Ransomware 2.0 Contrarrestando a la nueva generación de ataques impulsados por COVID-19

Ciudad de México, 26 de mayo 2020.

Por Subhalakshmi Ganapathy, Product Evangelist de ManageEngine

Los ataques cibernéticos ransomware han evolucionando durante la pandemia global. Con la propagación de la enfermedad por coronavirus (COVID-19) en todo el mundo, los ciberdelincuentes aprovechan el miedo y la incertidumbre que prevalece en el entorno global y lanzan ataques de ransomware sin escrúpulos a las instituciones de atención médica que tratan a pacientes infectados y también realizan pruebas para detectar y prevenir el COVID-19. América Latina ha observado recientemente un aumento significativo en la tasa de ataques de ransomware y esquemas de correo electrónico de phishing en medio de la pandemia de coronavirus.

En el pasado, los atacantes de ransomware operaban de manera específica al bloquear el sistema y exigir un rescate por la clave de descifrado. Pero, la situación está cambiando rápidamente ahora. Echemos un vistazo a cómo funcionan estos ransomware de la nueva era.

¿Cuál es el próximo ransomware?

Los ciberdelincuentes ahora combinan el cifrado de ransomware con el robo de datos. Además de encriptar datos y pedir un rescate, los delincuentes han comenzado a robar credenciales mientras encriptan archivos críticos. El ataque de ransomware Ryuk recientemente descubierto también es un ejemplo clásico de este ataque perteneciente a la nueva era.

Este ataque llega a través de un correo electrónico de phishing con un documento de MS Word y una contraseña. Una vez que el usuario hace clic y abre el documento de Word, se inyectan dos cargas útiles en el sistema del usuario. Una de las cargas encripta los archivos en el sistema afectado mientras que la otra roba todas las credenciales almacenadas, incluidas las credenciales en línea. De hecho, el cifrado es sólo un encubrimiento de la carga útil de robo de credenciales.

¿Cómo funciona el ransomware 2.0?

Con la propagación de la pandemia de COVID-19, las VPN y los servicios de acceso remoto se han convertido en líneas de vida para la continuidad comercial. Sus roles en las redes corporativas han ido cambiando, los canales de soporte que transportan una pequeña fracción de la actividad de la red se han convertido en las vías principales que proporcionan la mayor parte del acceso a los recursos locales. Dado que solía accederse a estos servicios sólo ocasionalmente, muchas empresas no han solucionado las vulnerabilidades de seguridad de los servicios. Aquí yace una gran oportunidad para los atacantes.

Las vulnerabilidades de ejecución remota de código en el Protocolo de escritorio (RDP) son altamente problemáticas. Por ejemplo, la vulnerabilidad BlueKeep, todavía está presente y los atacantes están tratando de desarrollar un ataque para esto. Teniendo en cuenta la gravedad de esta laguna de seguridad, Microsoft incluso lanzó parches para sistemas operativos como Windows XP y Vista, que fueron declarados EOL, BlueKeep es sólo una de esas vulnerabilidades. Existen numerosas vulnerabilidades conocidas y desconocidas basadas en RDP y VPN, que brindan a los atacantes un gran panorama de ataque y también una manera fácil de ingresar a la red corporativa.

Además, ataques como Ryuk o NetWalker ransomware están explotando las vulnerabilidades de ejecución remota de código de Microsoft Word. En marzo de 2020, Microsoft lanzó un parche para una de esas vulnerabilidades, CVE-2020-0852. Esta vulnerabilidad puede permitir que el malware se ejecute en un sistema cuando el usuario simplemente ve un archivo de Word especialmente diseñado en el panel de vista previa de MS Outlook. Microsoft ha advertido que el panel de vista previa de Outlook también es un vector de ataque para esta vulnerabilidad. De nuevo, es probable que existan muchas vulnerabilidades desconocidas similares, parchar los sistemas cuando sus empleados están trabajando desde casa, es un proceso lento, además de realizar los ataques desde un principio, los delincuentes ahora pueden aprovechar esta ventana de parches para lanzar nuevos intentos.

¿Cómo se pueden contrarrestar los ataques de ransomware de la nueva era?

1. Caza de amenazas.

Actualizar constantemente nuestro sistema de inteligencia de amenazas y mantenerse protegido del creciente número de ataques basados en COVID-19 y dominios maliciosos que se crean para aprovechar el pánico.
2. Parchar los sistemas regularmente.

No dejar de lado las plataformas VPN y de acceso remoto. Debemos de tener mucho cuidado para parchar los dispositivos de punto final utilizados por su fuerza de trabajo remota.
3. Mantenerse actualizado.

Vigilar el malware recién descubierto y configurar los indicadores de compromisos en función de los hashes de archivos y los métodos de trabajo. Esto no evitará que ocurra el ataque, pero definitivamente lo detendrá en la etapa inicial y minimizará el daño.
4. Hacer que las soluciones de análisis de comportamiento olviden y vuelvan a aprender los patrones de comportamiento del usuario y la entidad.

Esto se refiere a reconfigurar el sistema para ajustar los puntajes de riesgo de acuerdo con los comportamientos de trabajo remotos.
5. No permitir que los empleados caigan en correos electrónicos de phishing. Comunicarse con sus empleados a través de sus foros internos o por correo electrónico, abordando los ataques de phishing y enseñándoles cómo evitar correos electrónicos falsos.

En este momento, es esencial tomar nuestra salud digital tan en serio como nuestra salud física. Mantengámonos fuertes y seguros.

Sobre ManageEngine

ManageEngine es la división de gestión de TI empresarial de Zoho Corporation. Las empresas establecidas y emergentes, incluidas 9 de cada 10 organizaciones Fortune 100, confían en nuestras herramientas de administración de TI en tiempo real para garantizar un rendimiento óptimo de su infraestructura de TI, incluidas redes, servidores, aplicaciones, equipos de escritorio y más. Tenemos oficinas en todo el mundo, incluidos los Estados Unidos, los Países Bajos, India, Singapur, China y Australia, así como una red de más de 200 socios globales para ayudar a las organizaciones a alinear estrechamente sus negocios y TI. Para obtener más información, visite www.manageengine.com/latam/; siga el blog de la compañía en blogs.manageengine.com y en LinkedIn en www.linkedin.com/company/manageengine, Facebook en www.facebook.com/ManageEngine y Twitter @ManageEngine.

Contactos de prensa: ManageEngine, Ahana Vissa, pr@manageengine.com  Another Company, Carlos Castañeda, Movil: 55 2067 1513, carlos.castaneda@another.co Lorena Rodríguez, Móvil: 322 931 2489, lorena.rodriguez@another.co Another Company, Ernesto Nicolás / Group Assistant, ernesto.nicolas@another.co C. + (521) 55 7896 7193