Este año hemos vuelto a batir récords de ataques con ransomware. Las oleadas de principios de año en USA, seguidas de los ataques a administraciones públicas en toda Europa y las últimas grandes brechas detectadas en España han contribuido a mantener al ransomware en la lista de las ciberamenazas más importantes de este 2019. Y las estadísticas hablan por sí solas: los ataques de Ransomware se han disparado un 500% en 2019 desde el año pasado en este mismo periodo
Y es que todas las organizaciones están expuestas a las brechas de seguridad, desde grandes multinacionales, hasta las pymes y las administraciones públicas. De hecho, según el Foro Económico Mundial, el porcentaje de las organizaciones que experimentaron un ataque durante 2018 ascendió hasta el 61%. Presumiblemente 2019 terminará con una cifra aún superior, debido en parte al auge de los ataques con ransomware como los que hemos visto en las diferentes oleadas este año.
Aunque más que oleadas diseñadas para ser desplegadas masivamente en un periodo de tiempo determinado, parecen responder a una serie de ataques que han coincidido en el tiempo y en la utilización de ransomware. De hecho, hemos identificado un gran abanico de TTPs para vulnerar la seguridad de las víctimas.
Las primeras muestras.
Los primeros indicios de esta serie de ataques de ransomware que estamos viendo actualmente llegaron en enero. La ciudad texana de Del Rio informó de un ataque de ransomware que afectó a sus equipos y les obligó a retomar muchas de sus funciones administrativas de manera analógica, con papel y bolígrafo. Los servicios de seguridad de la información de la ciudad se vieron obligados a desconectar los ordenadores del ayuntamiento para evitar que los empleados accedieran al sistema y que se propagase la infección.
Según medios de seguridad estadounidenses, el ataque se llevó a cabo con estrategias inusuales. La nota de rescate contenía un número de teléfono para comunicarse con los atacantes y obtener instrucciones sobre cómo pagar la suma necesaria para recuperar los archivos.
En marzo, la empresa noruega Norsk Hydro sufrió un ataque devastador, cuando una variante de ransomware llamada LockerGoga entró en su red y obligó el cierre de 22.000 equipos en 40 países. Este ataque fue altamente dirigido; según la BBC, los atacantes pasaron semanas dentro del sistema informático de la empresa, buscando puntos débiles y vulnerabilidades, antes de lanzar el ransomware. Hasta ahora, la empresa ha gastado más de 45 millones de libras (50 millones de euros) en recuperarse del ataque.
Es muy probable que LockerGoga fuera lanzado a través de un ataque de phishing, potencialmente dentro de documentos de Word con macros maliciosos. Algunas características del ransomware podrían indicar que cifrar los archivos y pedir el rescate no es el objetivo principal de LockerGoga. En algunas variantes, el malware cambia las contraseñas del administrador y cierra la sesión de la víctima utilizando logoff.exe, dificultando el pago del rescate.
Ponen el foco en las administraciones públicas de EEUU.
Aunque la tendencia de atacar a las administraciones públicas empezó en enero con el ataque a Del Rio, no fue hasta unos meses más tarde que otras organizaciones parecidas empezaban a caer. En marzo, el ayuntamiento de Jackson County, Georgia, desató la polémica al pagar el rescate de 400.000$ que pedían los cibercriminales detrás de un ataque de ransomware—probablemente una variante de Ryuk. La infección consiguió cerrar casi todos los sistemas del gobierno local, menos su web y el sistema de emergencias.
También a principios de marzo, la Federación de Policía de Inglaterra y Gales cayó víctima a un ataque de ransomware que cifró sus bases de datos y servidores. El ataque también consiguió borrar las copias de seguridad que había creado la organización.
En abril, Augusta, Maine sufrió lo que se ha descrito como un ataque altamente dirigido de ransomware. Los atacantes pedían un rescate de al menos 100.000$. Por suerte, el ayuntamiento consiguió contener el ransomware, y los sistemas volvieron casi a la normalidad el día siguiente.
