Por Mercedes Sauceda
Una de cada 60 organizaciones en el mundo, se ha visto afectada por intentos de ataque por el ransomware, en los primero 4 meses del 2022. Un aumento del 14% de intentos de ataques de ransomware a organizaciones a nivel mundial cada semana en comparación con el mismo periodo del año pasado.
En semanas pasadas Costa Rica emitió una emergencia nacional después de los ataques de ransomware Conti que provocaron una fuga de 672GB de datos pertenecientes a las agencias gubernamentales, publicado por grupo Conti. Debido a esta situación el Departamento de Estado de USA emitió un comunicado el 6 de mayo, ofreciendo una recompensa de hasta US$10 millones por información que conduzca a la identificación del grupo.
El FBI reporta que el ransomware Conti ha atacado a más de 400 organizaciones en todo el mundo, 290 de las cuales están en Estados Unidos. Esto incluye instalaciones de salud, comunidades y la fuerza policial. HSE, el proveedor de atención médica nacional de Irlanda se infectó recientemente con el ransomware Conti, que afectó los servicios para pacientes.
HSE (Health Service Executive) fue obligado a cerrar la totalidad de sus sistemas informáticos. Esto provocó una interrupción generalizada en el sistema de salud de Irlanda, lo que ha provocado un acceso limitado a los registros médicos y diagnósticos y tiempos de respuesta lentos. El grupo exige hasta 25 millones de euros para cifrar los archivos.
¿Qué es? ¿Cómo funciona?
CONTI es un software malicioso clasificado como ransomware. Los sistemas infectados con este malware tienen sus datos encriptados y los usuarios reciben solicitudes de rescate por herramientas/software de desencriptado. Durante el proceso de encriptado, todos los archivos afectados se adjuntan con la extensión ”
Conti ransomware es una variante de Ransomware-as-a-Service (RaaS). La variante de ransomware Conti se detectó por primera vez en diciembre de 2019, y su prominencia aumentó en el verano de 2020.
Conti puede cifrar archivos rápidamente gracias a su función de propagación automática. El ransomware Conti es comúnmente distribuido por el troyano TrickBot o Emotet.
¿Cómo se propaga?
- Campañas de phishing especialmente dirigidas que contienen documentos adjuntos maliciosos (como un archivo Word) o enlaces. …
- Explotación de vulnerabilidades conocidas sobre equipos que están expuestos a Internet.
- Ataques sobre equipos con el servicio de RDP expuesto a Internet.
¿Cómo puedes protegerte?
Te enlistamos las siguientes recomendaciones para minimizar la exposición y sus impactos.
- Capacitación y educación de conciencia cibernética: el ransomware se propaga comúnmente mediante correos electrónicos de phishing. Por lo que se vuelve muy importante tener un programa de sensibilización hacia los colaboradores, ya que muchas veces el primer contacto es solo un mensaje de ingeniería social que a su vez lo lleva hacia el sitio que contiene el malware.
- Copias de seguridad continuas de datos: este malware esta diseñado para forzar el pago de un rescate como la única forma de restaurar el acceso a los datos cifrados. Las copias de seguridad de datos protegidas y automatizadas permiten que una organización se recupere de un ataque con una pérdida mínima de datos y sin pagar un rescate. Mantener las copias de seguridad periódicas de los datos como un proceso de rutina es una práctica muy importante para evitar la pérdida de datos, así como para poder recuperarlos en caso de corrupción o mal funcionamiento del hardware del disco. Las copias de seguridad funcionales también pueden ayudar a las organizaciones a recuperarse de los ataques de ransomware.
- Aplicación de parches: la aplicación de parches es un componente fundamental en la defensa contra los ataques de ransomware, ya que los ciberdelincuentes a menudo buscan las ultimas vulnerabilidades descubiertas en los parches disponibles y luego atacan los sistemas que aun no tienen parches. Como tal es fundamental que las organizaciones se aseguren de que todos los sistemas tengan aplicados los parches más recientes, ya que esto reduce la cantidad de vulnerabilidades potenciales dentro del negocio para que un atacante las aproveche.
- Autenticación de usuario: acceder a servicios como RDP con credenciales robadas es muy común, el uso de una fuerte autenticación de usuarui puede blindar el sufrir algún tipo de ataque.
En HKMéxico hemos acompañado a nuestros clientes en el desarrollo de estrategias de ciberseguridad acordes a sus capacidades y riesgos, para mitigar los posibles impactos a su operación.
Fuentes:
https://www.bbc.com/news/technology-61323402
https://blog.checkpoint.com/2022/05/12/ransomware-cyber-attacks-in-costa-rica-and-peru-drives-national-response/