, la productora de aluminio, Norsk Hydro, fue víctima de un ataque altamente dirigido. Según la BBC, los atacantes pasaron semanas dentro del sistema informático de la empresa, buscando puntos débiles y vulnerabilidades, antes de lanzar un ransomware que afectó a 22.000 equipos en 40 países. Toda la empresa, de más de 35.000 empleados, tuvo que volver a trabajar manualmente.
Sin embargo, la reacción de la empresa ha sido descrita como el “estándar de oro” por las autoridades; se ha negado a pagar el rescate y ha sido transparente en todo momento sobre lo ocurrido. No obstante, a pesar de esta correcta actuación, el tamaño de un ataque tan dirigido ha significado que, hasta ahora, la empresa ha gastado más de 45 millones de libras (50 millones de euros) en recuperarse del ataque.
Por qué el ransomware dirigido es tan peligroso
Los cibercriminales que llevan a cabo este tipo de ataque eligen empresas en función de las vulnerabilidades existentes en la organización, es decir, su actividad no es al azar. Por lo tanto, si una empresa recibe un ataque de ransomware dirigido, el ataque tiene alta probabilidad de tener éxito. Según explica CSO, suelen buscar empresas con una conexión RDP insegura para iniciar el ataque.
Esta conexión se utiliza para escalar los privilegios y llegar a tener controles de administrador. De este modo pueden desactivar las soluciones de seguridad y luego infectar el sistema con el ransomware.
El rol del atacante está cambiando también. Durante una campaña masiva de ransomware, se trata de mandar un ransomware y esperar los resultados. En los ataques dirigidos, por el contrario, el atacante está presente en todo momento, actuando de manera proactiva para infectar el sistema. Son un buen ejemplo de la táctica “Hacking en vivo”, en el que el atacante consigue burlar las soluciones de ciberseguridad tradicionales para instalar el ransomware en la red de la empresa en cuestión.
La importancia de la monitorización constante
Para hacer frente a la proactividad de los atacantes, hace falta proactividad de la solución de ciberseguridad. Panda Adaptive Defense monitoriza de manera proactiva todos los procesos de tu sistema en tiempo real. Detecta cualquier anomalía en las actividades que se están llevando a cabo dentro de tu red, para frenar cualquier amenaza incluso antes de que pueda producirse.
Otra cosa que tener en mente es que los atacantes no buscan un reto. Es decir, las empresas bien protegidas no les interesan, ya que suponen invertir más dinero y más esfuerzos. Para impedir que los atacantes entren en tu sistema, hay que cerrar todos los puntos débiles. Esto incluye evaluar si es necesario utilizar el RDP, que tanto protagonismo ha tenido en las últimas semanas, o si es mejor prescindir de ello. Es también imprescindible asegurarse haber parcheado todas las vulnerabilidades.
El ransomware dirigido puede afectar a las organizaciones de todo tipo y de todo tamaño. Sin embargo, el objetivo ideal es una empresa mal protegida. Por lo tanto, la ciberseguridad avanzada se vuelve esencial.