En mayo, dos ciudades fueron atacadas en dos días, primero Cartersville el día 6 en un ataque, y luego el día 7 en Lynn, fue afectado con un ransomware llamado “Herpes 1.2”, que infectó el sistema de pago de parking online.
El día 7 de mayo es también cuando anunció el gobierno municipal de Baltimore que había cerrado la mayoría de sus servidores debido a un ataque de ransomware. Los atacantes pedían un rescate de 3 bitcoins para desbloquear cada ordenador, o 13 bitcoins para liberar la ciudad entera. Los sistemas de la ciudad estaban fuera de servicio durante casi un mes, y hasta ahora, se han gastado 4,6 millones de dólares en recuperar los datos en todos los equipos.
La variante de ransomware utilizada se llama RobbinHood. Según Bleeping Computer, el ransomware no llega a los ordenadores a través del spam, sino que aprovecha los protocolos de escritorio remoto (RDP) u otros troyanos que dan acceso a los atacantes. En el último mes, se han visto pruebas de que los atacantes que cifraron los sistemas de Baltimore están orgullosos de su trabajo: una nueva variante de RobbinHood incluye una nota de rescate que sugiere que la víctima busque ‘Baltimore’ en Google para entender la gravedad de su situación.
Desafortunadamente, esto no fue más que el comienzo del “verano de nuestra desaventura” en Estados Unidos. En una semana dos ciudades en Florida fueron atacadas, y los dos ayuntamientos tomaron la decisión polémica de pagar los rescates—65 bitcoins (más de 600.000€) en Rivera Beach, y 42 bitcoins (420.000€) en Lake City.
En julio, hubo incidentes de ransomware en Richmond Heights y en el departamento de seguridad pública en Georgia.
Uno de los incidentes más llamativos se vio la mañana del 16 de agosto: un total de 22 gobiernos locales en Texas fueron víctimas de un ataque coordinado de ransomware. Aunque las autoridades tejanas no revelaron la variante de ransomware utilizado, sí anunciaron que los 22 ataques provinieron de la misma fuente. Los atacantes pedían un rescate de 2,5 millones de dólares.
La oleada en Europa.
En otoño, empezamos a ver ataques de ransomware en Europa y el resto del mundo. Desde mediados de septiembre, varios ayuntamientos e instituciones se han visto afectados por ataques de ransomware. En Euskadi se registraron al menos cuatro denuncias por presuntos delitos de ciberseguridad, mientras el 4 de octubre, el ayuntamiento de Jerez anunció que había sido atacado por un ransomware llamado Ryuk, Este crypto-malware cifró archivos almacenados en más de 50 servidores, forzando a los empleados del ayuntamiento a realizar su trabajo de forma manual.
En Alemania, un fabricante de herramientas de automatización fue paralizado durante más de una semana por un incidente del ransomware BitPaymer, mientras los sistemas de la ciudad de Johannesburgo en Sudáfrica fueron secuestrados por atacantes que pedían 4 bitcoins.
Unas de las últimas víctimas de ransomware han sido varias empresas españolas, cuyos sistemas fueron cifrados a principios de noviembre. Panda ha tenido acceso a la nota de rescate recibida por los clientes externos afectados, y hemos comprobado que tiene un alto grado de similitud con la usada por el Ransomware BitPaymer.
Desde PandaLabs explican: “Según nuestras primeras investigaciones, sin confirmación definitiva aún, una de las hipótesis que toma más fuerza es el hecho de que las víctimas podrían ser empresas que se vieron afectadas por algunas de las campañas de SPAM que se lanzaron las semanas previas, cuyo objetivo era infectar las máquinas con el malware EMOTET. De ser así, el malware se habría mantenido latente hasta ahora, que desde su C&C le han servido un BitPaymer para iniciar el ataque actual.”
La víctima más reciente es la empresa petrolífera mexicana Pemex. El 11 de noviembre, varios equipos fueron secuestrados, impidiendo que los empleados llevaran a cabo su trabajo. El departamento informático aconsejó que los empleados apagaran sus ordenadores.
Principales causas.
Aunque esta serie ataques han coincidido en tiempo y forma, en la práctica han utilizado una gran variedad de técnicas para llegar a los sistemas de sus víctimas. Las causas principales de los ataques de ransomware son los siguientes:
- En el caso de Norsk Hydro, los atacantes pasaron meses en el sistema de la empresa, buscando vulnerabilidades que podían combinar con el spam para lanzar el ransomware. Y este caso no es único; de hecho, la causa de una de cada tres brechas de seguridad es una vulnerabilidad sin parchear. Uno de los ataques de ransomware más notorio de la historia—WannaCry—aprovechó una vulnerabilidad para llegar a unos 300.000 equipos en el mundo.
- El 92% del malware en el mundo llega a través del phishing, y el ransomware no es ninguna excepción. Puede estar escondido en archivos adjuntos con macros activados o enlaces a URLs maliciosas. Una de las teorías para cómo llegó el ransomware a las empresas españolas en noviembre es que llegó a través de un correo de phishing mandado por el botnet Emotet.
- Ataques de cadena de suministro. Para llevar a cabo el ataque masivo en Texas, se empleó una técnica llamada Island hopping. En island hopping, los cibercriminales se infiltran en las redes de empresas más pequeñas—de marketing o de recursos humanos, por ejemplo— que son generalmente proveedores del objetivo final, y utilizan este acceso para entrar en organizaciones más grandes. En el caso de Texas, el island hopping fue posible debido a que muchas de las municipalidades comparten el mismo proveedor de software y de sistemas informáticos.
Contra el ransomware, confianza cero.
Ciertamente el ransomware es una amenaza muy presente y muy difícil de contener si no cuentas con las protecciones adecuadas y si no sigues las pautas apropiadas. Lo más importante es partir de un enfoque de zero trust: no confiar en nada hasta que se sepa que no es malicioso, y cuestionar todo.
Panda Adaptive Defense no se basa en firmas ni en técnicas tradicionales, si no en la confianza cero de cualquier actividad en los dispositivos. Para ello, monitoriza de forma proactiva absolutamente toda la actividad en todos los equipos y servidores para clasificar cada proceso de cada dispositivo y definir sus perfiles de comportamiento. Si detecta cualquier actividad sospechosa, incluso aunque no tenga un perfil aparentemente malicioso, lo bloquea y lo analiza para tomar una decisión al respecto. Es más, cuenta con tecnología anti-exploit que es capaz de detectar los scripts y las macros maliciosas.
El 99,98% de las decisiones las toma de forma automática gracias a procesos de inteligencia artificial basada en tecnologías de Machine y Deep Learning. El 0,02% de las decisiones las delega y escala a un equipo de Threat Hunters expertos que determinan la naturaleza del proceso, enriqueciendo y perfeccionanto también los algoritmos automáticos.
Es más, puedes reducir aún más la superficie de ataque con Panda Patch Management. Este módulo busca y aplica los parches y actualizaciones de sistemas operativos y cientos de aplicaciones para que las vulnerabilidades no supongan un riesgo para estas injerencias.
Nosotros podemos decirte cómo funcionaron los ataques, qué vulnerabilidades explotaron y también, afirmar que no serán los últimos. Lo único que no sabemos es cuándo se lanzará el próximo ataque masivo.
Prepárate y refuerza tus sistemas con Panda Adaptive Defense que, gracias al modelo de Confianza Cero, es capaz de registrar y validar el 100% de los procesos antes de que se ejecuten en tus equipos. Esos niveles de visibilidad y control potencian nuestras capacidades de prevención, detección y respuesta. Por eso, ningún cliente de Panda Security se ha visto afectado por ninguna de estas oleadas de Ransomware.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
